On approval of the Rules for formation of risk management and internal control system for second-tier banks, branches of non-resident banks of the Republic of Kazakhstan

Resolution of the Board of the National Bank of the Republic of Kazakhstan dated November 12, 2019 № 188. Registered with the Ministry of Justice of the Republic of Kazakhstan on November 21, 2019 № 19632.

      Unofficial translation

      On approval of the Rules for formation of risk management and internal control system for second-tier banks, branches of non-resident banks of the Republic of Kazakhstan

      Footnote. The title - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 02/24/2021 No. 43 (shall come into effect ten calendar days after the day of its first official publication).

      In accordance with the Law of the Republic of Kazakhstan dated August 31, 1995 “On Banks and Banking Activities in the Republic of Kazakhstan”, the Board of the National Bank of the Republic of Kazakhstan RESOLVES:

      1. To approve the attached Rules for formation of risk management and internal control system for second-tier banks, and branches of non-resident banks of the Republic of Kazakhstan.

      Footnote. Paragraph 1 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated February 24, 2021 No. 43 (shall come into effect ten calendar days after the day of its first official publication).

      2. To recognize as terminated the regulatory legal acts of the Republic of Kazakhstan, as well as the structural elements of some regulatory legal acts of the Republic of Kazakhstan according to the list in accordance with the Annex to this Resolution.

      3. The Department of Methodology and Regulation of Financial Organizations in the manner prescribed by the legislation of the Republic of Kazakhstan shall ensure:

      1) together with the Legal Department, the state registration of this Resolution with the Ministry of Justice of the Republic of Kazakhstan;

      2) placement of this Resolution on the official Internet resource of the National Bank of the Republic of Kazakhstan after its official publication;

      3) within ten working days after the state registration of this Resolution, submission the information on the implementation of measures, provided for in subparagraph 2) of this paragraph and paragraph 4 of this Resolution, to the Legal Department.

      4. Within ten calendar days after the state registration of this Resolution the Department of External Communications - the press service of the National Bank of the Republic of Kazakhstan shall ensure the direction of copy hereof to periodicals for official publication.

      5. Control over execution of this resolution shall be entrusted to Deputy Chairman of the National Bank of the Republic of Kazakhstan O. A. Smolyakova.

      6. This Resolution shall come into effect upon expiry calendar days after the day of its first official publication.

      7. Second-tier banks, by October 1, 2020, shall bring their activities in accordance with the requirements of this Resolution.

      Footnote. Paragraph 7 is in the wording of the Resolution of the Board of the Agency of the Republic of Kazakhstan on regulation and development of the financial market dated June 18, 2020 No. 66 (shall be enforced from the date of its first official publication).

      Chairman of the
      National Bank Ye. Dossayev

  Approved by the
Resolution of the Board of the
National Bank of the
Republic of Kazakhstan
dated November 12, 2019 No. 188

The Rules for formation of risk management and internal control system for second-tier banks, branches of non-resident banks of the Republic of Kazakhstan

      Footnote. The title - as amended by the resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 02/24/2021 No. 43 (shall come into effect ten calendar days after the day of its first official publication).

      1. These Rules for formation of risk management and internal control system for second-tier banks, branches of non-resident banks of the Republic of Kazakhstan (hereinafter referred to as the Rules) have been developed in accordance with part two of paragraph 1 of Article 40-5 of the Law of the Republic of Kazakhstan dated August 31, 1995 "On Banks" and banking activities in the Republic of Kazakhstan" (hereinafter referred to as the Law on Banks) and shall establish the procedure for forming risk management system and internal control of second-tier banks, branches of non-resident banks of the Republic of Kazakhstan (hereinafter referred to as the bank).

      Footnote. Paragraph 1 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated February 24, 2021 No. 43 (shall come into effect ten calendar days after the day of its first official publication).

      2. The following concepts shall be used in the Rules:

      1) information security risk - the possibility of damage due to a violation of confidentiality, deliberate violation of the integrity or availability of information assets of the bank;

      2) information technology risk - the possibility of damage due to failure (malfunction) of information and communication technologies operated by the bank;

      3) the authorized collegial body of the bank - the board of directors, a committee under the board of directors, the board, a committee under the board;

      4) reputational risk - the possibility of losses, failure to receive planned income as a result of a narrowing of the client base, a decrease in other development indicators due to the formation in society of a negative image of the bank's reliability, the quality of the services it provides or the nature of the activities of the bank in general;

      5) legal risk - the possibility of losses due to failure by a bank or counterparty to comply with the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating the legalization (laundering) of proceeds from crime, and the financing of terrorism, on joint stock companies, and in relations with non-residents of the Republic of Kazakhstan - the legislation of the country of its origin, as well as the terms of concluded agreements;

      6) internal process for assessing capital adequacy - a set of processes for managing significant risks, taking into account the volume of assets, the nature and level of complexity of activities, organizational structure, strategic plans, the risk profile of the bank, regulatory framework, assessment and aggregation of such risks to determine the target level sufficiency of the bank's capital to maintain a stable financial position and solvency.

      The capital of a branch of a non-resident bank of the Republic of Kazakhstan means the assets of a branch of a non-resident bank of the Republic of Kazakhstan, accepted as a reserve, calculated in accordance with the requirements of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated February 12, 2021 No. 23 "On the establishment of prudential standards and other mandatory norms and limits for branches of non-resident banks of the Republic of Kazakhstan (including branches of Islamic non-resident banks of the Republic of Kazakhstan), their regulatory values and calculation methods, including the procedure for forming assets of branches of non-resident banks of the Republic of Kazakhstan (including branches Islamic non-resident banks of the Republic of Kazakhstan) accepted as a reserve, and their minimum size", registered in the State Register of Normative Legal Acts under No. 22213;

      7) capital financing plan – a set of procedures and action plan for responding to a critical decrease in the bank’s capital;

      8) statistical journal of the value of collateral - an internal journal of the value of collateral, including a description and characteristics of the collateral, information based on the results of the first and most current assessments of an independent quality assessment (date of assessment, name of the independent quality assessment, cost, assessment method), conclusions of the collateral service (date, cost), reasons for differences in costs, information on sales (if any);

      9) unsecured consumer loan - a bank loan without a collateral condition at the time of issue, provided to an individual for purposes not related to business activities;

      10) compliance risk - the possibility of losses due to non-compliance by the bank and its employees with the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint stock companies, internal documents of the bank regulating the procedure for the bank to provide services and conduct transactions in the financial market, as well as the legislation of foreign countries that influences the activities of the bank;

      11) corporate governance - a system of relationships between the board of the bank (the corresponding executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, the executive employees of the branch of a non-resident bank of the Republic of Kazakhstan), the board of directors (the corresponding governing body of a non-resident bank of the Republic of Kazakhstan, whose branch is opened on the territory of the Republic of Kazakhstan) by shareholders, managers and auditors, as well as the relationship between the authorized collegial bodies of the bank.

      The corporate governance system shall allow to organize the distribution of powers and responsibilities, as well as build a corporate decision-making process;

      12) credit risk – the possibility of losses arising as a result of the borrower or counterparty’s failure to fulfill its obligations in accordance with the terms of the bank loan agreement;

      13) creditworthiness - a comprehensive legal and financial characteristic of the borrower, represented by financial and non-financial indicators, allowing one to assess his ability in the future to fully and on time fulfill his obligations under a bank loan agreement;

      14) loan agreement - an agreement between the bank and the borrower on the provision of financing (including conditional financing), as a result of which the bank has (or will arise in the future) claims on the borrower;

      15) contingency financing plan - a set of procedures and action plan to respond to a decrease in the bank’s ability to timely meet its obligations;

      16) supervisory stress testing - a tool of an authorized body aimed at assessing the financial stability of banks to hypothetical (stress) scenarios. Banks, based on a methodology and scenarios common to all participants in supervisory stress testing, shall carry out calculations using internal models and provide stress testing results to the authorized body. In this case, banks shall be responsible for the proper quality of the calculations performed and the results of stress testing;

      17) authorized body for financial monitoring - a state body that carries out financial monitoring and takes other measures to combat the legalization (laundering) of proceeds from crime, the financing of terrorism, and the financing of the proliferation of weapons of mass destruction;

      18) unit-owner of protected information - a unit of the bank, owner of the information, violation of the confidentiality, integrity or availability of which will lead to losses for the bank;

      19) critical information asset - an information asset determined in accordance with the Resolution of the Board of the National Bank of the Republic of Kazakhstan dated March 27, 2018 No. 48 "On approval of Requirements for ensuring information security of banks, branches of non-resident banks of the Republic of Kazakhstan and organizations carrying out certain types of banking operations, Rules and terms for providing information about information security incidents, including information about violations, failures in information systems", registered in the State Register of Normative Legal Acts under No. 16772;

      20) significant risk – a risk, the implementation of which will lead to a deterioration in the financial stability of the bank;

      21) conflict of interests - a situation in which a contradiction arises between the personal interests of bank officials (officials of the management body, the executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is open on the territory of the Republic of Kazakhstan, executive employees of a branch of a non-resident bank of the Republic of Kazakhstan), its shareholders and (or) its employees and their proper performance of their official powers or property and other interests of the bank and (or) its employees and (or) clients, which will entail adverse consequences for the bank and (or) its clients;

      22) market risk - the possibility of financial losses on balance sheet and off-balance sheet items due to unfavourable changes in the market situation, expressed in changes in market interest rates, foreign exchange rates, the market value of financial instruments, goods;

      23) operational risk - the possibility of losses as a result of inadequate and insufficient internal processes, human resources and systems, or the influence of external events, except for strategic risk and reputational risk;

      24) internal process for assessing liquidity adequacy - a set of liquidity risk management processes to maintain the bank at an appropriate level of liquidity and implement an appropriate liquidity risk management system at various time intervals depending on the type of activity and currency;

      25) liquidity risk - the possibility of financial losses as a result of the bank’s inability to fulfil its obligations on time without significant losses;

      26) interest rate risk – the risk of financial expenses (losses) due to unfavourable changes in interest rates on the assets and liabilities of the bank;

      27) policy - an internal document approved by the board of directors of the bank that shall define the main quantitative and qualitative parameters, principles, and standards that ensure the effective functioning of the bank and compliance of its activities with the strategy, risk profile, and risk appetite. As part of the policy, the board of directors of the bank shall ensure the availability of appropriate internal documents describing individual procedures, processes, and instructions;

      28) strategic risk - the possibility of losses as a result of errors (shortcomings) made when making decisions that determine the strategic development of the bank and expressed in insufficient consideration of possible dangers inherent in the activities of the bank, incorrect or insufficiently substantiated determination of promising areas of activity in which the bank will achieve an advantage before competitors, the absence or incomplete provision of the necessary resources and organizational measures to ensure the achievement of the strategic goals of the activities of the bank;

      29) stress testing – a method for assessing the potential impact of exceptional but possible events on the financial condition of the bank;

      30) risk - the possibility that expected or unforeseen events will harm the financial stability of the bank, its capital and (or) income;

      31) risk profile - a set of types of risks and other information characterizing the degree of exposure of the bank to risks inherent in all types of activities of the bank to identify weaknesses and determine the priority of subsequent actions within the risk management system;

      32) risk appetite – aggregated level(s) of significant risks (limits of acceptable risk), which the bank is ready to accept or intends to exclude when implementing the strategy;

      33) risk appetite statement – a document approved by the board of directors of the bank that describes the aggregated level(s) of significant risks (limits of acceptable risk), which the bank is ready to accept or intends to exclude when implementing the strategy. The risk appetite statement shall contain statements of a qualitative nature as well as a quantitative nature, including indicators regarding profitability, capital, liquidity, risks, and other applicable indicators;

      34) risk culture – processes, procedures, internal rules of the bank aimed at understanding, accepting, managing and controlling risks to minimize their impact on the financial condition of the bank, as well as ethical norms and standards of professional activity of all participants in the organizational structure. Risk culture shall complement the existing approved procedures, processes and mechanisms of the activities of the bank and is an integral component of the risk management system;

      35) risk treatment – the process of selecting and implementing measures to change risks;

      36) risk register – a structured list of risks containing the criteria and causes of risks, the possibility of their occurrence, impact (damage), priority and methods of risk treatment;

      37) authorized body - a state body that carries out state regulation, control and supervision of the financial market and financial organizations;

      38) organizational structure - an internal document and (or) a set of internal documents establishing the quantitative composition and system of management bodies, management employees and structural units of the bank, reflecting the structure of subordination and accountability;

      39) a participant of the Astana International Financial Center providing services for managing the digital asset platform - a legal entity registered in accordance with the current law of the Astana International Financial Center and carrying out activities on managing the digital asset platform on the territory of the Astana International Financial Center;

      40) internal (economic) capital - capital necessary to cover significant risks, including potential ones, accepted by the bank, calculated within the bank using its models.

      When applying the requirements of the Rules to a branch of a non-resident bank of the Republic of Kazakhstan:

      the board of directors refers to the relevant governing body of a non-resident bank of the Republic of Kazakhstan;

      the board refers to the management employees of a branch of a non-resident bank of the Republic of Kazakhstan;

      equity capital refers to the assets of a branch of a non-resident bank of the Republic of Kazakhstan, accepted as a reserve, calculated in accordance with the requirements of the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated February 12, 2021 No. 23 "On the establishment of prudential standards and other mandatory requirements norms and limits for branches of non-resident banks of the Republic of Kazakhstan (including branches of Islamic non-resident banks of the Republic of Kazakhstan), their regulatory values and calculation methods, including the procedure for forming assets of branches of non-resident banks of the Republic of Kazakhstan (including branches of Islamic non-resident banks of the Republic Kazakhstan) accepted as a reserve, and their minimum size", registered in the Register of State Registration of Normative Legal Acts under No. 22213;

      financial reporting refers to reporting according to the accounting data of a branch of a non-resident bank of the Republic of Kazakhstan;

      the head of risk management refers to the head of the risk management unit of a branch of a non-resident bank of the Republic of Kazakhstan;

      the chief compliance controller refers to the head of the compliance control unit of a branch of a non-resident bank of the Republic of Kazakhstan.

      Footnote. Paragraph 2 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119(shall come into force ten calendar days after the day of its first official publication).

      3. The purpose of the Rules is to determine the requirements for the formation of risk management systems and internal control by the bank by ensuring:

      1) effective management of the bank risks through their timely identification, measurement, control and monitoring to ensure that the bank equity is consistent with the level of risks taken by it and that there is an appropriate level of liquidity;

      2) good corporate governance practices and an appropriate level of business ethics and risk culture;

      3) compliance by the bank and its employees with the requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies, internal policies, procedures and other internal documents of a bank;

      4) timely detection and elimination of deficiencies in the activities of the bank and its employees;

      5) creation of adequate mechanisms in the bank to deal with unforeseen or emergency situations.

      4. The board of directors of the bank shall ensure that a risk management system is in place that matches the selected business model, scale of activity, in terms of types and complexity of operations, and shall provide an appropriate process for identifying, measuring and evaluating, monitoring, controlling and minimizing significant bank risks in order to determine the bank’s equity and liquidity necessary to cover significant risks inherent in the bank business.

      The risk management system is a set of components established by the Rules, which shall provide a mechanism for the interaction of internal procedures developed, regulated by the bank, processes, policies, structural units of the bank in order to timely identify, measure, control and monitor the risks of the bank, as well as minimize them to ensure its financial stability and stable functioning.

      5. The risk management system shall ensure:

      1) the optimal relationship between the profitability of the main activities of the bank and the level of risks taken, based on the choice of a viable and sustainable business model, an effective strategy and a budget planning process, taking into account the risk appetite strategy;

      2) an objective assessment of the size of the bank’s risks, the completeness and documentation of risk management processes, their preventive identification, measurement and assessment, monitoring and control, and minimization of significant types of risks at each level of the organizational structure with the optimal use of financial resources, personnel and information systems to maintain sufficient the volume of the bank's equity capital and liquidity;

      3) coverage of all types of bank activities exposed to significant risks at all levels of the organizational structure, complete assessment of individual significant types of risks, and their mutual influence to determine the bank’s risk profile and build a risk appetite strategy;

      4) availability of risk appetite levels for all types of significant risks and an algorithm of actions in cases of violation of established levels, including responsibility for accepting risks whose level is determined to be high, procedures for informing the board of directors, committees under the board of directors and the board of the bank (the relevant executive body a non-resident bank of the Republic of Kazakhstan, a branch of which is opened on the territory of the Republic of Kazakhstan) as part of the risk appetite strategy;

      5) awareness of the authorized collegial bodies of the bank making decisions that carry risks, through the construction of an effective corporate governance system, the availability of complete, reliable and timely management information about the significant risks inherent in the activities of the bank;

      6) rational decision-making and action in the interests of the bank based on a comprehensive assessment of the information provided in good faith, with due diligence and care (duty of care). The duty of care and diligence shall not apply to errors in business decision-making unless the employees and officers of the bank were grossly negligent;

      7) making decisions by employees and officials of the bank and acting in good faith in the interests of the bank, without taking into account personal benefits, the interests of persons associated with the bank by special relations, to the detriment of the interests of the bank (duty of loyalty);

      8) clear distribution of functions, responsibilities and powers of risk management between all structural units and employees of the bank, their responsibilities, taking into account minimizing conflicts of interest;

      9) separation of the risk management and internal control functions from the bank’s operating activities by building a system of three lines of defense, which includes:

      the first line - at the level of the bank's structural units;

      the second line - at the level of risk management units and those performing control functions;

      the third line - at the level of the internal audit unit in terms of assessing the effectiveness of the risk management system;

      10) availability of documents developed to regulate the activities of the bank, create and operate effective risk management and internal control systems in the bank and corresponding to the strategy, organizational structure, risk profile of the bank and the requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on the mandatory guarantee of deposits, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint stock companies, as well as their periodic review and updating;

      11) compliance with the requirements of civil, tax, and banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and exchange control, on payments and payment systems, on pensions, on the securities market, about accounting and financial reporting, about credit bureaus and the formation of credit histories, about collection activities, about mandatory deposit guarantees, about combating the legalization (laundering) of proceeds from crime and the financing of terrorism, about joint-stock companies;

      12) compliance with current procedures, processes, policies and other internal documents of the bank for risk management through building an effective internal control system.

      Footnote. Paragraph 5 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 02.24.2021 No. 43 (shall come into force ten calendar days after the day of its first official publication).

      6. The authorized body, in the framework of evaluating the effectiveness of the bank’s risk management system, shall be guided by the following principles:

      1) ensuring the financial stability of banks, preventing deterioration of the financial situation of banks and increasing risks associated with the activities of banks, protecting the legitimate interests of depositors, creditors, customers and correspondents of banks;

      2) prevalence of the essence over the form, expressed in the assessment of the bank’s risk management system as a mechanism for measuring and evaluating, monitoring, controlling, and minimizing the bank’s significant risks, rather than formally regulated bank procedures and compliance with the civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies, internal documents of the bank;

      3) proportionality in the exercise of control and supervision functions, as well as when applying the results of control and supervision, measures provided for by the laws of the Republic of Kazakhstan, based on the business model adopted by the bank, the scale of activity, types and complexity of operations and the materiality of the bank's risks;

      4) application of a uniform approach to the assessment of the risk management system and supervisory response measures;

      5) identification of significant risks in the activities of the bank.

      7. The authorized body shall evaluate:

      1) the effect of corporate governance system;

      2) significant risks inherent in the bank's activities, taking into account the types and complexity of the bank's operations;

      3) compliance of the risk management systems with the selected business model, the scope of activities, types and complexity of the bank's operations;

      4) financial condition of large participants of the bank in order to determine the possibility of maintaining the financial stability of the bank;

      5) impact of the financial condition of the participants of the banking conglomerate on the financial stability of the bank;

      6) the effectiveness of the application of preventive measures in order to prevent the deterioration of the financial stability of the bank by adjusting risk management systems based on the scale of activity and the level of risks taken;

      7) application of a system of quantitative and qualitative indicators in the framework of assessing the activities of the bank and the effectiveness of modeling methods.

Chapter 2. Business Model

      8. Business model of a bank is a combination of the chosen strategy, products, and planning processes that ensure competitiveness and a sufficient level of profitability. The main principles in the formation of a business model of a bank shall be:

      1) viability, expressed in the bank's ability to provide a sufficient level of profitability in the next 12 (twelve) months and based on budget planning and forecasting of financial indicators;

      2) sustainability, expressed in the ability of the bank to provide a sufficient level of profitability for a period of at least 3 (three) years and based on strategic planning and forecasting of financial indicators.

      Bank shall conduct regular analysis of the business model in order to assess the impact on it of strategic risks and the risks inherent in the activities of the bank.

      Banking activities shall be carried out within the framework of the chosen business model taking into account the volume of assets, the nature and level of complexity of the activity, organizational structure, and risk profile.

      9. The strategy of the bank shall be approved by the board of directors of the bank for a period of at least 3 (three) years and shall contain:

      1) the mission and goals of development of the bank. Goals shall be measurable, achievable, realistic, and have precise timelines for implementation;

      2) target market segments by sectors of the economy and geographical distribution of the development of the bank;

      3) analysis of the strengths and weaknesses of the selected bank strategy, taking into account key sources of income;

      4) quantitative indicators of the loan portfolio, liquid assets, customer deposits and other borrowed funds, taking into account the established levels of risk appetite. At the same time, realistic assumptions shall be used that take into account available and accessible resources, current and potential economic conditions;

      5) analysis of key sources of income;

      6) key types of investments, their structure and planned changes, including the introduction and development of new products and services, taking into account the assessment of risks and processes associated with their implementation and development, as well as assessing the current capabilities of the bank to introduce and develop such products;

      7) scenarios of the strategic development of the bank's activity (negative, and the most possible scenarios).

      10. The budget of the bank shall be approved annually by the board of directors of the bank and shall contain a monthly forecast of financial indicators (assets and liabilities, income and expenses, information on the loan portfolio, customer deposits and other borrowed funds, by currency (national and foreign currencies in total), categories of customers).

      The budget shall correspond to the strategy of the bank. Therewith, the assumptions used shall be realistic and take into account available and accessible resources, current and potential economic conditions and possible risks.

      One of the components of effective budget planning shall be the tariff policy, which minimally includes the following components:

      internal procedures and procedures for conducting market analysis of demand and prices for banking services;

      internal procedure and procedures for the formation of the structure of interest rates and tariffs;

      acceptable lower and upper limits for interest rates and tariffs for the bank, as well as requirements for the internal procedure for their approval, taking into account the requirements of the civil and banking legislation of the Republic of Kazakhstan, on payments and payment systems, on mandatory guarantee of deposits, their application and periodic review;

      criteria for choosing a method for determining prices for banking services, as well as requirements for methods based on assessing the nature and level of complexity of the bank's activities and the risks inherent in the bank;

      participants in the pricing process and the order of interaction between them, including the exchange of information;

      the internal procedure and procedures for timely informing bank customers about the conditions for the provision of banking services, as well as informing about changes.

      Bank shall monthly analyze the budget to ensure that the predicted indicators are consistent with the actual values; the reasons for the deviations detected, followed by the development of corrective corrective measures, if necessary, and shall make reasonable adjustments with their further documentation.

      11. In the process of strategic and budget planning, the bank shall analyze the key sources of profitability in order to identify potential risks.

      In order to keep the strategy and budget of the bank up to date, the bank shall annually analyze the target markets where it operates, evaluate the competitive environment, the adequacy of resources and the ability to generate short and long term returns.

      Strategic and budget planning shall be carried out within the framework of accepted and approved levels of risk appetite.

Chapter 3. Risk Appetite Strategy

      12. In order to build an effective risk management system, the board of directors of the bank shall approve the risk appetite strategy as a separate document, or as an integral part of the strategy of the bank. The risk appetite strategy shall define clear boundaries of the volume of accepted risks where the bank operates as part of the implementation of the bank’s general strategy, and shall also determine the risk profile of the bank’s activities in order to prevent risks or minimize their negative impact on the financial position of the bank. The risk appetite strategy shall be taken into account:

      1) in strategic and budget planning defined by Chapter 2 of the Rules;

      2) in internal processes for assessing capital adequacy and liquidity, as defined by Chapters 5 and 6 of the Rules;

      3) in formation of the organizational structure of the bank and the wage policy defined by Chapter 4 of the Rules.

      13. Effective risk appetite strategy shall:

      1) contain a description of the risk profile of the bank;

      2) contain the process of disseminating the strategy to all structural units and is brought to the attention of bank employees;

      3) be aimed at introducing a risk culture at all levels of the bank's organizational structure, as well as at disseminating the practice of observing risk appetite levels within the risk culture;

      4) provide protection from the bank taking excessive risks when making decisions;

      5) be the basis for the formation of a statement of risk appetite;

      6) change in case of significant changes in market conditions and (or) the level of financial stability of the bank.

      14. Within the framework of the risk appetite strategy, the board of directors of the bank shall form a risk appetite statement that sets the general direction with respect to the risks accepted by the bank in the framework of budget planning and operational activities of the bank. Effective statement of risk appetite shall:

      1) be formed taking into account the strategy of the bank;

      2) determine for each significant type of risk the aggregated level (levels) of risk appetite, which the bank accepts in its activities taking into account the risk profile;

      3) include quantitative indicators that are used to determine the aggregated level(s) of risk appetite for each significant type of risk;

      4) include a statement of a qualitative nature that describes the grounds for taking risks by the bank, or their exclusion, including reputational and (or) other risks, a quantitative assessment of which is not feasible, and also establishes approaches to control them;

      5) imply a prognostic approach, shall take into account the results of stress testing in order to identify potential events leading to a violation of risk appetite levels.

      15. In order to determine risk appetite, the board of directors of the bank shall set the aggregated level(s) of risk appetite and levels of risk appetite for each type of significant risk.

      The applicable levels of risk appetite shall meet the following requirements:

      have a clear definition;

      be relevant;

      measurable;

      calculated on a periodic basis;

      information on the actual values of risk appetite levels and their performance shall be provided to the board of directors and the committee of the bank risk management;

      developed taking into account the prognostic approach.

      16. Effective levels of risk appetite shall:

      1) be set at a level that facilitates the bank's compliance with the aggregated level(s) of risk appetite;

      2) take into account available capital, liquidity, profitability, development strategy;

      3) take into account all significant concentration risks (concentration on the client, on currency, on country risk, on market segments and other types of concentration);

      4) be based not only on the application of best practices and (or) the requirements of the authorized body, but shall also take into account the essential risks inherent to the bank;

      5) be developed using objective and clear assessments, are not ambiguous;

      6) be regularly reviewed for relevance;

      7) take into account reasonable assumptions, supported by the results of stress testing.

      17. The procedure for determining risk appetite levels shall include, but shall not be limited to, the following components:

      1) the internal procedure for calculating and determining quantitative and qualitative parameters characterizing the levels of risk appetite of the bank;

      2) information and materials, methods and tools used to calculate and determine risk appetite levels;

      3) responsible executives and (or) departments of the bank involved in calculating and determining the risk appetite levels of the bank and responsible for monitoring and monitoring the established levels of risk appetite;

      4) the conditions under which an adjustment is made to the risk appetite approved at the level.

      Quantitative methods used to establish risk appetite levels shall a high degree of reliability in assessing the level of risk.

      18. Risk appetite levels shall include the following risk level limits:

      1) the level that does not require the application of corrective measures;

      2) the level defined as permissible, but requiring separate corrective measures in the existing procedures of the risk management system in order to reduce the risk level;

      3) the level defined as high, requiring the application of appropriate measures to prevent the deterioration of the financial stability of the bank and its solvency.

      When determining risk appetite, the bank shall assess the acceptability of the established risk appetite in the current time period and to what extend it will be acceptable in the future by means of stress testing (scenario analysis and sensitivity analysis).

      If significant risks are identified that are not described in the risk profile, the bank shall assess the level of risk, finalize appropriate procedures to include such risks in the risk profile, determine the level of risk appetite and develop measures to prevent and (or) minimize the identified risk.

      Aggregated level(s) of risk appetite shall be established and reviewed (revised) on a periodic basis. The levels of risk appetite for certain types of risk shall be reviewed during the year when the situation on the market changes and (or) changes in the requirements of the authorized body, but within the aggregated level of risk appetite.

Chapter 4. Corporate Governance

      19. The main elements of an effective corporate governance system are:

      1) organizational structure;

      2) corporate values;

      3) strategy of the activities of the bank;

      4) distribution of responsibilities and powers regarding decision-making between the authorized bodies of the bank;

      5) mechanisms of interaction and cooperation between members of the board of directors, the board (the relevant executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, senior employees of a branch of a non-resident bank of the Republic of Kazakhstan), external and internal auditors of the bank;

      6) procedures and techniques for risk management;

      7) internal control system;

      8) reward system;

      9) the presence of an adequate management reporting system;

      10) transparency of corporate governance.

      Footnote. Paragraph 19 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated February 24, 2021 No. 43 (shall come into effect ten calendar days after the day of its first official publication).

      20. The organizational structure of the bank shall correspond to the chosen business model, scale of activity, types and complexity of operations, minimize conflicts of interest and distribute powers for risk management between collegial bodies and structural units, including, but not limited to:

      1) board of directors of the bank;

      2) committees under the board of directors of the bank;

      3) the board of the bank (the relevant executive body of a non-resident bank of the Republic of Kazakhstan, a branch of which is opened on the territory of the Republic of Kazakhstan, senior employees of a branch of a non-resident bank of the Republic of Kazakhstan);

      4) risk management unit(s);

      compliance control unit;

      6) internal audit unit;

      7) unit performing the functions of a collateral service, including an outsourced collateral service (except for cases where the bank’s strategy does not provide for the provision of loans secured by collateral and there are no loans issued against collateral in the bank’s current portfolio) (hereinafter referred to as the Collateral unit services).

      Footnote. Paragraph 20 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (the order of enforcement see Paragraph 5).

      21. The basic principles and responsibilities of the board of directors of the bank shall include:

      1) rational decision-making and action in the interests of the bank based on a comprehensive assessment of the information provided in good faith, with due diligence and care (duty of care). The duty of care and care shall not apply to errors in business decision-making unless the board members are grossly negligent;

      2) making decisions and acting in good faith in the interests of the bank, without taking into account personal benefits, the interests of persons associated with the bank by special relations, to the detriment of the interests of the bank (duty of loyalty);

      3) active involvement in the activities of the bank and awareness of significant changes in the activities of the bank and external conditions, as well as making timely decisions aimed at protecting the interests of the bank in the long term;

      4) preliminary consideration of the draft corporate governance code and (or) amendments to it.

      Within the framework of the corporate governance code, a procedure for managing conflicts of interest and mechanisms for its implementation, as well as monitoring execution, shall be developed. The procedure shall contain the following components:

      mechanism for the procedure for minimizing conflicts of interest in the activities of the bank;

      the approval process that a board member undergoes before serving as an officer in another organization to prevent conflicts of interest;

      the obligation of members of the board of directors to immediately provide information on any issue that creates a conflict of interest or is a potential cause of its occurrence;

      the obligation of members of the board of directors to abstain from voting on issues in which a member of the board of directors has a conflict of interest;

      mechanism for the board of directors to respond to violations of the provisions of the procedure.

      Within the framework of the corporate governance code, procedures shall be developed through which bank employees confidentially report violations relating to the bank's activities;

      5) ensuring compliance of the bank’s corporate governance system with the following principles:

      compliance with the scale and nature of the activities of the bank, its structure, risk profile, and business model of the bank;

      protection of the rights of shareholders provided for in accordance with the civil, banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on joint stock companies and support for the implementation of these rights;

      ensuring timely and reliable disclosure of information in accordance with the banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, the legislation of the Republic of Kazakhstan, on currency regulation and exchange control, on payments and payment systems, on the securities market papers on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint stock companies;

      to perform their duties, members of the board of directors have access to complete, current and timely information;

      6) approval of the following internal documents and control of their execution:

      organizational structure of the bank;

      bank development strategies;

      bank profitability management policies;

      stress testing procedures and scenarios;

      contingency financing plan;

      business continuity management policies;

      internal procedure for the payment of remuneration to the bank's executive officers and bank employees directly accountable to the board of directors of the bank;

      personnel policy;

      wage policies;

      accounting policy;

      tariff policy;

      credit policy;

      policy on problem assets;

      a document regulating the main approaches and principles of the internal process of assessing capital adequacy (hereinafter referred to as ICAAP);

      a document regulating the main approaches and principles of the internal process of assessing liquidity adequacy (hereinafter referred to as ILAAP);

      information technology and information security risk management policy(ies) of the bank;

      internal control policies;

      credit risk management policies;

      market risk management policies;

      operational risk management policies;

      compliance risk management policies;

      policies for managing the risk of legalization (laundering) of proceeds from crime and the financing of terrorism (hereinafter referred to as the ML/TF);

      collateral policy;

      liquidity management policies;

      internal audit policy, internal auditor code of ethics, regulations on the internal audit unit, internal audit procedures, annual internal audit plan;

      policies (procedures) for engaging an external auditor;

      7) approval of the risk appetite strategy and risk appetite levels of the bank;

      8) monitoring compliance with the risk appetite strategy, risk appetite levels and risk management policies;

      9) ensuring the availability of a financial service responsible for accounting and high-quality preparation of financial statements;

      10) preliminary approval of annual financial statements certified by an audit organization, as well as sending a request for periodic independent audits as necessary;

      11) elect members of the board of the bank (members of the relevant executive body of a non-resident bank of the Republic of Kazakhstan, a branch of which is open on the territory of the Republic of Kazakhstan), appoint the head of risk management, the head of internal audit and the chief compliance controller;

      12) consideration of reports sent by the audit committee, with subsequent monitoring of the elimination of identified violations;

      13) control over the effective compliance with bank procedures, through which bank employees confidentially report violations relating to the activities of the bank and the civil, tax, banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, the legislation of the Republic of Kazakhstan on currency regulation and exchange control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on counteraction to legalization (laundering) of proceeds from crime and the financing of terrorism, about joint stock companies, as well as about abuses;

      14) formation of three lines of defense in the bank:

      The first line of defense shall be provided by the bank's structural units responsible for the timely identification and assessment of risks, communicating information about them to the second line of defense units, as well as risk management. The first line of defense shall carry out transactions within the approved levels of the bank's risk appetite and operates within the framework of accepted risk management policies;

      the second line of defense shall be provided by independent units for risk management, compliance control and other units performing control functions (including, within their competence, units performing security functions, financial control, human resources, legal risk management, and operational risk). The risk management unit(s) shall conduct a comprehensive analysis of risks in the bank's activities, generate (form) the necessary reports to the board of directors of the bank and the risk management committee, and facilitate critical assessment and identification of risks by members of the board and business units.

      compliance control unit shall organize procedures to comply with the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint stock companies, legislation of foreign countries that influence the activities of the bank, as well as internal documents of the bank regulating the procedure for the bank to provide services and conduct operations in the financial market, and provide complete and reliable information to the board of directors about the presence of compliance risks;

      the third line of defense shall be provided by an independent internal audit unit responsible for assessing the quality and effectiveness of the risk management and internal control system, the first and second lines of defense;

      15) exercising control over the activities of the board of the bank (the corresponding executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, executive employees of the branch of a non-resident bank of the Republic of Kazakhstan) by:

      monitoring the implementation by the board of the bank (the relevant executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, by the management employees of the branch of a non-resident bank of the Republic of Kazakhstan) of the strategy and policies approved by the board of directors, decisions of the general meeting of shareholders;

      approval of internal documents regulating the activities of the board of the bank (the corresponding executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, executive employees of a branch of a non-resident bank of the Republic of Kazakhstan) in accordance with the Rules;

      ensuring the implementation of the internal control system;

      holding regular meetings with members of the board of the bank (the corresponding executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, senior employees of a branch of a non-resident bank of the Republic of Kazakhstan);

      carrying out analysis and critical assessment of information provided by the board (the relevant executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, by senior employees of a branch of a non-resident bank of the Republic of Kazakhstan);

      establishing the necessary performance standards and remuneration system for members of the board (the corresponding executive body of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan, executive employees of a branch of a non-resident bank of the Republic of Kazakhstan), which correspond to the long-term goals defined by the bank’s strategy, and aimed at financial stability;

      16) interaction and control of the work of the head of risk management (the head of risk management of a non-resident bank of the Republic of Kazakhstan, the branch of which is open on the territory of the Republic of Kazakhstan);

      17) periodic (at least once a year) assessment of the activities of each member of the board of directors of the bank;

      18) ensuring the maintenance of records of decisions made (minutes of meetings, brief information on issues considered, recommendations, if any, as well as special opinions of members of the board of directors of the bank). Such documents and (or) materials shall be provided to the authorized body upon request in accordance with the legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations;

      19) ensuring a developed information technology infrastructure to collect and analyze complete, reliable, timely information for risk management purposes. Awareness of the existence of information technology infrastructure limitations in determining appetite risk levels;

      20) deciding on issuing a loan, the amount of which exceeds 5 (five) percent of the bank’s equity capital based on an analysis and assessment of the feasibility of issuing a loan;

      21) making a decision on issuing an unsecured consumer loan, the amount of which exceeds 20,000,000 (twenty million) tenge based on an analysis and assessment of the feasibility of issuing a bank loan. This Paragraph shall not include cases of issuing an unsecured consumer loan when refinancing mortgage loans.

      Footnote. Paragraph 21 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 02.24.2021 No. 43 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      22. The composition of the board of directors of the bank and qualification requirements for its members shall meet the following requirements:

      1) the composition of the board of directors of the bank and its powers shall be sufficient to exercise effective control;

      2) the board of directors of the bank shall consist of executives with the necessary qualifications, impeccable business reputation and experience, all of which shall be sufficient for the general management of the bank, in accordance with the chosen business model, scale of activity, type and complexity of operations;

      3) members of the board of directors of the bank shall be focused on interaction, cooperation and critical discussion in the decision - making process;

      4) members of the board of directors of the bank shall conscientiously fulfill their duties and make decisions, minimize conflicts of interest.

      23. In order to increase the efficiency and more detailed work in certain areas of the bank’s activities and based on the selected business model, scale of operations, types and complexity of operations, risk profile, the board of directors of the bank creates special committees under the board of directors of the bank.

      Each committee shall carry out its activities within the framework of a document defining its powers, competence, as well as principles of work, the internal procedure for submitting reports to the board of directors of the bank, the tasks facing the members of the committee and restrictions on the duration of work of members of the board of directors of the bank in the committee. The board of directors of the bank shall provide for periodic rotation of members (with the exception of experts) of such committees in order to avoid concentration of powers and to promote the new views.

      The committees shall keep records of decisions made (minutes of meetings, brief information on the issues discussed, recommendations, if any, as well as special opinions of committee members). The chairman of the committee under the board of directors shall be a member of the board of directors who is not a head or member of the executive body.

      24. As part of the risk management system, committees of the board of directors of the bank shall consider the following issues:

      1) strategic planning;

      2) staff and remuneration;

      3) audit;

      4) risk management;

      5) other issues stipulated by internal documents of the bank.

      The consideration of the list of issues shall be carried out by one or several committees of the board of directors of the bank, with the exception of audit issues considered by a separate committee of the board of directors.

      25. The main requirements for the composition of the audit committee:

      1) the audit committee shall include only members of the board of directors of the bank;

      2) the chairman of the audit committee shall be an independent director of the bank;

      3) the audit committee shall include at least one member of the board of directors of the bank with experience in the field of audit and (or) accounting and financial reporting and (or) risk management.

      26. The audit committee shall be responsible for:

      1) ensuring the development of an internal audit policy, code of ethics for the internal auditor, the provisions of the internal audit unit, internal audit procedures and the management information system in accordance with the requirements established by Chapter 12 of the Rules for further submission for approval by the board of directors of the bank;

      2) interaction with the external auditor on the quality of the information provided on the activities of the bank, consideration of the recommendations of external auditors, monitoring the elimination of identified comments, as well as reviewing the annual financial statements certified by the audit organization for further submission for preliminary approval by the board of directors of the bank;

      3) ensuring the development of policies (procedures) for attracting an external auditor for further submission for approval by the board of directors of the bank, including determining:

      criteria and conditions for the selection of an external auditor;

      payment systems for the audit of financial statements, as well as for the provision of advisory services to the bank on audit matters;

      4) consideration of the amount of payment for the services of an external auditor;

      5) preliminary review of the annual internal audit plan;

      6) preliminary consideration of the results of internal and external audit reports, monitoring the timely implementation by the bank's board of actions to eliminate violations and the implementation of recommendations of internal and external audit, discrepancies activities of the policy of the bank, the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies, and international financial reporting standards;

      7) consideration of acts of inspections of the authorized body and opinions of other experts regarding the structure and effectiveness of the overall risk management system and internal morning control at the bank;

      8) consideration of the results of evaluating the effectiveness of internal audit.

      27. The main requirements for the composition of the risk management committee:

      1) the chairman of the risk management committee shall be an independent director of the bank, or the chairman of the board of directors;

      2) the composition shall include at least one member of the bank committee with experience in the field of risk management or internal control.

      28. The Risk Management Committee shall be responsible for:

      1) ensuring the development of a risk appetite strategy, determining the risk profile of a bank;

      2) determination of the size of the aggregated level(s) of the bank’s risk appetite and the bank’s risk appetite levels for each significant type of risk for further submission for approval by the board of directors of the bank;

      3) ensuring the development of a document regulating the basic approaches and principles of ICAAP, taking into account the requirements established by Chapter 5 of the Rules, for further submission for approval by the board of directors of the bank and for monitoring compliance with the approved document;

      4) ensuring the development of a document regulating the basic approaches and principles of the ILAAP, taking into account the requirements established by Chapter 6 of the Rules, for further submission for approval by the board of directors of the bank and for monitoring compliance with the approved document;

      5) ensuring the development of stress testing procedures and stress testing scenarios for further submission for approval by the board of directors of the bank;

      6) ensuring the development of a bank continuity management policy, taking into account the requirements established by Chapter 7 of the Rules, for further submission for approval by the board of directors of the bank and for monitoring compliance with the bank specified in this subparagraph of the policy;

      7) ensuring the development of a contingency financing plan for further submission to the board of directors of the bank for approval;

      8) ensuring the development of policy of risk management of information technology and information security of the bank to meet the requirements established by Chapter 8 of the Rules, for further submission to the approval of the board of directors of the bank and for monitoring compliance by the bank specified in this subparagraph of the policies (policy);

      9) ensuring the development of a compliance risk management policy, taking into account the requirements established by Chapter 9 of the Rules, for further submission for approval by the board of directors of the bank and for monitoring compliance with the bank specified in this subparagraph of the policy;

      10) ensuring the development of an internal procedure that shall determine the functioning of the management information system, which ensures that the board of directors of the bank is provided on a regular basis with complete, reliable and timely information about the level of risks taken. The decree described in this subparagraph shall include the criteria, composition, frequency of formation and form of submission to the board of directors of the bank of management information on the level of risks taken by the bank and its subsidiaries, indicating the structural units and bank agencies responsible for the timely preparation and submission of information to the board of directors of the bank. The management reporting forms contain information taking into account the requirements established by Chapters 5, 6, 7, 8 and 9 of the Rules, as well as information:

      according to the results of stress testing and other tools for assessing and identifying the interconnectedness of bank risks among themselves;

      by assessing the impact of risks on the financial condition of the bank, including assessing changes in income and expenses of the bank, assessing the size and sufficiency and equity, identifying the main factors and causes that caused the changes and affecting key performance indicators;

      11) monitoring the observance by the bank board of risk appetite levels;

      12) the availability of internal models and information systems for risk management of the bank, as well as in order to provide complete, reliable and timely financial, regulatory and managerial information;

      13) consideration of the results of assessing the quality and effectiveness of functioning with the risk management and internal control systems, corporate governance in general, aimed at ensuring the protection of the bank and its reputation for further submission for approval by the board of directors of the bank.

      The Risk Management Committee shall regularly receive the data and reports from the risk management unit(s) and other responsible departments on the current risk level of the bank, violations of risk appetite levels and risk mitigation mechanisms.

      29. The main requirements for the composition of the committee on personnel and remuneration:

      1) the chairman of the personnel and remuneration committee shall be an independent member of the board of directors of the bank;

      2) the committee on personnel and remuneration shall include at least one member of the committee with experience in the field of personnel management.

      30. The Personnel and Remuneration Committee shall be responsible for ensuring the development of:

      1) taking into account the minimization of conflicts of interest, the draft organizational structure of the bank for further approval by the board of directors of the bank;

      2) procedures for managing conflicts of interest and mechanisms for its implementation for further approval by the relevant body of the bank;

      3) policies on remuneration, calculation of monetary rewards, as well as other types of material incentives for the bank’s executive employees for further submission for approval by the board of directors of the bank in accordance with the Resolution of the Board of the National Bank of the Republic of Kazakhstan dated February 24, 2012 No. 74 "On establishing Requirements for internal policy on remuneration, calculation of monetary rewards, as well as other types of material incentives for executive employees of a bank, insurance (reinsurance) organization, insurance broker, the branch of a non-resident bank of the Republic of Kazakhstan, branch of a non-resident insurance (reinsurance) organization of the Republic of Kazakhstan, the branch of an insurance broker - non-resident of the Republic of Kazakhstan", registered in the Register of State Registration of Normative Legal Acts under No. 7525.

      The size of the reward shall directly depend on the risk-to-result ratio. Methods of paying remuneration against future income, the timing and probability of receipt of which are uncertain, shall be carefully weighed based on accepted qualitative and quantitative indicators. The remuneration system shall provide for the possibility of changing the amount of non-fixed remuneration taking into account all risks, including violations of risk appetite limits, internal procedures or requirements of the authorized body.

      Footnote. Paragraph 30 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 30, 2021 No. 110 (shall come into effect from January 1, 2022).

      31. The main requirements for the composition of the strategic planning committee are:

      1) the chairman of the strategic planning committee shall be an independent member of the board of directors of the bank;

      2) the composition of the strategic planning committee shall include at least one member of the committee who has experience in one of the following areas:

      development of information technology;

      development and provision of banking services;

      risk management;

      budget planning.

      32. The Strategic Planning Committee shall be responsible for the preliminary review of:

      1) the draft on the strategy of the bank for further submission for approval by the board of directors of the bank, as well as for monitoring the implementation of the strategy and assessing the compliance of the strategy of the bank with the current market and economic situation, risk profile and financial potential, as well as the requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies;

      2) the draft budget of the bank for the corresponding year for further submission for approval by the board of directors of the bank, as well as for exercising control over its implementation;

      3) the draft of bank profitability management policy for further submission for approval by the board of directors of the bank, as well as monitoring and controlling compliance by the bank and its employees with this policy;

      4) the documents submitted for consideration by the board of directors of the bank containing information on the implementation of the strategy, development plans, achievement of target values ​​of the strategic key indicators of the bank.

      33. The board of the bank shall manage the current activities of the bank in accordance with the chosen business model, scale of activity, types and complexity of operations, risk profile, and internal documents approved by the board of directors of the bank. The board of the bank shall be responsible for:

      1) ensuring the execution of the bank’s strategy, and compliance with procedures, processes and policies approved by the board of directors of the bank;

      2) development of a draft bank strategy for further submission to the board of directors of the bank for approval, as well as for monitoring the implementation of the strategy and assessing the compliance of the bank’s strategy with the current market and economic situation, risk profile and financial potential, as well as the requirements of civil, tax, and banking legislation of the Republic Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies;

      3) development of the bank’s draft budget for the corresponding year for further submission to the board of directors of the bank for approval;

      4) development of a draft bank profitability management policy for further submission to the board of directors of the bank for approval, as well as for monitoring compliance by the bank and its employees with this policy;

      5) development of an internal procedure that determines the communication of the strategy, policies and other internal documents of the bank within 10 (ten) working days from the date of approval and (or) amendments and additions to them to the bank employees in the areas of activity assigned to it, and for the implementation monitoring compliance by the bank and its employees with the requirements of the Rules;

      6) development of the bank’s personnel policy for further approval by the board of directors of the bank, as well as for monitoring its compliance with the strategy, organizational structure, the risk profile of the bank, achieved results and requirements of labor, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on joint-stock companies. The personnel policy shall establish standards, conditions and mechanisms to ensure the involvement of competent management personnel in banking activities and ensure:

      the presence of personnel with the necessary experience, qualifications and impeccable business reputation, capable of managing the processes and risks associated with the activities of the bank;

      maintaining sufficient resources to effectively carry out functions and responsibilities;

      minimizing conflicts of interest in the performance of their duties;

      minimizing the risk of concentration of powers on one employee;

      internal procedure for remuneration of employees, including the procedure for payment of remuneration, as well as other types of material incentives;

      assessing the performance of bank employees;

      7) development of a tariff policy for further submission to the board of directors for approval, as well as for monitoring compliance by the bank and its employees with the tariff policy;

      8) development of the bank’s credit policy for further submission to the risk management committee and approval of the board of directors of the bank;

      9) approval of the plan (plans) to ensure continuity and (or) restoration of activities;

      10) providing the board of directors of the bank with the necessary information to monitor and evaluate the quality of the work of the board in accordance with the established internal documents of the bank and the Rules, which shall include:

      achievement by the board of directors of the bank of the goals established in the bank's strategy, indicating, if any, the reasons preventing their achievement;

      compliance of the bank's activities with the strategy and policies approved by the board of directors of the bank;

      the results of the activities of the bank and its financial position, including information on the stability (volatility) of the bank’s profitability;

      inconsistency of the bank’s decisions with procedures, processes and policies approved by the board of directors of the bank;

      exceeding the approved levels of risk appetite and the reasons for their violation;

      information on the timeliness, completeness and quality of elimination by the board of the bank of violations and shortcomings identified by the departments of compliance control, risk management, internal control, internal audit, and external audit and the authorized body, as well as the implementation of their recommendations;

      information on the state of internal control, in terms of timely identification of incorrect, incomplete or unauthorized transactions, shortcomings in activities to ensure the safety of assets, errors in the formation of financial and regulatory reporting, violations of internal documents of the bank, requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and formation of credit histories, collection activities, mandatory guarantee of deposits, combating legalization (laundering) of proceeds from crime and the financing of terrorism, joint stock companies, as well as the exclusion of conflicts of interest and internal abuses and fraud, including in relation to individuals connected with the bank by special relations;

      11) development of an internal procedure for considering customer requests arising in the process of providing banking services, as well as for monitoring the bank’s compliance with the requirements specified in this subparagraph. The internal procedure for considering customer requests shall take into account the requirements of the banking legislation of the Republic of Kazakhstan and determine:

      procedures for handling customer complaints (applications), including reception, initial processing, registration of requests received by the bank, and responses to customer requests;

      a structural unit of the bank responsible for maintaining records of customer requests;

      procedures for communicating (transferring) received requests to the responsible structural units or employees who will be tasked with processing and preparing a response to the client’s request;

      deadlines for timely processing of customer requests and preparation of responses to customer requests;

      internal procedure for interaction between the bank’s structural units when considering customer requests and preparing responses to customer requests;

      internal order and procedures for maintaining a classifier of received requests from bank clients;

      12) development of a procedure and (or) internal procedure for refusing to carry out transactions with a high risk of ML/TF, as well as terminating business relations with a client, taking into account the inherent risk factors.

      The relevant executive body of a non-resident bank of the Republic of Kazakhstan shall be responsible for:

      1) development of a draft strategy for a branch of a non-resident bank of the Republic of Kazakhstan for further submission for approval by the relevant management body of a non-resident bank of the Republic of Kazakhstan;

      2) development of a draft budget for a branch of a non-resident bank of the Republic of Kazakhstan for the corresponding year for further submission for approval by the relevant management body of a non-resident bank of the Republic of Kazakhstan;

      3) development of a draft policy for managing the profitability of a branch of a non-resident bank of the Republic of Kazakhstan for further submission for approval by the relevant management body of a non-resident bank of the Republic of Kazakhstan;

      4) development of an internal procedure that determines the communication of the strategy, policies and other internal documents of a non-resident bank of the Republic of Kazakhstan within 10 (ten) working days from the date of approval and (or) introduction of changes and additions to them to employees of a branch of a non-resident bank of the Republic of Kazakhstan on areas of activity assigned to it;

      5) development of personnel policy for a branch of a non-resident bank of the Republic of Kazakhstan for further approval by the relevant management body of a non-resident bank of the Republic of Kazakhstan. The personnel policy shall establish standards, conditions and mechanisms to ensure the involvement of competent management personnel in banking activities and ensure:

      the presence of personnel with the necessary experience, qualifications and impeccable business reputation, capable of managing the processes and risks associated with the activities of a branch of a non-resident bank of the Republic of Kazakhstan;

      maintaining sufficient resources to effectively carry out functions and responsibilities;

      minimizing conflicts of interest in the performance of their duties;

      minimizing the risk of concentration of powers on one employee;

      internal procedure for remuneration of employees of a branch of a non-resident bank of the Republic of Kazakhstan, including the procedure for payment of remuneration, as well as other types of material incentives;

      conducting an assessment of the performance of employees of a branch of a non-resident bank of the Republic of Kazakhstan;

      6) development of a tariff policy for further submission to the relevant management body of a non-resident bank of the Republic of Kazakhstan for approval;

      7) development of a credit policy for a branch of a non-resident bank of the Republic of Kazakhstan for further submission to the risk management committee and approval by the relevant management body of a non-resident bank of the Republic of Kazakhstan;

      8) approval of the plan (plans) to ensure continuity and (or) restoration of the activities of a branch of a non-resident bank of the Republic of Kazakhstan;

      9) development of an internal procedure for considering customer requests arising in the process of providing banking services by a branch of a non-resident bank of the Republic of Kazakhstan. The internal procedure for considering customer requests shall take into account the requirements of the banking legislation of the Republic of Kazakhstan and determine:

      procedures for maintaining records of customer complaints (applications), including reception, initial processing, registration of requests received by a branch of a non-resident bank of the Republic of Kazakhstan, and responses to customer requests;

      a structural subunit of a branch of a non-resident bank of the Republic of Kazakhstan responsible for record-keeping on customer requests;

      procedures for communicating (transferring) received requests to the responsible structural units or employees who will be tasked with processing and preparing a response to the client’s request;

      deadlines for timely processing of customer requests and preparation of responses to customer requests;

      internal procedure for interaction between structural units of a branch of a non-resident bank of the Republic of Kazakhstan when considering customer requests and preparing responses to customer requests;

      internal order and procedures for maintaining a classifier of received requests from clients of a branch of a non-resident bank of the Republic of Kazakhstan;

      10) development of a procedure and (or) internal procedure for refusing to carry out transactions with a high risk of ML/TF, as well as terminating business relations with a client, taking into account the inherent risk factors.

      Managers of a branch of a non-resident bank of the Republic of Kazakhstan shall manage the current activities of a branch of a non-resident bank of the Republic of Kazakhstan in accordance with the chosen business model, scale of activity, types and complexity of operations, risk profile and internal documents approved by the relevant management body of the non-resident bank of the Republic of Kazakhstan, and shall be responsible for:

      1) ensuring the execution of the strategy of a branch of a non-resident bank of the Republic of Kazakhstan, compliance with the procedures, processes and policies approved by the non-resident bank of the Republic of Kazakhstan;

      2) monitoring the implementation of the strategy and assessing the compliance of the strategy of a branch of a non-resident bank of the Republic of Kazakhstan with the current market and economic situation, risk profile and financial potential, as well as the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and exchange control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory guarantee of deposits, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism;

      3) monitoring compliance by a branch of a non-resident bank of the Republic of Kazakhstan and its employees with the profitability management policy of a branch of a non-resident bank of the Republic of Kazakhstan;

      4) monitoring the compliance of the personnel policy of a branch of a non-resident bank of the Republic of Kazakhstan with the strategy, organizational structure, and risk profile of a branch of a non-resident bank of the Republic of Kazakhstan, achieved results and the requirements of labor and banking legislation of the Republic of Kazakhstan;

      5) monitoring compliance by a branch of a non-resident bank of the Republic of Kazakhstan and its employees with tariff policy;

      6) providing the relevant management body of a non-resident bank of the Republic of Kazakhstan with the necessary information for monitoring and assessing the quality of work of management employees of a branch of a non-resident bank of the Republic of Kazakhstan in accordance with the established internal documents of a non-resident bank of the Republic of Kazakhstan and the Rules, which shall include:

      achievement by management employees of a branch of a non-resident bank of the Republic of Kazakhstan of the goals established in the strategy of a branch of a non-resident bank of the Republic of Kazakhstan, indicating, if any, the reasons preventing their achievement;

      compliance of the activities of a branch of a non-resident bank of the Republic of Kazakhstan with the strategy and policies approved by the relevant management body of a non-resident bank of the Republic of Kazakhstan;

      the results of the activities of a branch of a non-resident bank of the Republic of Kazakhstan and its financial position, including information on the stability (volatility) of profitability of a branch of a non-resident bank of the Republic of Kazakhstan;

      inconsistency of decisions taken by a branch of a non-resident bank of the Republic of Kazakhstan with procedures, processes and policies approved by the relevant management body of a non-resident bank of the Republic of Kazakhstan;

      exceeding the approved levels of risk appetite and the reasons for their violation;

      information on the timeliness, completeness and quality of elimination by management employees of a branch of a non-resident bank of the Republic of Kazakhstan of violations and shortcomings identified by the departments of compliance control, risk management, internal control, internal audit, external audit and the authorized body, as well as the implementation of their recommendations;

      information on the state of internal control in terms of timely identification of incorrect, incomplete or unauthorized transactions, shortcomings in activities to ensure the safety of assets, errors in the generation of reporting according to the accounting data of a branch of a non-resident bank of the Republic of Kazakhstan and regulatory reporting, violations of internal documents of a branch of a non-resident bank of the Republic Kazakhstan, requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the market securities, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, as well as the exclusion of conflicts of interest and internal abuse and fraud, including in relation to persons associated with a branch of a non-resident bank of the Republic of Kazakhstan by special relations;

      7) monitoring compliance by a branch of a non-resident bank of the Republic of Kazakhstan with the requirements of the internal procedure for considering customer requests arising in the process of providing banking services.

      The relevant executive body of a non-resident bank of the Republic of Kazakhstan shall be responsible for the proper performance of duties delegated to collegial bodies or employees of a non-resident bank of the Republic of Kazakhstan, including employees of a branch of a non-resident bank of the Republic of Kazakhstan within the approved organizational structure of a non-resident bank of the Republic of Kazakhstan and a branch of a non-resident bank Republic of Kazakhstan.

      The board of the bank shall be responsible for the proper performance of duties delegated to collegial bodies or bank employees within the framework of the approved organizational structure of the bank.

      Footnote. Paragraph 33 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market No. 21 dated March 14, 2022 (shall come into effect ten calendar days after the day of its first official publication).

      34. The board of directors of the bank shall ensure the presence of a risk management unit (units), supervised and (or) headed by the head of risk management, who has sufficient authority, independence and resources, interacting with the board of directors. The risk management unit(s) shall perform but not limited to the following functions:

      1) development of a risk management system, including risk management policies and procedures, risk appetite strategy and determination of risk appetite levels;

      2) identification of significant current and potential risks inherent in the activities of the bank, including through supervisory stress testing for banks included in the perimeter of supervisory stress testing, and internal stress testing;

      3) risk assessment and determination of the aggregated level(s) of risk appetite;

      4) development of risk appetite levels for subsequent submission to the risk management committee and approval by the board of directors of the bank, monitoring compliance with risk appetite levels;

      5) development of early warning systems and triggers aimed at identifying violations of risk appetite levels;

      6) provision of management reporting to the board, risk management committee and board of directors of the bank.

      The provisions of subparagraph 1), subparagraph 4) of this paragraph regarding the development and subsequent submission for consideration of the risk management committee, approval by the board of directors of the bank of risk appetite levels, as well as subparagraph 5) of this paragraph shall not apply to a branch of a non-resident bank of the Republic of Kazakhstan.

      Footnote. Paragraph 34 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      35. The qualifications and professional experience of the head of risk management shall correspond to the chosen business model, the scale of activity, types and complexity of operations, and risk profile. The independence of the head of risk management shall be determined by:

      1) regardless of submission, the head of risk management shall be appointed and release from the post by the board of directors of the bank;

      2) shall have unhindered access to the board of directors of the bank, without the participation of the board;

      3) shall have access to any information necessary to fulfill his duties;

      4) shall not combine the position of the chief operating director, financial director, other similar functions of the bank’s operational activities (except for underwriting, collateral service), the head of the internal audit unit.

      The interaction between the head of risk management and the board of directors and (or) the risk management committee shall be carried out on a regular basis. Information on the decision to release the head of risk management from the post shall be passed to the authorized body. At the request of the authorized body, the board of directors of the bank shall provide a justification for the reason for this decision.

      36. Identification, measurement, monitoring and control of risks shall be carried out on an ongoing basis at all levels of the bank's management. Improvement of the risk management and internal control system shall be carried out in accordance with the change in the risk profile of the bank, as well as taking into account changes in the external environment.

      The bank shall identify all significant risks inherent in the bank's activities (including risks on balance sheet and off-balance sheet transactions, by groups, portfolios and certain types of activities of business units). In order to effectively manage significant risks, the board of directors of the bank, the risk management committee and the head of risk management shall regularly assess the risks inherent in the bank’s activities and maintain the relevance of the bank’s risk profile. The risk assessment procedure includes a continuous analysis of current risks, as well as identification of new and potential risks. When assessing risks, the bank shall take into account the degree of concentration of significant risks.

      During identification and measuring risks, both quantitative and qualitative parameters shall be taken into account. The bank shall also consider risks that are difficult to assess, for example, reputational, legal risks.

      In addition to identifying and measuring risk exposure, the risk management unit shall evaluate possible ways to reduce risks and points out the need to reduce the level of risk. In cases where a decision is made to take a risk that exceeds the established risk appetite levels, the head of risk management shall submit a report on such an exception to the board of directors with a proper analysis of the reasons for the excess and subsequently monitors the reduction of the level of accepted risk within the risk management system and level established by it.

      The head of risk management shall inform the board of directors of the bank of the existence of significant discrepancies between the opinion of the risk management unit and the decision of the board of the bank regarding the level of risks taken by the bank.

      Regular reporting on risk issues, including risk management policies and procedures, within the bank shall be a key factor in a high risk management culture. The risk management culture shall facilitate the full exchange of risk information and calls for an open discussion and critical assessment of issues related to risk taking by employees, the board and the board of directors of the bank.

      Significant information on issues related to risks requiring immediate decision-making or urgent measures shall be urgently passed to the board of directors of the bank, the risk management committee and, if necessary, the board of the bank, responsible officials and heads of control units for preventive measures.

      The bank shall exclude the creation of closed groups within separate units that impede the effective exchange of information on risks and lead to decision making by authorized bodies of the bank without taking into account the opinion (expertise) of the bank's units involved. In order to overcome the problems associated with the exchange of information, the board of directors, the management board and units of the bank that exercise control ensure the effectiveness of the internal communications system and, if necessary, make appropriate changes.

      37. The Bank shall ensure the existence of an internal control system that is consistent with the current market situation, strategy, volume of assets, and level of complexity of the bank's operations. The internal control system shall be aimed at achieving the following goals:

      1) ensuring the effectiveness of the bank, including the effectiveness of managing risks, assets and liabilities, ensuring the safety of assets;

      2) ensuring the completeness, reliability and timeliness of financial, regulatory and other reporting for internal and external users;

      3) ensuring information security;

      4) ensuring that the bank complies with the requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, the legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pension security, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit records, on debt collection activity, the mandatory guarantee of deposits, on counteraction to legalization (laundering) of proceeds from crime and terrorist financing, on the joint stock companies, on internal documents of the bank.

      Within the framework of internal control, the examination shall be carried out of the bank's processes for carrying out activities for compliance with internal policies and procedures, as well as the requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, the legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pension security, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit records, on debt collection activity, the mandatory guarantee of deposits, on counteraction to legalization (laundering) of proceeds from crime and terrorist financing, on the joint stock companies. The bank shall have reliable internal and external information in order to manage risks, make strategic business decisions and determine the adequacy of equity and liquidity. The board of directors of the bank and the relevant committees of the board of directors of the bank shall make decisions related to the adoption of risks based on high-quality, relevant and reliable data.

      Risk measurement and modeling methods shall be used in addition to qualitative risk analysis and monitoring. The head of risk management shall inform the board of directors of the bank and the risk management committee about the methods used and potential shortcomings of risk management models and analytical approaches in the bank.

Chapter 5. Internal Capital Adequacy Assessment Process

      38. The board of directors of the bank shall approve an internal document of the bank that regulates the main approaches and principles of the ICAAP and contains the following sections:

      1) description of the organizational structure of ICAAP;

      2) description of the risk appetite strategy;

      3) organization of credit, market, operational risk management within the framework of ICAAP;

      4) organization of stress testing procedures;

      5) organization of risk management procedures in the framework of new products and activities;

      6) organization of self-assessment procedures for the internal capital adequacy assessment process.

      39. ICAAP shall be an integral part of the management of the bank and is created to:

      1) the identification, assessment, aggregation and control of significant types of risk inherent in the activities of the bank, in order to determine the necessary level of capital sufficient to cover them, including:

      credit risk;

      market risk;

      operational risk;

      as well as other risks to which the bank is exposed;

      2) capital planning, based on the strategy of the bank, the results of a comprehensive assessment of significant risks, stress testing of the bank’s financial stability in relation to internal and external risk factors, as well as requirements for the bank’s own capital adequacy established by Article 42 of the Law on Banking Activities.

      40. The description of the organizational structure of the ICAAP shall contain a list of ICAAP participants indicating the responsibilities of the collegial bodies and units of the bank involved in the implementation of capital adequacy management processes, including:

      1) the board of directors of the bank shall be responsible for managing capital adequacy for risk management purposes and determining the level(s) of risk appetite. The board of directors of the bank shall approve a report on compliance with ICAAP and ILAAP, including information on maintaining the required level of capital adequacy, no later than April 30 of the year following the reporting year;

      2) the risk management committee shall be responsible for developing risk management policies and procedures in the field of capital management within the framework of the risk appetite level established by the board of directors of the bank. The risk management committee shall periodically notify the board of the bank of directors of significant changes in capital levels;

      3) the unit (units) of the person entrusted with the functions of internal control, shall check compliance with ICAAP procedures and bring the results to the attention of the board of directors of the bank;

      4) unit (units) participating in the risk management process:

      shall be responsible for the implementation of the capital adequacy management process;

      shall be responsible for preparing a report on compliance with the ICAAP and ILAAP in accordance with the Structure of the report on compliance with the internal process for assessing capital adequacy and the internal process for assessing liquidity adequacy in accordance with the Appendix to the Rules. The bank shall ensure the availability of supporting documents for the report on compliance with ICAAP and ILAAP, which shall include, but not be limited to, calculations, models used, explanatory notes, analytical reports, self-assessment results, assessment of the effectiveness of ICAAP and results of verification of compliance with ICAAP procedures;

      shall be responsible for preparing the stress testing;

      5) the unit responsible for budget development and planning carries out investment planning and budget development for all areas of the activities of the bank;

      6) the capital management unit (units) shall develop and implement measures to increase the level of capitalization and develop, together with interested units, a capital financing plan;

      7) the internal audit unit shall evaluate the effectiveness of the ICAAP.

      As part of the ICAAP, the board of the bank of directors shall be responsible for compliance with the approved risk appetite strategy developed in accordance with Chapter 3 of the Rules.

      Footnote. Paragraph 40 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall come into effect ten calendar days after the day of its first official publication).

      41. The bank shall ensure the existence of an effective credit risk management system that meets the current market situation, strategy, volume of assets, the level of complexity of the bank’s operations and ensures the effective identification, measurement, monitoring and control of the bank’s credit risk in order to ensure that its own capital is sufficient to cover it, and including, but not limited to, the following components:

      1) the internal procedure for transactions in which credit risk is inherent and the adoption of relevant decisions;

      2) credit administration procedures;

      3) credit risk assessment procedures;

      4) credit monitoring;

      5) collateral management;

      6) troubled loan management;

      7) assessment of the effectiveness of the credit risk management system.

      42. As part of the credit risk management system, the bank shall be guided by the following principles and requirements:

      1) the board of directors and the risk management committee of the bank shall ensure:

      maintaining a sufficient level of provisions;

      exercising control over the credit risk assessment process, which shall be ensured by the following:

      taking the necessary measures to ensure the completeness and reliability of information for decision-making purposes;

      compliance with the requirements of the Civil Code of the Republic of Kazakhstan, the Code of the Republic of Kazakhstan "On taxes and other obligatory payments to the budget (Tax Code)" (hereinafter referred to as the Tax Code), the Law on Banks, the Law of the Republic of Kazakhstan "On Accounting and Financial Reporting" (hereinafter referred to as the Law on accounting and financial reporting), the Law of the Republic of Kazakhstan "On credit bureaus and the formation of credit histories in the Republic of Kazakhstan", internal policies and procedures for credit risk management;

      taking measures to ensure complete and reliable management, regulatory and financial reporting;

      the presence of a loan assessment procedure independent of business units;

      approval of an adequate system for classifying assets by credit risk level, based on the use of all available information in the loan assessment process;

      the presence of detailed and fully regulated procedures for interaction between participants in the credit risk management process;

      building an effective internal control system, including assessing the compliance of the level of provisions with expected losses within the framework of the approved methodology for forming provisions and the internal process for assessing capital adequacy;

      2) the bank shall carry out lending activities and manage credit risk within the framework of the approved credit policy, which shall include, but not limited to, the following:

      main directions of the lending activities of the bank;

      participants in the credit process and their areas of responsibility;

      internal procedure for making credit decisions, including the procedure for reviewing and approving loans, including concerning lending to persons associated with the bank by special relations, lending limits to limit the concentration of credit risk;

      procedure for analyzing the borrower's creditworthiness.

      If the total amount of loans provided and assumed contingent liabilities to an individual exceeds 0.01 (zero point one) percent of the bank’s equity capital, the size of which is higher than 100 (one hundred) billion tenge, or exceeds 0.02 (zero point two) percentage of the bank’s equity capital, the size of which is up to 100 (one hundred) billion tenge, the bank shall carry out a creditworthiness analysis based on the following information and taking into account the following factors (but not limited to):

      the presence of a constant and sufficient income of the borrower;

      availability of real estate and other property;

      the presence of loan debt, including to other creditors;

      debt load;

      payment discipline (credit history) on loans;

      borrower rating in the bank's scoring systems (if any);

      presence of other debts;

      availability of other sources of repayment of debt to the bank;

      balances and transactions on bank accounts;

      information about education and employment (field of activity);

      socio-demographic characteristics;

      information about the intended use of money;

      additional information about the borrower's income.

      If the total amount of loans provided and assumed contingent liabilities to an individual does not exceed 0.01 (zero point one) percent of the bank’s equity capital, the size of which is higher than 100 (one hundred) billion tenge, or does not exceed 0.02 (zero point two hundredths) percent of the bank’s equity capital, the size of which is up to 100 (one hundred) billion tenge, the bank shall carry out a creditworthiness analysis based on the following information and taking into account the following factors (but not limited to):

      the presence of a constant and sufficient income of the borrower;

      the presence of loan debt, including to other creditors;

      debt load;

      payment discipline (credit history) on loans;

      borrower rating in the bank's scoring systems (if any);

      availability of other sources of repayment of debt to the bank;

      balances and transactions on bank accounts;

      education and employment information;

      socio-demographic characteristics;

      information about the intended use of money (if any).

      If the total amount of loans provided and contingent liabilities to a legal entity exceeds 0.1 (zero point one) percent of the bank’s equity capital, the size of which is higher than 100 (one hundred) billion tenge, or exceeds 0.2 (zero point two tenths) percent of the bank’s equity capital, the size of which is up to 100 (one hundred) billion tenge, the bank shall carry out a creditworthiness analysis based on the following information and taking into account the following factors (but not limited to):

      analysis of financial statements and basic financial ratios of legal entity borrowers (profitability, ratio of own and borrowed funds, cash flow plan (except for cases of issuing loans to financial organizations, placing deposits in financial organizations, opening a credit line for a period of less than 6 (six) months), income level.

      The financial statements of the borrower accepted for analysis (except for cases of financing in the form of overdrafts, credit cards, or credit lines for a period of less than 6 (six) months) whose book value of assets exceeds 0.2 (zero point two) percent of the bank’s equity capital shall correspond to the following requirements:

      the presence of three main reporting forms with breakdowns of accounts for the material (significant) components of the balance sheet (more than 5 (five) percent of the balance sheet currency) and (or) the profit and loss statement (more than 5 (five) percent of revenue). This requirement shall not apply to the joint stock company National Wealth Fund Samruk-Kazyna, the joint stock company National Management Holding Baiterek, public companies that have a long-term credit rating on the international scale of Standard & Poor's, Moody's Investors Service (Moody's Investors Service) or Fitch Ratings Inc. (Fitch Ratings), legal entities that are included in the consolidated financial statements of private international corporations (the shares or interests of which are not listed on a stock exchange or international stock exchanges) or public international corporations, as well as in cases where there are audited financial statements certified by companies corresponding to the listed stock exchange requirements;

      consistency between all forms of financial reporting;

      presence of signatures of responsible (authorized) persons of the borrower under the provided financial statements.

      If there are audited financial statements that comply with the listing requirements of the stock exchange, the audited financial statements are used as a priority for all purposes, and reconciliation with the tax return is not required. A tax return reconciliation of the financial statements shall not be required for entities that are included in the consolidated financial statements of private international corporations (shares or interests that are not listed on a stock exchange or international securities exchanges) or public international corporations.

      From 1 January 2024, a tax return shall be required (where a tax return is required by the Tax Code) and there shall not be conflict between the tax return and the financial statements used to assess indicators of impairment and calculate cash flows for provisioning purposes for the same period. Discrepancies between financial and tax reporting indicators shall be allowed due to differences in accounting and tax accounting. In other cases, the reasons for significant discrepancies in data between reporting forms shall be described in the conclusion of the responsible unit of the bank for the borrower and are considered by the authorized collegial body of the bank.

      The bank shall determine the materiality of discrepancies in internal documents. In the absence of established thresholds, significant discrepancies shall be (but not limited to) discrepancies of more than 30 (thirty) percent in terms of revenue, final financial result, and return on assets.

      In case of objectivity of financial statements, the bank shall use the financial statements to assess indicators of impairment and calculate cash flows to calculate provisions.

      In the absence of financial statements and (or) tax returns (if their submission is not required in accordance with the Tax Code and the Law on Accounting and Financial Reporting), information about the borrower’s assets and other sources of income shall be requested (bank statements, confirmation availability of relevant assets).

      As part of the assessment of signs of impairment and categories of impairment, it shall be permitted to use the financial statements of borrowers, co-borrowers, guarantors and guarantors in consolidated form.

      To calculate the expected cash flows for a loan, it shall be allowed to consolidate the financial statements of the borrower (including from the bank) with the statements of persons (including those associated with the borrower) who have contractual obligations with the borrower to repay his debt in the event of his insolvency, as well as with the reporting of persons who do not have such contractual obligations with the borrower if the assets of this person act as collateral for the borrower’s obligations.

      If a bank issues a loan without complying with the requirements established in paragraphs thirty-three, thirty-four, thirty-five, thirty-six, thirty-eight, thirty-nine, forty-one, forty-second and forty-third of this subparagraph, all the borrower’s obligations shall be classified as impaired assets according to international standards financial statements (hereinafter referred to as IFRS);

      the presence of loan debt, including to other creditors;

      payment discipline (credit history) on loans;

      level of liquid assets;

      debt load;

      availability of other sources of repayment of debt to the bank;

      projected free cash flows;

      assessment of the borrower’s external environment (state of the economy, industry, development prospects, diversification of production and sales markets, and characteristics of the borrower’s operating activities, such as the borrower’s market share in the relevant market, positioning of the borrower’s product, geography of operations, business cyclicality, changes in consumer preferences, changes in technology, barriers to entry into the economic sector and other factors affecting the company’s ability to generate income and maintain prices);

      assessment of management quality (experience, competence, business reputation);

      assessment of the borrower's owners;

      presence of facts of involvement in legal proceedings;

      inclusion in the list of unreliable taxpayers.

      If the total amount of loans provided and contingent liabilities to a legal entity does not exceed 0.1 (zero point one) percent of the bank’s equity capital, the size of which is higher than 100 (one hundred) billion tenge, or does not exceed 0.2 (zero point two tenths) of a percent of the bank’s equity capital, the size of which is up to 100 (one hundred) billion tenge, the bank shall carry out a creditworthiness analysis based on the following information and taking into account the following factors (but not limited to):

      the presence of a constant and sufficient income of the borrower;

      the presence of loan debt, including to other creditors;

      payment discipline (credit history) on loans;

      debt load;

      availability of other sources of repayment of debt to the bank;

      prospects for the development of the relevant industry.

      Depending on the lending industry and the type of borrower, the set of quantitative and qualitative indicators changes.

      For individuals and legal entities, the credit policy defines cases (issuance of bank guarantees, letters of credit, bank guarantees issued against a bank counter-guarantee, as well as loans secured by highly liquid assets) in which an analysis of the borrower’s creditworthiness is not applied. For banks that are subsidiaries of non-resident banks of the Republic of Kazakhstan that have a long-term credit rating in foreign currency not lower than "A-" on the international scale of Standard & Poor's or a rating of a similar level from one of the other rating agencies, the use of analysis creditworthiness shall be allowed at the level of the parent organization of the borrower or an organization that includes the borrower in the consolidated financial statements, carried out by the parent bank or an entity affiliated with the bank, provided that the analysis was carried out no later than 12 (twelve) months from the date of the borrower’s application;

      internal procedure for making credit decisions regarding loan restructuring, which is based on the principles of validity, expediency and independence, and includes a description of cases and conditions for loan restructuring. The bank shall determine cases and types of restructuring in accordance with the requirements of the Resolution of the Board of the National Bank of the Republic of Kazakhstan dated December 22, 2017 No. 269 "On approval of the Rules for the creation of provisions (reserves) in accordance with international financial reporting standards and the requirements of the legislation of the Republic of Kazakhstan on accounting and financial reporting", registered in the State Register of Normative Legal Acts under No. 16502 (hereinafter referred to as Resolution No. 269).

      The bank shall decide on restructuring loans for borrowers, taking into account the availability of prospects for repaying the loan after restructuring.

      The decision to carry out a forced restructuring of loans, determined in accordance with the requirements of Resolution No. 269, (for borrowers and (or) a group of related borrowers, total debt, including contingent liabilities, which exceeds 1 (one) percent of the bank’s equity capital, the amount of which exceeds 100 (one hundred) billion tenge, or 2 (two) percent of the bank’s equity capital, the amount of which is up to 100 (one hundred) billion tenge) shall be adopted by the board of the bank or the authorized collegial body of the bank, which includes the chairman of the board of the bank. Information about decisions made shall be sent to members of the board of directors of the bank every quarter;

      acceptable methods of credit risk management, taking into account (but not limited to) the following factors:

      own knowledge and experience in using the method;

      economic efficiency;

      type of borrower and (or) counterparties, their financial condition;

      3) the bank shall carry out lending activities in accordance with internal documents regulating the performance of transactions that involve credit risk, which shall include, but not limited to, the following:

      conditions for providing loans to individuals and legal entities (including persons associated with the bank by special relations and bank employees) for each type of lending, including requirements for potential borrowers and (or) counterparties;

      requirements for information of the borrower and (or) counterparty, including financial and other information necessary to decide on issuing a loan;

      internal procedure for corporate lending, which provides for analysis of the lending sector, and the borrower’s credit history, as well as a rating system based on quantitative and qualitative factors, allowing for a detailed assessment of loan quality;

      scoring methodology or analysis of the borrower's solvency and creditworthiness, based on quantitative and qualitative characteristics, and the internal procedure for its use;

      establishing a minimum acceptable rating level (if any) at which a loan is issued;

      internal order and procedures for approval, adoption, analysis and monitoring of deviations from credit policies, standards, procedures, and limits;

      establishing lending limits and (or) interest rates on loans taking into account the analysis of borrowers, including taking into account, if any, ratings and (or) scoring of borrowers. Lending limits, including for unsecured loans, shall be established by currencies, industries, categories of borrowers (counterparties) (financial organizations, corporate, retail lending), products, groups of related parties and per borrower;

      internal procedure for considering and approving applications for loans, making decisions on issuance (refusal to issue), including concerning lending to persons associated with the bank by special relations;

      internal procedure concerning collateral, defining:

      types of collateral and their eligibility criteria for individual bank products, including for deciding on the possibility of lending to the borrower;

      requirements for the collateral structure depending on the type of collateral and the type of banking product;

      limits on types of collateral depending on the type of product and structure of the bank’s loan portfolio;

      determination of liquid and highly liquid collateral;

      the share of liquid collateral in the overall collateral structure, a coefficient characterizing the ratio of the loan amount to the value of the collateral (the lowest value from the assessment of the collateral by the appraiser and employees of the collateral service department (if both are available) or the available assessment);

      the share of highly liquid collateral in the overall collateral structure, a coefficient characterizing the ratio of the loan amount to the value of the collateral (the lowest value from the assessment of the collateral by the appraiser and employees of the collateral service department (if both are available) or the available assessment);

      requirements for inspecting collateral as part of accepting collateral and issuing a loan, including defining requirements for the use of special technical means (a selective approach to inspecting part of mortgage lending is allowed, ensuring an independent sample of at least 20 (twenty) percent of the total all collaterals);

      the procedure for monitoring and working with collateral, establishing requirements depending on the type of collateral;

      requirements for revaluation of collateral;

      procedures to ensure the legal validity of pledges, including requirements for registration of pledges depending on the type of pledge and the type of bank product;

      prompt assessment of the sufficiency of collateral, taking into account changes in the borrower’s production performance, the cost and safety of the collateral, including its exposure to other circumstances that significantly affect its assessment;

      procedures for the sale of collateral depending on the collateral and the type of bank product, including deadlines for sale and collection;

      objectivity (adequacy) of assessing the value of collateral by appraisers, except for the case when the total amount of loans provided and contingent liabilities to the borrower does not exceed 0.1 (zero point one) percent of the bank’s equity capital and the object of assessment is real estate in cities of republican significance and in cities that are regional centers;

      requirements for establishing discounts concerning the value of the collateral determined by the appraiser depending on various parameters (incorrect approach to valuation, the presence of affiliation of the appraiser and the borrower, the presence of affiliation of the appraiser and the bank, including employees of the collateral service) and the liquidity of the collateral.

      When deciding to issue a loan, the collateral for which is real estate and intangible assets (subsoil use rights), the bank considers the results of the assessment. If the market value determined as of the date of the last assessment by the appraiser is more than 100,000 (one hundred thousand) monthly calculation indices, for subsoil use rights more than 500,000 (five hundred thousand) monthly calculation indices, the bank shall provide (at least 1 (one) once a year) assessment of the collateral by an appraiser.

      The bank shall ensure registration of the collateral, regardless of its type, with the authorized registration body if there are signs of a significant increase in credit risk in accordance with IFRS, as well as the requirements of Resolution No. 269 for collateral, the market value of which as of the date of the last assessment by the appraiser is more than 100,000 (one hundred thousand) monthly calculation indices, for subsoil use rights - more than 500,000 (five hundred thousand) monthly calculation indices.

      The internal procedure for assessing the objectivity (adequacy) of assessing the value of collateral on the part of bank employees shall ensure but not limited to, the use of correct approaches to assessment, including a clear formalization of the requirements for acceptable approaches to assessment when forming an internal assessment of the bank, namely:

      within the framework of this approach, the procedure for applying various valuation approaches depending on the type of collateral shall be established;

      in the case of using expert assessments when assessing the value of collateral, a regulated process is provided, indicating the limits for the use of such assessments;

      within the framework of the income approach, if there are negative operating cash flows or a negative EBITDA value (earnings before interest, taxes, depreciation and amortization) for the object for the last 4 (four) quarters or the completed calendar year, the discounted cash flow approach shall not be allowed. This requirement shall not apply to the following cases:

      assessment of a company at the investment stage, as well as if the balance sheet of the company being assessed has assets, including contracts, capable of generating cash flow;

      assessment of objects capable of generating cash flow in the presence of supporting information or market data.

      Within the framework of the income approach, when calculating the value of an object, a discount rate is used that corresponds to the level of risk of the object being assessed, the calculation of which is established in the internal documents of the bank.

      As part of the comparative approach, when calculating the value of an object, information on the most current transactions available on the market and (or) offers for the sale of objects comparable to the object being assessed shall be used, and in the event of their absence, appropriate adjustments shall be applied.

      The internal procedure for assessing the objectivity (adequacy) of the assessment of the value of collateral, including that determined by the appraiser, on the part of the bank's collateral service unit, shall ensure, but not limited to, a clear formalization of the requirements for the list of analogues and the criteria for recognizing them as comparable in the context of:

      type and (or) subtype of the object;

      object location;

      the total area of the facility;

      condition of the premises, external condition of the object being assessed;

      purpose of the object;

      other technical characteristics of the object.

      The collateral service unit, for each appraiser’s report, prepares a conclusion based on the results of an analysis of the objectivity (adequacy) of assessing the value of collateral based on internal procedures.

      The bank shall develop an internal procedure for analyzing the objectivity (adequacy) of the assessment of the value of collateral determined by the appraiser, who shall provide, but not limited to:

      the procedure for applying valuation approaches depending on the type of collateral;

      criteria and requirements for the correctness of assessment calculations;

      requirements and restrictions regarding the use of assumptions, adjustments and expert judgments;

      availability of detailed and reasonable calculations;

      availability of complete information allowing to identification of the object of collateral;

      mandatory inspection and video and photographic recording of the pledged item;

      availability of a complete package of title documents;

      identification in assessment reports of the reasons and criteria that led to a significant (more than 10 (ten) percent) difference in the values of collateral in accordance with the requirements of the internal documents of the bank.

      If a significant (more than 10 (ten) percent) difference in the value of the collateral is identified in the assessment reports, the bank shall enter information on the circumstances that led to the difference into the statistical journal of the value of the collateral.

      The bank shall analyze valuation reports, information on which is included in the statistical journal of the value of collateral, to eliminate the possibility of incorrect valuation of collateral.

      When deciding on issuing a loan, the bank shall use the value of the collateral determined based on the results of an assessment of the objectivity (adequacy) of the value of the collateral determined by the appraiser, taking into account all parameters.

      The assessment of decisions made for compliance with the established internal procedure shall be carried out in accordance with the requirements of Chapter 11 of the Rules. If deviations from the established internal procedure are detected, interested departments shall report information about the identified deviations to the authorized collegial body of the bank. To eliminate significant deviations in the activities of the bank, the authorized collegial body of the bank shall set restrictions on the volume (loan amount) and (or) on the number of deviations and exercise control over compliance with the established restrictions.

      The bank shall provide:

      storage in the bank’s internal systems for at least 5 (five) years after repayment of the loan and (or) off-balance sheet liability and (or) after the borrower ceases to be a client of the data bank on collateral on the bank’s balance sheet, including the assessment of its value;

      timely updating of data on collateral in accordance with the internal documents of the bank and automatic transfer of data to modules responsible for calculating risk metrics (PD, LGD, EAD), provisions and capital, as well as to modules responsible for automatic formation of managerial, financial and regulatory reporting;

      automatic recording and storage of data on any manual adjustments to collateral data, including primary data before applying manual adjustments, data on persons responsible for applying manual adjustments.

      Collateral data to be stored shall include (but not limited to):

      linking to the internal unique identifier of the valuation object, business identification number (hereinafter referred to as BIN) or individual identification number (hereinafter referred to as IIN) and internal unique identifiers (if they differ from BIN or IIN) of the mortgagor, borrower, co-borrowers and guarantors and clear display of the identifier groups of related borrowers and all BINs or IINs of related borrowers;

      type and subtype of collateral;

      cadastral number of the property being assessed (if applicable);

      location of the assessment object (country, region, address);

      date of termination of the pledge agreement in the bank system;

      market value before applying discounts to collateral;

      date of assessment (revaluation) of collateral;

      applied discounts for a period of at least 5 (five) years for each valuation object, including current collateral and real estate on the bank’s balance sheet, as well as for all valuation objects sold by the bank. Among the discounts, information shall be stored on the probability of collection and (or) the probability of sale, the expected period before the sale, the applied discount rate and indices, expected selling costs, discount values in the event of non-application of liquidity ratios in accordance with Resolution No. 269;

      market value after taking into account all discounts, including the equivalent in national currency;

      the value of the collateral used in calculating provisions;

      flag of the encumbrance of the valuation object;

      the order of encumbrance of the valuation object;

      information about the pledgor, guarantor, surety, insurer (legal or individual, name, unique identifier);

      date of confirmation of the existence of an encumbrance on the subject of valuation;

      the seniority of the bank's rights of claim on the object of assessment at the level of the borrower or loan;

      allocated value of the security for collateral at the borrower and loan level (indicating the share of collateral for each borrower regarding their unique identifiers);

      approach to assessing collateral;

      unit of area used;

      total usable area of the property being assessed (if applicable);

      proportion of area leased at the valuation date (if applicable);

      proportion of area potentially available for rental (if applicable);

      4) the presence of an adequate rating model and (or) scoring system.

      The board of directors of the bank shall determine the responsible units for the development of the rating model and (or) scoring system, their implementation, application and control of their functioning. The rating model and (or) scoring system contain a description of each level of credit risk and the conditions for their assignment. In the process of assigning a borrower’s credit rating and (or) a scoring score, the bank shall take into account the financial condition of the borrower (borrowers) and other available information on the borrower.

      When assigning a borrower's credit rating and (or) scoring score, the bank shall be guided by current available information on factors affecting the borrower's future creditworthiness and solvency.

      The credit rating assigned to legal entities is subject to periodic monitoring to ensure relevance. The frequency of revision shall increase in the presence of negative information that carries the risk of deterioration in the financial condition of the borrower and (or) the impossibility of repaying obligations to the bank and other available information;

      5) the presence of an adequate system for classifying assets according to the level of credit risk.

      As part of the system for classifying assets by credit risk level, the bank shall implement and use comprehensive procedures and information systems (if not available, software) to monitor the quality of the loan portfolio. Procedures and information systems shall include criteria that identify and identify problem loans and ensure appropriate controls.

      The system for classifying assets by credit risk level shall provide information for the board of directors, committees under the board of directors, the board, and other units of the bank involved in the credit risk management process and allow assessing the level of credit risk of the bank both as a whole on the balance sheet and in the context of each asset.

      The system for classifying assets by credit risk level shall be based on a detailed analysis of all assets (except for receivables from non-core activities in an amount not exceeding 2 (two) percent of the bank’s equity capital) that are subject to credit risk.

      A detailed analysis of assets shall include an assessment of:

      probability of default on the obligations of the borrower and (or) counterparty (PD);

      the amount of losses in the event of default of the borrower and (or) counterparty (LGD);

      the amount of liabilities subject to default (EAD);

      the period during which the risk position is maintained;

      the value of collateral and the possibility of its sale;

      business environment and economic conditions.

      Classification of assets (except for receivables from non-core activities in an amount not exceeding 2 (two) percent of the bank’s equity capital) that are subject to credit risk shall be carried out based on at least 5 (five) categories and ensures:

      reliable assessment of capital adequacy under ICAAP;

      the required level of provisions to cover expected losses.

      Assets for which there is overdue debt on principal and (or) accrued interest for a period of more than 90 (ninety) calendar days are classified into the worst categories unless there are compelling and justified grounds for classification into a higher category.

      Assets for which there is overdue debt on the principal debt and (or) accrued interest for a period of less than 90 (ninety) calendar days are classified into the worst category if there are other factors of the borrower’s insolvency, defined by internal documents;

      6) existence of a policy for managing distressed assets.

      The board of directors of the bank shall approve the problem asset management policy, which contains:

      identification of distressed assets;

      methods of managing distressed assets (restructuring, sale, write-off, seizure of collateral, bankruptcy and other methods);

      limits on problem assets (by portfolio) and deadlines for implementing approved methods for managing problem assets to bring them into compliance with the established limits if they are violated;

      quantitative and qualitative parameters of early response to the risk of an increase in the volume of problem assets;

      a list of interested departments and the internal procedure for their interaction when working with problem assets;

      internal procedure for providing management reporting to the board of directors on the level of problem assets;

      procedures for assessing the methods used by the bank for managing distressed assets;

      7) the presence of a reliable methodology for creating provisions.

      To ensure that the provisions formed are sufficient to cover expected losses, the bank shall annually (or more often if necessary) analyze the methodology for forming provisions by:

      determining the compliance of provisions calculated in accordance with the requirements of the provisioning methodology with the actual amounts of losses;

      analysis of current market conditions, and changes in macroeconomic indicators;

      validation of the provisioning methodology.

      When forming provisions for collective loans, the bank shall analyze historical data covering the required period and most accurately reflecting the bank’s credit losses. In this case, historical data shall be supplemented by an analysis of the current market and economic situation.

      If the methodology for forming provisions indicates that there are no signs of an increase in credit risk for loans for which provisions are formed on an individual basis, such loans are subject to the assessment of the level of credit risk on a collective basis.

      The bank shall ensure the development (updating) of a general methodology for models for assessing the probability of default, which describes the detailed requirements that each model for assessing the probability of default meets, including requirements for taking into account the influence of forecast macroeconomic information.

      The methodology for assessing the probability of default shall contain but not be limited to, the following requirements for:

      determination of credit impairment;

      quality, depth and volume of data used;

      sampling methodologies for developing and testing models;

      the presence of individual blocks of the model (including the requirement to take into account financial, qualitative factors, the possibility of government or support at the group level) and their maximum weight in determining the final PD;

      methodologies for calibrating the model based on observed credit impairment levels (calibrating the model based on actual statistics on credit impairment levels);

      development and accounting of macro-scenarios, methodology for calculating and applying migration matrices;

      development of a valid credit scale compatible with the credit scales of leading rating agencies;

      calculation of different types of PD (at initial recognition, twelve-month, lifetime PD, point in time (PIT PD) and cyclical (TTC PD);

      calculation of the PD model for financial guarantees;

      estimating annual PD using annual data on observed default rates or alternative approaches based on reliable statistical analysis.

      As part of the development of the model, the following shall be required:

      when applying the scoring model, calculating the scoring score for each of the borrowers in the development sample;

      when applying a scoring model, calibrate the model, that is, convert the scoring score into a PD value using models of the observed historical level of credit impairment for the portfolio;

      development of a model for taking into account the macroeconomic situation and transferring TTC PD to PIT PD;

      estimate annual PD by either using annual data on observed default rates or alternative approaches based on reliable statistical analysis;

      provide for the selection of the current volume of historical data on the observed level of defaults when developing the model and the calibration of PIT values based on expected macro indicators;

      establishing a minimum PD limit for residents of the Republic of Kazakhstan corresponding to the PD of the Republic of Kazakhstan, except for statistically justified cases.

      The bank shall ensure automatic calculation in the bank’s internal systems of all risk metrics (PD, LGD, EAD), and provisions, as well as identification of events of a significant increase in credit risk, events that are objective evidence of impairment according to IFRS, and impairment categories.

      The bank shall ensure storage in the systems for at least 5 (five) years after repayment of the loan (or) off-balance sheet obligation of the following data (but not limited to):

      results of passing or failing the SPPI test;

      classification of a financial instrument in accordance with IFRS 9;

      events that are objective evidence of impairment (a separate data field for each event for each borrower and (or) obligation);

      stage of impairment of the borrower;

      probabilities of scenarios using the "going-concern" and "gone-concern" methods for individually assessed borrowers;

      effective interest rate (original and current interest rates);

      default levels (by number of borrowers, obligations and amount of obligations) in absolute and percentage terms;

      levels of returns (by the amount of liabilities - separately taking into account recoveries and excluding recoveries) in absolute and percentage terms;

      levels of restructurings (by the number of borrowers, obligations and the amount of obligations - separately for restructurings and separately for forced restructurings) in absolute and percentage terms;

      recovery rates (by number of borrowers, liabilities and amount of liabilities) in absolute and percentage terms;

      levels of write-offs (by the amount of liabilities - separately for partial and separately for full write-offs) in absolute and percentage terms;

      PD values (for each borrower and (or) obligation from the moment of issuance and throughout the entire term of the loan and (or) off-balance sheet obligation);

      values of twelve-month PD and lifetime PD at the time of recognition and for each month during the term of the loan and (or) off-balance sheet liability;

      LGD values (including the LGD value for each borrower and (or) liability) from the date of issuance of the loan and (or) off-balance sheet liability (but not earlier than the date of implementation of IFRS 9) and for each month during the term of the loan and (or) off-balance sheet liability;

      EAD values (including the EAD value for each borrower and (or) liability) from the date of issuance of the loan and (or) off-balance sheet liability (but not earlier than the date of implementation of IFRS 9) and for each month during the term of the loan and (or) off-balance sheet liability;

      credit losses (including expected credit losses for each borrower and (or) liability) from the date of issuance of the loan and (or) off-balance sheet liability (but not earlier than the date of implementation of IFRS 9) and for each month during the life of the loan and (or) off-balance sheet liability obligations;

      values of risk weighting factors (RWA) (including RWA values for each borrower and (or) liability) from the date of issuance of the loan and (or) off-balance sheet liability (but not earlier than the date of implementation of IFRS 9) and for each month during the term of the loan and (or) an off-balance sheet liability;

      credit conversion rates;

      the amount of on-balance sheet and off-balance sheet obligations of the borrower (for the last 5 (five) years);

      written-off loans of the borrower (over the last 5 (five) years);

      the total value of provisions (at the borrower level and the liability level);

      linking to the BIN or IIN and internal unique identifiers (if they differ from the BIN or IIN) of the borrower and the loan and (or) off-balance sheet liability;

      linking to BIN or IIN and internal unique identifiers (if they differ from BIN or IIN) of all co-borrowers and guarantors;

      linking to a unique identifier of a group of related borrowers in accordance with the internal documents of the bank;

      linking to the BIN or IIN of members of a group of related borrowers in accordance with the internal documents of the bank;

      financial indicators of borrowers required to determine the stage of impairment and calculate provisions;

      a sign that the subject belongs to the category of entrepreneurship according to the Entrepreneurial Code of the Republic of Kazakhstan;

      flag of belonging to the list of persons associated with the bank by special relations;

      flag of restructuring and (or) forced restructuring;

      all dates of restructuring of the loan and the borrower of loans in this bank.

      The systems of the bank shall record and store in the systems the fact of an event of a significant increase in credit risk and an event that is objective evidence of impairment under IFRS for all borrowers, their on-balance sheet and off-balance sheet liabilities and the bank's portfolios;

      8) availability of a procedure for validating credit risk assessment models.

      To ensure the adequacy of credit risk assessment using models, the bank shall regulate the processes of their validation, backtesting, and acceptable levels of deviations from the planned risk level. In case of deviation from the planned risk level, the bank shall develop a plan of corrective measures.

      Validation shall be carried out through one or more of the following methods:

      checking the discriminatory ability of the model;

      assessment of the predictive accuracy of the model;

      rating migration analysis;

      comparative analysis of ratings.

      Validation shall be carried out at least 1 (one) time every 3 (three) years by an independent unit of the bank or with the involvement of an independent third party. The frequency of validation shall depend on the current market situation, strategy, volume of assets, and level of complexity of the bank’s operations, and increases in the event of significant changes in the economy or the bank’s internal lending processes. Validation results shall be provided to the risk management committee.

      Internal validation scoring models shall be carried out by an independent unit of the bank at least 1 (one) time every 1 (one) year.

      Internal validation scoring models shall be carried out by an independent unit of the bank while formalizing the full validation process in the internal documents of the bank, including, but not limited to, a detailed process of validating the parameters used in calculating provisions (participants, inspection perimeter, inspection areas, criteria for preparing judgments, format for presenting results, deadlines).

      An independent unit of the bank responsible for validation shall generate a conclusion for each verified parameter with a description of the verification process, disclosure of the results and degree of significance.

      Validation results with detailed justification shall be provided to the risk management committee.

      Based on the results of the review of the validation results, the risk management committee shall draw up a protocol, including a conclusion on whether or not changes to the model are necessary.

      As part of model validation, it shall be required to carry out, among other things:

      checking the model's compliance with regulatory requirements;

      backtesting of the model to determine the accuracy of the model’s predictions (checking the accuracy of the model on samples different from the one on which the model was developed). The bank shall check the relevance of the model based on the most recent observations;

      checking the depth and quality of the data used to develop the models. As part of the verification, it shall be necessary to verify through econometric tests that the sample is sufficient for subsequent modelling;

      checking the model for compliance with other models for assessing risk metrics;

      9) the use of adequate and reasonable expert estimates when assessing credit risk.

      In situations where it is necessary to use expert assessments, the bank shall provide:

      a regulated process for using expert assessments, indicating the limits for the use of such assessments;

      a sufficient level of competence of employees conducting expert assessment;

      a uniform approach to the use of expert assessments. Under the same conditions, expert assessments shall not have significant deviations;

      The expert assessment shall be carried out based on reasonable and documented assumptions, using due care.

      The use of expert assessments by the bank taking into account historical data shall be supplemented by an analysis of the current market and economic situation, in particular (as applicable):

      changes in the processes of granting loans, standards and practices of decision-making, returns, and write-offs;

      changes in external and internal economic factors, business environment, taking into account dynamics;

      changes in the level of non-performing and restructured loans;

      the emergence of new market segments and products;

      changes in credit risk concentration;

      10) the availability of the necessary tools, including a set of data storage tools that provide complete and reliable information about loans (including receivables and contingent liabilities), as well as other transactions that have a credit risk, which allows a correct assessment of the level of credit risk.

      The bank shall carry out credit administration in accordance with procedures that shall include, but not be limited to the following:

      checking the compliance of the submitted loan documents with the conditions for granting loans;

      checking the compliance of loan agreements with the decisions made;

      formation and maintenance of a credit dossier.

      It shall be allowed to generate a credit dossier (part of a credit dossier) in electronic form. The credit dossier shall contain (including but not limited to):

      borrower identification documents:

      This group shall include documents proving the identity of an individual, documents related to the formation of a legal entity (with the disclosure of the ultimate owners - individuals who own directly or indirectly ten or more percent of shares or participation interests, except for the cases established by paragraph 3 of Article 8- 1 of the Law on Banks), confirmation of its legal personality, as well as documents confirming the powers of persons acting on behalf of the borrower and authorized to sign loan and collateral documentation on behalf of the borrower.

      Documentation related to determining the intended use (except for overdrafts, consumer loans without confirmation of intended use with an aggregate amount of less than 0.2 (zero point two) percent of the bank's equity capital and loans to replenish working capital with an aggregate amount of less than 0.2 (zero as much as two tenths) percent of the bank’s equity capital, syndicated loans with the participation of non-resident banks of the Republic of Kazakhstan):

      This group shall include documents and information on the transaction for which financing is requested (including the initial purposes of financing in the event of restructuring and (or) refinancing), including for large borrowers:

      documents confirming the purpose of using the loan, including for legal entities - supply agreements, purchase and sale agreements, foreign trade contracts;

      for a legal entity, the amount of loans and contingent liabilities for which exceeds, for banks whose equity capital exceeds 100 (one hundred) billion tenge - 0.1 (zero point one) percent of the bank’s equity, for banks whose equity capital does not exceed 100 (one hundred) billion tenge - 0.2 (zero point two) percent of the bank’s equity capital - a feasibility study for issuing a loan, characterizing the payback period and the level of profitability of the loan transaction, or the borrower’s business plan, which reflects information about description of activities indicating the purposes of using the loan, sales markets and marketing strategy of the borrower, risk assessment and management, financial plan detailed by year (financial indicators of the implementation of the business plan by year, sources and amount of financing for the business plan and loan repayment), income estimate (expenses) (for loans related to investment purposes, start-up projects or loans, the main source of repayment of which is planned to be proceeds from the sale of goods and (or) services purchased using loan funds).

      For the purposes of this paragraph:

      a working capital loan means a loan provided to finance current production processes;

      a consumer loan - a loan provided to an individual or individual entrepreneur without forming a legal entity and meeting the following criteria:

      the issuance of a loan shall not be related to the purpose of financing business activities and it shall be assumed that the loan will not be used by the borrower to carry out business activities;

      the loan shall be planned to be used for the purchase of durable goods (residential real estate, cars, household appliances, furniture, etc.) and (or) payment for various services (educational, tourism, medical, repair and construction, etc.) and (or) other purchases and purposes (refinancing a loan in another bank (if the previously received loan is related to consumer purposes), mobile phones, food, etc.);

      the recipient of the loan shall have a permanent source of income (salary, pension, benefits, dividends from securities, income from rental real estate and other income), which objectively allows him/her to service his/her obligations to the bank under the loan received, confirmed in the manner determined by the internal documents of the bank.

      documents required to analyze the client’s financial condition and quality of collateral:

      this group of documents shall include all documents based on which an analysis of the borrower’s financial condition shall be carried out and reflecting the main economic indicators of the borrower’s activities, as well as documents confirming the availability, quality, amount of accepted collateral, which include (but not limited to):

      documents confirming the authority of the person authorized to sign the collateral documentation;

      appraiser's report on the valuation of real estate;

      conclusion of the collateral service unit on the adequacy of the collateral assessment by the appraiser in accordance with the requirements of the Rules and internal documents of the bank;

      documents confirming the rights to the pledged object;

      a copy of the pledge agreement containing a note on its registration with the authorized registration authorities.

      Documentation required for credit monitoring. This group shall include documentation generated by bank departments in the course of maintaining a loan or necessary to confirm periodic credit monitoring, as well as procedures for updating information about borrowers (counterparties) for credit risk management;

      11) availability and functioning of the management information system.

      The bank shall develop management reporting forms, which include, but are not limited to, the following information:

      about the loan portfolio and its quality, presented including the dynamics of its changes;

      on the size (level) of exposure to credit risk, including an assessment of the approximation of the total exposure to the limits established by the bank for various types of loans (pre-limit approach);

      on exposure to credit risk concerning a group of related borrowers and the dynamics of its change;

      on the concentration of credit risk of the largest borrowers (counterparties) and borrowers (counterparties) connected with the bank by special relationships, including with the bank’s shareholders, and the dynamics of its change;

      on internal ratings of borrowers (counterparties) and the dynamics of their changes, on monitoring the quality of loans according to ratings of borrowers (counterparties) and its frequency;

      on the amount of provisions and assessment of the level of adequacy of provisions;

      about restructured, refinanced and problem loans;

      on monitoring and control over compliance with limits;

      about deviations from policies and limits.

      Footnote. Paragraph 42 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (the order of enforcement see Paragraph 5).

      43. The board of directors shall ensure the existence of a market risk management system that is consistent with the current market situation, development strategy, assets and the level of complexity of the bank’s operations and ensure the effective identification, measurement, monitoring and control of the bank’s market risk, as well as defines a strategy for hedging market risk with the purpose of ensuring the adequacy of equity to cover it.

      The market risk management system shall be integrated into the bank's internal risk management processes, and its results shall be an integral part of the process of monitoring and controlling the level and profile of its market risk, as well as the decision-making process in the implementation of the bank's current activities. Market risk assessment results shall be taken into account in the process of developing a bank development strategy.

      Market risk management shall be carried out on the basis of managing the position of assets and liabilities, forming the value of financial instruments with a positive interest margin and expected profitability, managing an open foreign exchange position, constantly monitoring market risks and monitoring established risk appetite levels for relevant operations.

      The market risk management system shall include the management of securities portfolios and control of open positions in currencies, interest rates, and derivative financial instruments.

      44. In the process of market risk management, the bank shall determine:

      1) the organizational structure of the bank involved in the process of market risk management, including the internal order of subordination and reporting;

      2) the structure of the trading and banking books, as well as the procedures for dividing instruments into instruments of the trading and banking books.

      The trading book shall be a part of a bank’s financial portfolio that presents financial instruments purchased and sold to support trading operations, generate income in the form of the difference between the purchase and sale prices, and hedge the bank’s operations from various types of risk. Trading book positions shall be regularly reevaluated. All other operations shall relate to the bank book;

      3) assets (liabilities) sensitive to changes in interest rates;

      4) ways, methods and models for assessing market risk;

      5) risk orientation, bank approaches to establishing and monitoring risk appetite levels and risk minimization methods.

      45. The functioning of the market risk management system shall be carried out based on the following main components, but not limited to them:

      1) approval and periodic analysis of the bank’s investment activity strategy, formation of an optimal structure of assets and liabilities, taking into account the bank’s specific risk profile, the level of adequacy of the bank’s capital and the level of liquidity to cover the significant market risk.

      The investment strategy shall meet the following basic principles:

      the content corresponds to the bank’s overall strategy in terms of goals, directions and deadlines for implementation;

      the presence of a relationship between the tactical and strategic processes of managing the bank’s investment activities;

      maximizing profit, ensuring the growth of a high-quality investment portfolio, maintaining a sufficient level of liquid assets in the overall structure of the bank’s assets;

      formation of the structure of assets and liabilities taking into account the implementation of requirements, methods and procedures for managing market risk;

      2) approval of a procedure for identifying, assessing, monitoring, and controlling market risks, taking into account all areas of the activities of the bank that are subject to market risk (banking and trading books, balance sheet and off-balance sheet transactions), as well as methods for hedging these risks.

      The bank shall develop a market risk management process that shall include, but not limited to, the following:

      participants in the market risk management process, their powers and responsibilities with a clear definition of the accountability structure, as well as the internal procedure for the exchange of information;

      a list of foreign currencies, and financial instruments with which transactions are permitted, indicating the purposes of their use, as well as internal requirements and criteria for financial instruments, including the volume, composition and conditions;

      internal procedures and procedures for identifying, measuring, monitoring and controlling the level of market risk.

      Procedures for identifying, measuring, monitoring and controlling market risk:

      cover all types of assets, liabilities, off-balance sheet positions;

      cover all types of market risk and their sources;

      allow for regular assessment and monitoring of changes in factors affecting the level of market risk, including rates, prices and other market conditions;

      allow to identify market risk timely and take action in response to unfavourable changes in market conditions.

      To assess the accepted level of market risk, the bank shall use models that correspond to the development strategy, the volume of assets and the level of complexity of the bank’s operations.

      Concerning the banking book, the bank shall separately identify, measure (evaluate), monitor and control interest rate risk.

      To quantify the interest rate risk of the banking book, the bank shall use at least two complementary methods to monitor its level and manage it:

      quantitative assessment of changes in the economic value of equity (EVE), that is, the calculation of the amount by which the net value of cash flows generated by claims and obligations reflected in the bank’s balance sheet and off-balance sheet accounts will change;

      quantitative assessment of changes in net interest income (NII), that is, the calculation of the amount by which the bank’s expected net interest income will change in accordance with interest rate shock scenarios (parallel shift of rates up and (or) down).

      The methods for assessing interest rate risk used by the bank cover all significant sources of interest rate risk inherent in the operations (transactions) carried out by the bank that are sensitive to changes in interest rates. Concerning financial instruments denominated in foreign currency that are sensitive to changes in interest rates, the total volume of which exceeds 5 (five) percent of the volume of assets (liabilities), the bank shall measure interest rate risk separately for each foreign currency. The assumptions adopted within the methodology for assessing interest rate risk shall be documented in the relevant internal documents of the bank.

      The bank periodically conducts sensitivity analyses for each type of market risk inherent in the bank's activities. Sensitivity analysis shall show the impact on the bank's profit (loss) and equity capital of possible changes in variable risk factors.

      The bank shall periodically carry out backtesting of market risk assessment models. The bank shall conduct backtesting to verify the reliability and effectiveness of market risk assessment models and, if necessary, improve them. The results of back-testing with proposals, if necessary, to improve market risk management procedures shall be sent to the risk management committee and the board of directors of the bank.

      The bank shall regularly monitor the level of market risk to prevent the possibility of exceeding established risk appetite levels. The frequency of monitoring market risk shall be determined by the bank based on the degree of its significance for the relevant line of business of the bank.

      Information obtained in the process of monitoring market risk about a significant change in the level of risk shall be promptly communicated to the board of directors and the risk management committee of the bank to make the necessary decisions.

      To minimize market risk, the bank shall establish:

      risk appetite levels for currency, price and interest rate risks in accordance with Chapter 3 of the Rules;

      constant monitoring of compliance with established risk appetite levels;

      procedures for immediately informing the board of directors, the risk management committee, the board of the bank and other interested structural units about the achievement of limit values and (or) violations of established risk appetite levels;

      measures to reduce market risk taken when risk appetite levels are reached;

      3) market risk management procedures for:

      changes in the structure of financial instruments, their quantitative and cost indicators;

      development and implementation of new technologies and conditions for carrying out banking operations and other transactions, other financial innovations and technologies;

      when entering new markets;

      4) methods and criteria for hedging risks, including establishing criteria for the effectiveness (optimality) and cost of hedging.

      The bank shall develop and implement a hedging strategy for each type of market risk, which contains:

      hedged items;

      description of the hedging instruments used (use of exchange and over-the-counter market instruments, taking into account the assessment of the reliability of the counterparty, the timing of hedging instruments);

      internal procedure for determining the required level of liquidity to cover hedging instruments;

      description of the procedure and methods for assessing the effectiveness of hedging.

      A hedge shall be considered effective if the change in the fair value or cash flow of the hedged item is fully offset by the change in the fair value or cash flow of the hedging instrument. Hedging shall be carried out concerning a specific identifiable risk, rather than the general risks of the bank;

      5) internal procedures and procedures for monitoring the bank’s profitability from the use of financial instruments;

      6) procedures for stress testing to assess market risk, including the internal procedure for using their results as part of the risk management process.

      The bank shall conduct stress testing of market risks periodically to identify the level of potential market risks inherent in the bank's activities and assess the bank's ability to withstand changes.

      The frequency of stress testing, procedures and methods of implementation shall be established in the relevant internal documents of the bank. The frequency of stress testing shall be determined based on the bank’s level of exposure to market risk, capital market volatility and other external factors. The frequency of stress testing shall increase in cases of significant changes in external factors.

      When conducting stress testing, the following scenarios shall be used:

      historical;

      providing for changes in the exchange rates of foreign currencies and (or) precious metals for open positions of the bank;

      providing for changes in the market value of financial instruments;

      providing for changes in the general level of interest rates, scenarios of growth or decline in the profitability of financial instruments sensitive to changes in interest rates;

      providing for changes in profitability;

      providing for changes in the relationship between interest rates on resources attracted and placed by the bank;

      providing for changes in the degree of volatility of market interest rates;

      providing for a sharp deterioration in key market, financial and (or) other factors and conditions of the activities of the bank.

      The bank shall use methodology and stress-testing scenarios that are appropriate to its business structure and risk profile.

      The results of stress testing shall be presented to the board of directors, the risk management committee, the board of the bank, and interested structural units of the bank periodically. If the results of stress testing indicate the bank’s vulnerability to certain risk factors, the bank shall take measures to reduce the level of accepted risk;

      7) a system of indicators for early detection of exposure to market risk, including those based on the pre-limit approach;

      8) procedures for making changes to the internal documents of the bank and procedures in cases of changes in market conditions affecting the level of the bank’s exposure to market risk;

      9) approval of the internal procedure of a system of high-quality, detailed, periodic management information, allowing timely and complete assessment of the level of exposure to market risk, approach to established levels of risk appetite and timely response to changes.

      The bank shall ensure that it has an effective management information system designed to provide the board of directors of the bank, risk management committee and interested departments of the bank with information about the bank's exposure to market risk.

      Management information shall contain, but not limited to, the following:

      information on the current state of interest rates, exchange rates, market quotes and their dynamics;

      information on significant open positions by currencies and financial instruments;

      information on the level of interest rate risk for aggregate positions on financial instruments sensitive to changes in interest rates;

      information on the interest rate risk of the banking portfolio, filled out in accordance with paragraphs seven, eight and nine of subparagraph 1) paragraph 8 of the Report Structure on compliance with the internal process for assessing capital adequacy and the internal process for assessing liquidity adequacy in accordance with the Appendix to the Rules;

      information on the compliance of positions on financial instruments sensitive to changes in interest rates with established limits;

      information about early warning indicators of market risk;

      expert assessments on changes in interest rates, exchange rates, and price indices in the future;

      results of measuring market risks;

      10) the existence of an internal procedure for taking measures to reduce market risk;

      11) availability of procedures for assessing the fair value of financial instruments based on market information.

      Footnote. Paragraph 45 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      46. The board of directors shall ensure the existence of an operational risk management system that is fully integrated into the overall risk management process of the bank at all levels of the bank's organizational structure and in newly created products, activities, processes and systems, and ensures the effective identification, measurement, monitoring and control of operational risk of the bank in order to ensure the adequacy of equity to cover it. The operational risk management system shall include, but is not limited to, the following:

      1) a detailed description of the interaction between all participants involved in the operational risk management process, including the internal order of accountability.

      The bank shall determine the participants in the operational risk management process based on 3 (three) lines of defense.

      The first line of defense is provided by the structural units of the bank. This means that the heads of structural units are responsible for identifying, measuring, monitoring and controlling operational risk inherent in their activities, including those related to personnel, products, processes and systems. Based on the current market situation, strategy, volume of assets, the level of complexity of the bank’s operations, to ensure the effective functioning of the operational risk management system in the first line of defense, risk coordinators for operational risk are appointed in the bank’s structural units, the internal procedure for their interaction with the management units is determined operational risk and internal audit.

      The second line of defense shall be provided by an independent operational risk management unit.

      The third line of defense shall be provided by the internal audit unit through an independent assessment of the effectiveness of the bank's operational risk management system;

      2) a description of operational risk measurement tools;

      3) the internal procedure for establishing the operational risk appetite risk level;

      4) the internal procedure for the exchange of information and the base of internal events of operational risk;

      5) a system for classifying operational risk events to ensure accuracy in identifying risk;

      6) analysis of operational risk and the corresponding revision of the operational risk management policy in the event of a significant change in the level and types of operational risk of the bank.

      47. In order to build an effective operational risk management system, the board of directors shall be responsible for:

      1) approval of the operational risk management policy, which includes, but is not limited to, the following components:

      goals and objectives of operational risk management;

      basic principles of operational risk management;

      classification of types of operational risk events;

      level of risk appetite for operational risk of the bank;

      identification of participants in the operational risk management process based on 3 (three) lines of defense, their authority, responsibility with a clear definition of the accountability structure;

      determination of the internal order and procedures for identifying, measuring, monitoring and controlling operational risk, including:

      definition of key indicators of operational risk;

      definition of procedures and mechanisms for managing operational risk;

      internal procedure for the exchange of information between participants in the operational risk management process along 3 (three) lines of protection, including types, forms and terms of information submission;

      procedures for the approval, confirmation, analysis and monitoring of deviations from policies, procedures, limits;

      the internal procedure and procedures for approving new products, activities, processes and systems and/or making significant changes to existing products, activities, processes and systems;

      requirements for amendments to internal documents and procedures in cases of detection of deficiencies in the management of operational risk and (or) the occurrence of conditions affecting the bank's level of exposure to operational risk;

      2) the formation of a risk culture of operational risk management;

      3) regular analysis of the operational risk management system in order to ensure timely identification and management of operational risk caused by changes in external factors, as well as operational risks associated with new products, activities, processes or systems, including changes in the level and types of risk;

      4) ensuring the appropriate conditions for the application of best operational risk management practices;

      5) approval and control of risk appetite levels in relation to operational risk with regular review. In the process of analyzing the relevance of risk appetite levels, changes in external factors are taken into account, a significant increase in the volume of a bank’s operations, including for certain types of activities, the results of audits of the internal control system (if any), the effectiveness of the operational risk management or risk reduction system, and the volume of incurred losses, as well as the frequency, extent and nature of violations of established levels of risk appetite.

      48. The bank identifies, measures, monitors and controls operational risk through the following (but not limited to):

      1) the use of audit results.

      The results of audits shall be an additional source of information in the process of managing operational risk of a bank;

      2) collection and analysis of internal data on operational risk events.

      The collection and analysis of internal data on operational risk events (maintaining a database of operational risk events) is a process that allows one to assess the exposure to operational risk and the effectiveness of internal control based on information on operating losses.

      Analysis of the occurrence of losses gives an idea of the causes of large losses and information on whether the failures in the control system are episodic or systemic;

      3) analysis of external events on operational risks.

      The external data on operational risk events include (if any) the total operating losses, terms, data on coverage of losses, as well as relevant incidental information on cases of losses in other banks;

      4) conducting a self-assessment of operational risk.

      A tool through which a bank identifies and evaluates operational risks inherent in bank processes and evaluates their impact on processes and the effectiveness of existing control procedures for identified operational risks;

      5) descriptions (regulation) of business processes.

      Description (regulation) of business processes - a process in which the structural units that make up the first line of defense determine the main stages of business processes, types of activities, organizational functions that help identify operational risks, the relationships between risks, deficiencies in control and risk management;

      6) the use of key indicators of operational risk.

      Key indicators of operational risk are the values and (or) statistical data that provide an idea of the operational risk profile to which the bank is exposed. Key indicators of operational risk are used to monitor changes in the level of operational risk in the bank, which, in turn, ensures the identification of shortcomings in the processes, organization, failures and potential losses;

      7) scenario analysis of operational risk.

      Scenario analysis of operational risk is a process of comparing external events of losses with internal processes of a bank and obtaining an expert opinion of the heads of structural units and risk management departments about deficiencies in the control system or risks not previously identified to identify potential cases of operational risk and assess possible consequences.

      The risk management committee shall ensure that there is a process to regularly monitor the level of operational risk.

      49. The bank shall ensure the existence of a management information system, including the establishment of an internal procedure that shall determine the composition and frequency of operational risk management reporting, presented to various recipients of the bank's responsible executives (units) for the preparation and delivery of information to the relevant recipients. The established internal reporting procedure allows for proactive operational risk management. Management reporting on operational risk shall contain:

      1) information on violations of the established risk appetite levels of the bank for operational risk;

      2) information on significant internal events of operational risk and losses, disaggregated by the classification of operational risk, on the amount of damage, indicating the causes, types of events, consequences;

      3) information on significant external events of operational risk for decision making;

      4) information on corrective measures taken on significant events of operational risk occurrence and (or) analysis of the effectiveness of the measures taken;

      5) results of self-assessment of operational risk;

      6) monitoring results of key risk indicators;

      7) the results of scenario analysis;

      8) information about the operational risk map.

      Management reporting shall contain complete, reliable, timely information. The frequency of reporting reflects the degree of exposure of the bank to risks, as well as the pace and nature of changes in its activities.

      The processes for the formation of management reporting on operational risk shall be periodically analyzed in order to continuously improve the management of operational risk and the further development of principles, procedures and processes for managing operational risk.

      50. To identify potential risks arising in stressful situations, the bank shall periodically (but at least once every six months) conduct stress testing to identify sources of potential threats to capital adequacy. Stress testing shall be carried out by the bank using the following methods (but not limited to):

      1) scenario analysis;

      2) sensitivity analysis.

      The stress testing process shall include the following:

      Stress testing shall allow the bank to analyze the impact of stress scenarios on the level of capital adequacy, assess the level of risk when the internal and external environment changes;

      The degree and frequency of stress testing correspond to the chosen business model, scale of activity, types and complexity of operations, as well as the bank’s role in the financial system. The bank can increase the frequency of stress testing in deteriorating market conditions or at the request of bank management;

      The board of directors of the bank takes an active part in the stress testing process in terms of approving stress testing procedures, and scenarios (including considering conservative scenarios also during periods of economic growth), evaluating the results and, as a result, taking measures to minimize what is revealed during stress testing capital risk.

      When carrying out stress testing, the bank shall use, but not limited to, the following stress testing scenarios:

      general economic scenario, which is based on an assessment of the impact of a decline in the country’s economic situation, including a decline in economic growth in general and in individual sectors of the economy;

      a scenario specific to the bank’s business, which is based on an assessment of the influence of local stress factors, including those related to the characteristics of the bank’s lending activities and the structure of its loan portfolio;

      a scenario that takes into account the possibility of emergencies.

      The bank develops stress testing scenarios based on conservative but potentially realizable negative changes in external and internal indicators that affect a decrease in the level of capital adequacy.

      The board of directors of the bank shall approve stress testing scenarios and accepted assumptions, as well as stress testing results. The reasonableness of the selection of scenarios and the bank's associated assumptions shall be documented and reviewed in conjunction with the results of the stress test.

      In determining stress scenarios and sensitivities, the bank shall use a wide range of information, including historical and hypothetical stress situations, including those outside the normal range of risks and forecasts.

      In addition to the possibility of applying stress scenarios applied by the regulator, the bank shall strive to use the most applicable stress situations that correspond to its characteristics but are not limited to them.

      The board of directors of the bank shall regularly review stress testing scenarios for significant changes. If it is necessary to change the stress testing scenarios, an interim assessment shall be carried out.

      When developing stress testing scenarios and assumptions, the bank shall be guided by the following:

      the scenarios include all significant risks to which the bank is potentially exposed;

      during stress testing, the bank considers the relationship between different types of risks;

      the bank takes a conservative approach when determining stress-testing assumptions. Based on the type and severity of the scenario, the bank shall consider the appropriateness of several assumptions concerning its activities;

      stress testing approaches and models are statistically and econometrically sound;

      internal models of banks for certain types of risks are adapted for stress testing;

      the bank considers short-term and long-term, as well as idiosyncratic and market scenarios, regardless of how high the level of capital adequacy is at the moment, including:

      lack of accessibility to capital markets;

      reduction in the cost of energy resources;

      depreciation of the national currency;

      real estate market crisis;

      change in rates;

      change in gross domestic product;

      crisis in the agricultural sector;

      rising inflation expectations;

      increased unemployment and decreased income;

      decrease in the market value of assets.

      The results of the stress test and predicted risks, as well as subsequent actions to minimize the negative impact, are reported and discussed with the board of directors of the bank and departments involved in the liquidity risk management process. The board of directors of the bank shall integrate the results of the stress testing process into the bank's strategic and budgetary planning process. The results of stress testing shall be used to set internal limits.

      The board of directors of the bank shall take into account the results of stress testing in the process of maintaining capital adequacy in the event of unforeseen circumstances, including eliminating shortcomings in the process.

      Footnote. Paragraph 50 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall come into effect ten calendar days after the day of its first official publication).

      51. The bank shall ensure the existence of procedures for the development, approval and implementation of new products, activities, processes and systems, or significant changes to existing products, activities, processes and systems, ensuring:

      1) an assessment of the risks inherent in new products, activities, processes and systems of sludge and in the case of significant changes to existing products, activities, processes and systems;

      2) analysis of the costs and benefits of implementation;

      3) an assessment of changes in levels of risk appetite of the bank and the introduction of appropriate changes;

      4) the availability of the necessary control mechanisms, the risk management process;

      5) the availability of information on the level of residual risks;

      6) the existence of procedures and methods for identifying, measuring, monitoring and controlling risks inherent in new products, activities, processes and systems or in the case of significant changes to existing products, activities, processes and systems;

      7) an assessment of the bank's ability to invest in human resources and the technological infrastructure of the bank before introducing new products, activities, processes and systems or in the event of significant changes to existing products, activities, processes and systems.

      52. Each year, the board of directors of the bank evaluates capital adequacy based on the results identified in the internal process of assessing the adequacy of equity and other information available to the board of directors of the bank.

      The internal process of assessing capital adequacy is subject to a continuous review of both quantitative and qualitative indicators, including the application of its results, approaches to stress testing, risk identification and information collection, validation of risk assessment models. The review is carried out within 3 (three) lines of defense, based on their role in ICAAP. The review facilitates timely changes when internal and external factors change.

Chapter 6. Internal Liquidity Adequacy Assessment Process

      53. The board of directors shall approve the bank’s internal document that regulates the main approaches and principles of the ILAAP and contains the following sections:

      1) a description of the organizational structure of the ILAAP;

      2) a description of the risk appetite strategy;

      3) organization of liquidity risk and funding management, including daily liquidity risk and liquidity gaps;

      4) a description of the process of integrating liquidity risk management in the process of approving new products and activities;

      5) a review of the funding strategy and contingency plan for liquidity;

      6) organization of management of liquidity buffers and collateral;

      7) organization of stress testing procedures;

      8) the organization of self-assessment procedures for the internal liquidity adequacy assessment process.

      54. The description of the organizational structure of the ILAAP contains a list of participants in the ILAAP, indicating the responsibilities of the bank’s collegial bodies and units involved in the implementation of liquidity and liquidity risk management processes, including:

      1) the board of directors of the bank shall be responsible for managing liquidity risk and determining the level of risk appetite. The board of directors of the bank shall approve the report on compliance with the ICAAP and ILAAP no later than April 30 of the year following the reporting year;

      2) the risk management committee shall be responsible for developing policies and procedures in the field of liquidity management within the risk appetite level established by the board of directors. In addition, the risk management committee shall periodically notify the board of directors of the bank about compliance with risk appetite and significant changes in liquidity levels;

      3) the unit (units) of the entity entrusted with the functions of internal control, carries out verification of compliance with the ILAAP procedures and brings the results to the attention of the board of directors of the bank;

      4) unit (units) participating (participating) in the risk management process:

      is (are) responsible for the implementation of the liquidity risk management process;

      is (are) responsible for preparing a report on compliance with the ICAAP and ILAAP in accordance with the Structure of the report on compliance with the internal process for assessing capital adequacy and the internal process for assessing liquidity adequacy in accordance with the Appendix to the Rules. The bank shall ensure the availability of supporting documents, which include, but are not limited to, calculations, applied models, explanatory notes, analytical reports, self-assessment results and assessment of the effectiveness of the ILAAP;

      is (are) responsible for preparing the stress testing;

      5) the liquidity management unit (units) develops and implements measures for operational liquidity management and, together with the risk management unit, shall develop a financing plan in case of unforeseen circumstances;

      6) the internal audit unit shall evaluate the effectiveness of the ILAAP.

      Footnote. Paragraph 54 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      55. As part of the ILAAP, the board of directors of the bank shall be responsible for adhering to the approved risk appetite strategy.

      56. The bank shall develop an effective process for identifying, assessing, monitoring and controlling liquidity risk, which includes detailed forecasting of cash flows by assets, liabilities and off-balance sheet instruments at different time intervals.

      The bank shall evaluate all balance sheet and off-balance sheet items that affect the level of liquidity risk. The bank shall assess the level of liquidity in the market to cover the needs of the bank in attracting funding in order to regulate liquidity risk.

      When managing liquidity risk, the bank shall take into account the decrease in the value of assets and the impact of their sale during stresses on liquidity, profitability and capital.

      The bank shall take into account the interaction between liquidity risk and other types of risks to which it is exposed.

      Measurement of liquidity includes an assessment of the inflows and outflows of cash of the bank to determine the potential shortage of liquid assets in the future. The bank shall measure and predict estimated cash flows from assets and liabilities, including off-balance sheet claims and liabilities, at different time horizons under normal conditions and in a number of scenarios, with varying degrees of stress.

      These time horizons shall include:

      the need for liquidity and the possibility of financing on an intraday basis;

      need for liquidity and the possibility of financing for short and medium-term horizons up to 1 (one) year;

      long-term liquidity of more than 1 (one) year.

      The bank shall develop early warning indicators that identify increased liquidity and limited funding risks. The developed indicators reveal a negative trend in the level of liquidity and funding of the bank and reflect a real assessment in order to take immediate measures to mitigate the impact of emerging risks on the financial position of the bank.

      The bank shall define triggers for qualitative and quantitative indicators of early warning.

      Qualitative or quantitative indicators of early warning include, but are not limited to, the following:

      rapid growth of assets, especially those financed by liabilities with the possibility of early withdrawal, or for which there is no established maturity;

      increase in concentration in individual assets or liabilities;

      widening gaps in currencies;

      decrease in the weighted average maturity of obligations;

      approximation to the values of the bank’s internal limits and (or) prudential standards, defined as permissible, but requiring separate corrective measures in the existing procedures of the risk management system in order to reduce the risk level;

      negative trends or increased risk associated with the activities of the bank;

      a significant decrease in bank income, deterioration in the quality of assets and the general financial condition of the bank

      negative information, including in the media related to the bank;

      lowering the bank's credit rating;

      decrease in stock quotes or increase in the value of the bank's debt;

      increase in the cost of corporate or retail funding;

      an increase in the requirements of counterparties for the provision of additional collateral and (or) refusals for new transactions without collateral and for the extension of terms;

      closing or reducing the established amount of credit lines provided to the bank;

      increased outflow of retail deposits;

      increase in outflow of term corporate deposits;

      difficulties in attracting long-term financing.

      The bank shall actively manage its intraday liquidity position and associated risks in order to timely fulfill payment and settlement obligations, both in normal and stressful situations, thereby contributing to the smooth functioning of payment and settlement systems.

      The bank shall manage intraday liquidity risk through procedures that include, but are not limited to:

      tracking daily liquidity positions taking into account expected cash inflows and outflows, forecasting the size of a potential financing gap arising in different periods of the trading day;

      identification of key customers acting as the main sources of incoming or outgoing liquidity flows, forecasting inflows and outflows by establishing constant communication and awareness of the nearest future large incomes and withdrawals;

      identification of key periods, dates and circumstances in which liquidity flows and possible credit needs are especially high;

      understanding the needs of business units;

      control of the intraday liquidity position in relation to the expected payments in order to determine the size of the necessary additional intraday liquidity or the need to limit the outflow of liquidity to cover priority payments;

      availability of reliable funding sources in order to obtain a sufficient level of required intraday liquidity in a short time;

      management of bank assets that are used as collateral in case of the need to obtain daily borrowed funds;

      the availability of a sufficient amount of such assets, operational mechanisms for collateral;

      monitoring of outflows of funds of key clients in accordance with intraday needs;

      the bank response measures in case of unexpected breaks in daily liquidity flows, including measures to ensure business continuity.

      The bank shall provide an effective system of management information designed to provide the board of directors of the bank, the risk management committee and other interested structural units of the bank with information on the bank's exposure to liquidity risk and the state of liquidity of the bank.

      The bank shall develop a management reporting system that:

      covers all sources of liquidity risk, including contingent liability risks, as well as risks associated with the occurrence of events that entail early repayment of obligations and the need for a certain amount of liquidity from relevant sources;

      provides information on liquidity positions in the context of different time horizons;

      provides a risk measurement for monitoring positions on liquidity, both under normal and stressful conditions, by types of currencies in which the bank has significant positions, both individually and on an aggregated basis;

      allows monitoring and analysis of the dynamics of unencumbered highly liquid assets, with the aim of selling them or using them as collateral to raise funds in the event of stressful situations;

      allows you to monitor and analyze information on factors affecting the level of stock of liquid assets;

      provides assessment and forecasting of future cash flows in the context of different time horizons, including taking into account the results of stress testing in various scenarios;

      involves providing more detailed and relevant information on a more frequent basis during periods of stress.

      The management reporting system includes, but is not limited to, establishing an internal order that shall determine:

      the criteria, composition, internal procedure and frequency of reporting on liquidity risk management to various recipients (for example, daily reporting shall be presented to executives responsible for liquidity risk management, regular reporting to the management board, risk management committee and board of directors, with an increased frequency - to periods of stressful situations);

      compare the current liquidity risk level with the established limits, identify negative factors leading to negative trends in the liquidity level, as well as ways to limit violations;

      reports on violations of liquidity risk limits indicating threshold values, causes of violations and proposals to level out the current situation;

      responsible executives (units) for the preparation and communication of information to the appropriate recipients.

      Information systems ensure the functioning of the liquidity risk management system, including monitoring compliance with the established limits. Information systems correspond to the complexity of the bank’s business, risk profile, areas of activity, assets and the role of the bank in the financial system.

      57. Description of the process of integrating liquidity risk management into the approval process of new products and activities.

      The bank shall take into account the costs, benefits and liquidity risks in the process of approving new products for all important activities.

      The ILAAP of the bank shall take into account the measurement of costs, benefits and liquidity risks inherent in all areas of the bank's business (including activities related to contingent risks that do not have a direct effect at the moment, but have the opportunity to be implemented in the future). This distribution of costs, benefits and liquidity risks includes factors related to the expected maturity of assets and liabilities, their market liquidity risk characteristics and any other relevant factors, including the benefits of access to relatively stable funding sources.

      58. Review of funding strategy and contingency financing plan with liquidity (hereinafter referred to as the financing plan). The bank shall diversify the funding sources and sets internal concentration limits, taking into account the following factors (but not limited to):

      1) types of funding sources in the context of products, tools, markets;

      2) urgency of funding;

      3) characteristics of the issuer, counterparty or creditor, including economic sector, geographical location;

      4) the currency of funding sources.

      The diversification goals are part of financing plans (up to and over a year) and are taken into account in the process of drawing up strategic and budget planning.

      The board of directors, the risk management committee and the management board of the bank shall be informed about the characteristics and diversification of funding sources and periodically review the funding strategy in order to immediately respond to changes in the internal and external environment.

      An important component of ensuring diversification of funding is providing access to financial markets, which is crucial in the efficiency and ability to attract funds from investors and counterparties. Providing access to relevant markets shall take into account, but is not limited to, the following:

      maintaining an availability in financial markets selected for funding purposes;

      the opportunity to strengthen availability in selected financing markets;

      identification, establishment, maintenance of relationships with current and potential lenders providing funds;

      increasing the bank's capitalization in order to ensure the readiness of creditors to maintain relations with the bank.

      The bank identifies alternative funding sources that increase the bank's ability to withstand stressful situations and liquidity crises. Depending on the nature, severity and duration of the liquidity crisis, potential sources of financing include, but are not limited to, the following:

      deposit growth;

      extension of maturities;

      issue of short-term and long-term debt instruments;

      intragroup transfers of funds, sale of subsidiaries or lines of business;

      asset securitization;

      sale of existing highly liquid assets or the conclusion of repo transactions;

      containing the increase in volumes in the main areas of activity (for example, slowing down the issuance of loans).

      The board of directors of the bank, the risk management committee and the management board shall periodically evaluate and monitor the ability to quickly raise funds from each funding source in order to assess the effectiveness of ensuring liquidity in the long term.

      The board of directors of the bank approves a financing plan that clearly defines the process for eliminating liquidity shortages in emergency situations. The financing plan corresponds to the scale of the bank’s activities, risk profile, types and complexity of operations, assets and the role of the bank in the financial system. The financing plan includes a clear description of a diversified set of adequate, affordable, ongoing potential measures to ensure unforeseen expenses to maintain liquidity and reduce the cash deficit in various adverse situations.

      The financing plan shall contain:

      well-defined and accessible sources of financing in case of unforeseen circumstances, with an assessment of the possible amount of funds that are raised from these sources;

      the time required to attract additional funds from each of the sources of contingency financing;

      clear operating procedures governing:

      formation of the composition of executives (bodies, units) of the bank responsible for the development and implementation of the financing plan, indicating the powers and areas of their responsibility in order to ensure internal coordination and communication;

      a detailed algorithm of actions and their prioritization in relation to what actions need to be taken, who is responsible for their adoption, when and how these actions are implemented;

      several options for implementing various stressful situations.

      In order to ensure operational reliability, the financing plan is regularly tested and updated.

      59. The bank shall have a constant stock of unencumbered highly liquid assets that might be used as soon as possible without significant losses and discounts under various stressful scenarios, including events that entail loss of access or reduction in the volume of liquid funds provided by creditors, including against collateral, as well as placed by depositors.

      The required liquidity reserve shall be comparable with the established risk of the bank's appetite for liquidity risk. This requires determining the required size of the stock of unencumbered highly liquid assets to assess liquidity needs under stress. The assessment of liquidity needs under current conditions and during periods of stress shall include:

      both contractual and non-contractual cash outflows (inflows);

      unconditional demand of depositors to withdraw funds;

      and shall take into account the inability to obtain unsecured financing, as well as the loss or reduction of access to liquid funds.

      The necessary liquidity reserve shall mainly be formed from the highest quality liquid assets, such as:

      monetary funds;

      liquid government securities;

      finance marketing tools, possible to implement in most periods of negative stress scenarios and less negative as unencumbered liquid assets sold or used as security without significant loss or discount.

      General characteristics for the determination of highly liquid assets include:

      transparency of its structure and risk profile;

      ease and certainty of the assessment;

      existence of a liquid market for a given asset in all stress scenarios;

      available market volumes for the asset, including bank stocks relative to normal market turnover;

      absence of legal, regulatory or operational barriers to using these assets in order to receive financing at any time to meet liquidity needs.

      Effective management of collateral shall be carried out through the following, but not limited to, procedures that determine:

      assessment of the bank's needs for assets that must be used as collateral, including assets that are currently pledged, taking into account the timing of their release;

      conformity assessment of each type of asset for use as collateral in relation to each type of main counterparties and secured financing markets;

      diversification of assets to be used as collateral by the issuer, volume relative to the capabilities of the financial market and counterparties, price sensitivity to avoid excessive concentration, and also taking into account various market stress scenarios;

      monitoring collateral by issuer, geographical location, currencies, in order to assess how quickly assets are mobilized if necessary.

      60. The stress testing system shall include an analysis of the types of stress testing used, stress testing scenarios, applicable assumptions, and a methodological basis for verifying the stability of the liquidity sufficiency indicator in case of changing market conditions and management measures.

      The bank shall periodically conduct stress testing on various factors of short-term and long-term scenarios, oriented both to the specifics of the bank, and to large-scale market stresses and the combination of both scenarios in order to analyze and quantify their impact on the level of liquidity, on the bank's cash flows profitability and solvency.

      The results of stress tests shall be reviewed by the board of directors of the bank. Based on the results of the review, measures are taken to eliminate or mitigate the consequences to limit the impact on the bank, create the necessary liquidity reserve and adjust the liquidity level.

      The results of stress tests play a key role in formulating a bank financing plan and in determining a strategy and an ILAAP.

      The stress testing process shall include the following:

      the bank shall analyze the impact of stress scenarios on the liquidity position, estimates the level of liquidity risk occurrence when the internal and external environment changes, at different time periods (short-term, long-term), including on an intraday basis;

      the degree and frequency of stress testing is consistent with the chosen business model, the scale of activity, types and complexity of operations, as well as the role of the bank in the financial system. The bank shall have the ability to increase the frequency of stress testing in worsening market conditions or at the request of the board of directors of the bank or risk management committee;

      the board of directors of the bank shall take part in the stress testing process in terms of approving stress testing procedures and scenarios (including considering conservative stress scenarios even during periods of liquidity surplus), evaluating the results and as a result of taking measures to minimize the identified during stress testing the risk of visibility;

      in stress testing, the bank shall take into account the possible behavioral response of other market participants to market stress events and the extent to which the overall result strengthens market movement and aggravates the market load.

      In developing scenarios and additional stress testing, the bank is guided by the following:

      Scenarios include all the main funding and liquidity risks in the market to which the bank is potentially exposed;

      the bank shall consider short-term and protracted, as well as idiosyncratic and market scenarios, regardless of how high the level of liquidity is at the moment, including:

      simultaneous lack of liquidity in several previously highly liquid markets;

      serious difficulties in accessing secured and unsecured funding;

      currency convertibility restrictions;

      serious operational or settlement failures affecting one or more major payment or settlement systems;

      the bank shall take into account the relationship between reduced liquidity in the market and funding restrictions;

      during stress testing, the bank shall consider the relationship of various types of risks;

      the bank shall take into account liquidity requirements in many currencies and several major payment and settlement systems;

      the bank shall take a conservative approach in determining the assumptions of stress testing. Based on the type and severity of the scenario, the bank shall take into account the relevance of a number of assumptions regarding its activities, which include, but are not limited to, the following:

      narrowing market-wide liquidity;

      outflow of retail and corporate funding;

      lack of access to new secured and unsecured sources of funding;

      need for significant discounts for the sale of assets and (or) repos;

      default of counterparties, including on the interbank market;

      possibility of establishing additional margin and collateral;

      possibility of changes in the timing of financing;

      liquidity aimed at fulfilling contingent liabilities for off-balance sheet instruments and operations, including credit lines;

      planned change in the volume of assets;

      non-renewability of interbank deposits;

      inability to use credit lines provided to the bank;

      impact of triggers on a significant decrease in credit ratings;

      conversion of funds of bank customers;

      decrease in the ability to sell liquid assets taking into account legal, regulatory, operational and time constraints;

      limited access to funds of the authorized body, companies of the quasi-public sector;

      limited operational ability of the bank to sell assets;

      significant decrease in the bank's credit rating;

      appearance of negative information about the bank, affecting the level of trust in the bank.

      Stress scenarios shall be analyzed by the bank on a regular basis in order to confirm their relevance. The analyzes shall take into account changes in market conditions, changes in the nature, volume of assets or the complexity of the business model and activities of the bank, and actual experience in situations of stress.

      The board of directors of the bank shall approve stress testing scenarios and assumptions made, as well as the results of stress testing. The validity of the choice of scenarios and relevant assumptions of the bank shall be documented and considered along with the results of the stress test.

      The results of the stress test and predicted risks, as well as subsequent actions to minimize the negative impact, are reported and discussed with the board of directors of the bank and departments involved in the liquidity risk management process. The board of directors of the bank integrates the results of the stress testing process into the strategic and budget planning process of the bank. The results of stress testing shall be used to establish internal limits.

      The board of directors of the bank shall include the results of stress testing in the assessment and planning of the financing plan, including for purposes of correcting deficiencies in the plan.

      61. The bank shall annually conduct a self-assessment of the ILAAP to identify weaknesses in the process in terms of the following:

      1) liquidity management policies;

      2) process organization;

      3) procedures, systems and regulatory actions;

      4) level of liquidity and the availability of funding.

      Based on the results of the self-assessment and in identifying inconsistencies and (or) weaknesses of the process, the bank shall draw up an action plan containing information on corrective actions to be implemented, including information on the responded parties, expected deadlines, and required resources.

Chapter 7. Business Continuity Management

      62. The board of directors of the bank shall ensure the existence of a bank business continuity management system that is consistent with the current market situation, strategy, volume of assets, and complexity of the bank’s operations.

      The bank shall manage business continuity through procedures, but not limited to those listed in paragraphs 63-71 of the Rules.

      63. The bank shall carry out, according to the method defined in the internal document of the bank, an analysis of the impact on activities, through which the assessment shall be carried out of:

      1) impacts, damages or losses on personnel, premises, technologies or information of the bank;

      2) violations of the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies;

      3) loss of reputation.

      An analysis of the impact on the bank's activities shall be carried out to determine the time frame for the restoration of critical activities, as well as to identify the resources necessary to resume and continue key activities in case of unforeseen circumstances (critical resources).

      To analyze the impact on the bank:

      assesses the amount of possible losses in connection with the downtime of providing critical products and services over time;

      sets the maximum acceptable period of downtime for each activity by identifying:

      the maximum period within which activity resumes;

      the period of time within which the normal level of activity is resumed;

      identifies types and levels of performance of activities, assets or other resources that need to be continuously maintained in a minimum working condition and and (or) restored in a timely manner to provide critical products and services;

      shall determine the amount of resources minimally necessary for the restoration and further implementation of critical activities in emergency mode;

      sets a target recovery time for each of the critical activities. The target recovery time is less than the maximum allowable downtime of the corresponding product or service;

      establishes a recovery point between the last data backup and the start of downtime of a critical activity;

      ranks critical activities by target recovery time, prioritizing;

      identifies suppliers, counteragents, other interested parties on whom critical types of the bank’s activities depend and how these executives assist the bank in unforeseen circumstances.

      64. The bank shall identify critical activities. Identified in the process of analysis of the impact on the activities of the bank, the loss of which has the maximum negative impact on the bank in the short term and needs to be restored as soon as possible, is a critical type of activity.

      65. The bank shall determine the resources necessary to support critical activities, which include but are not limited to the following:

      1) personnel.

      In determining personnel as a resource necessary to support critical activities, the bank shall determine:

      the required number of employees;

      necessary skills and competencies;

      2) premises.

      When determining premises as a resource necessary to support critical activities, the bank shall determine:

      main and alternative sites;

      premises requiring increased protection;

      3) technology.

      In determining technologies as a resource necessary to support critical activities, the bank shall determine:

      information technology services supporting critical activities;

      telecommunication services supporting critical activities;

      other technologies supporting critical activities, including perimeter security, collection technologies;

      4) information.

      In determining information as a resource necessary to support critical activities, the bank shall determine:

      information necessary to carry out critical activities, including internal documents of the bank;

      the amount of information that needs to be restored (recovery target point);

      methods for storing, protecting and restoring information;

      5) suppliers, external services and supplies.

      The bank shall determine suppliers, external services and supplies on which the implementation of critical activities depends;

      6) financial resources.

      The bank shall determine the amount of financial resources that is potentially available for the implementation of the plan(s) of ensuring the continuity and restoration of the bank in case of unforeseen circumstances.

      66. The bank shall carry out contingency risk analysis, which allows assessing threats and vulnerabilities in critical activities and the resources they use. As threats that have a negative impact on resources, the bank shall consider, but not limited to, the following:

      1) inaccessibility of employees;

      2) inaccessibility of technologies, including information and communication technologies (computer viruses, computer hardware failure, loss of communication);

      3) inaccessibility of supply (water, electricity);

      4) lack of access to buildings (premises);

      5) inaccessibility of key suppliers, contractors;

      6) inaccessibility of key information;

      7) inaccessibility of financial resources.

      67. The bank shall define contingency risk management measures that cover (but not limited to) the following key resources:

      1) personnel;

      2) premises;

      3) technology;

      4) information;

      5) suppliers, contractors and supply channels.

      When choosing contingency risk management measures, the bank shall take into account the results of the analysis of the impact on the bank’s activities and shall determine, including the internal procedure for interaction with external suppliers involved in restoration work, with external counterparties (depositors, creditors), shareholders of the bank, with the authorized body and other authorities, as well as with the media and other interested parties.

      When choosing measures to manage the risks of unforeseen circumstances, the bank shall take into account, but is not limited to the following factors:

      the most acceptable period of downtime for a critical activity;

      the costs of the implementation of the plan(s) for the continuity and restoration of activities;

      consequences of failure to take action;

      realistic risks and the magnitude of losses from their implementation;

      consistency with the established goals of the business continuity management system;

      consistency with policies and procedures for the management of business continuity.

      The bank shall define measures to maintain key knowledge and competencies to ensure the continuity of its activities. Measures include, but are not limited to, the following:

      regulation of the internal procedure for the implementation of critical activities;

      maintaining a list of additional competencies of personnel not used in daily activities for the redistribution of functions in the face of a shortage of workers;

      personnel training in professional skills, including cross-functional training.

      The bank shall determine measures to reduce the impact on the provision of critical products and services due to the lack of main premises. These measures include, but are not limited to, the following:

      provision of alternative facilities;

      transfer of personnel to other premises of the bank;

      use of workplaces of workers performing non-critical work;

      work at home or in remote premises.

      When choosing alternative premises, the bank shall take into account, but not limited to, the following features:

      security of the premise;

      access to the premises;

      proximity to the main premise;

      availability of necessary communications.

      The bank shall determine measures to maintain the operability of information technology and communication services necessary to ensure business continuity.

      The bank shall determine measures to ensure the integrity, accessibility and confidentiality of information necessary to ensure business continuity in the event of a critical event.

      The bank shall determine the list of resources used (including material supply, financial resources) and measures to ensure their availability, including from external suppliers and contractors and other interested parties in the event of a critical event, which includes:

      storage of additional resources, including technological and telecommunication equipment, in storage facilities;

      agreements with the supplier on the urgent delivery (replacement) of resources in the warehouse;

      availability of alternative resource providers.

      68. The bank shall ensure the development and availability of plan(s) for ensuring continuity and (or) restoration of activities. The plan(s) for ensuring continuity and (or) restoration of activities meets the following principles:

      1) understandable to responsible executives;

      2) available for use by responsible executives;

      3) has goals and scope consistent with the business continuity management policy, including:

      a list of critical activities of the bank, as well as the maximum allowable downtime, including those requiring recovery;

      target recovery time for critical activities, including for information technology and telecommunications;

      measures to minimize the risk of loss of reputation;

      4) consistent with the actions of external organizations;

      5) contains a description of the functions and responsibilities of personnel involved in ensuring the continuity and restoration of activities;

      6) has an activation scheme, including:

      the decision-making procedure for activation, including a list of employees responsible for confirming activation and the conditions under which activation of the plan is required;

      a list of employees informed about the activation of the plan;

      7) contains a diagram of emergency external and internal communications, paying attention to:

      communications within the team of workers involved in the recovery and emergency provision of critical products and services;

      communications with external organizations involved in business continuity;

      communications with the authorized body;

      communications with the mass media and customers;

      communications with counterparties and other interested parties during the restoration work;

      communication methods;

      8) contains requirements for the minimum amount of resources and suppliers needed at various points in time for the restoration and emergency provision of critical activities;

      9) contains a sequence of actions for the restoration and continuous provision of critical activities, including:

      a scheme for involving third-party organizations in the recovery process;

      a scheme for involving counterparties and stakeholders of the bank in the process of restoring the bank's activities;

      the sequence and places of recovery of critical activities of the bank;

      the timing and place of restoration of critical information technology services, as well as the sequence of actions for their restoration, including restoration of network infrastructure in a new building, restoration of basic functionality, applications and databases, synchronization, backup, telecommunications;

      dates and places for mobilizing the necessary resources;

      10) contains all the necessary details, including the location of the reserve premises, routes, contacts of the authorized body and other authorities, organizations involved in the restoration of the bank, as well as ways to contact them;

      11) contains a method for documenting key information on the progress of work, decisions made and measures taken;

      12) has a circuit:

      cancellation of emergency operation, including criteria to decide on completion of emergency operation;

      transition to a daily functioning mode;

      recovery on damaged domestic banking processes after liquidation of consequences of unforeseen circumstances;

      13) has the sole owner of the plan responsible for maintaining and reviewing.

      69. The bank shall test a plan (plans) to ensure continuity and (or) restoration of activities in order to determine that:

      1) critical activities are protected regardless of the severity of the critical event;

      2) these plans ensure the activities of the bank in unforeseen circumstances and the transition to daily operation.

      70. The bank shall:

      1) carry out testing in the event of significant changes in the activities of the bank;

      2) carry out testing, as individual elements of the business continuity management system, and in the aggregate, in order to verify the reliability of the system as a whole;

      3) carry out test planning in such a way as to minimize the impact of critical events that arise during the test;

      4) define the goals and objectives of each testing;

      5) determine the group of observers (testing controllers) from the bank employees responsible for the development of the plan (plans) for ensuring continuity and (or) restoration of activities, employees exercising internal control, and, if necessary, independent specialists from organizations specializing in on the provision of advisory services in the field of business continuity and information security of the bank. A group of observers (testing controllers) shall carry out:

      control of each test;

      assessment of test results;

      drawing up a protocol on testing, its results and feedback, including the necessary corrective actions;

      coordination of the protocol with the heads of bank departments involved in testing and the plan (plans) for ensuring continuity and (or) restoration of activities;

      6) draws up and approves a report on the results of testing on the basis of an agreed audit protocol, which includes analysis of the test results, proposals on eliminating identified shortcomings and improving plans and other elements of the bank's business continuity management system.

      A report on the results of testing with proposals, if necessary, to improve the plan (plans) for ensuring continuity and (or) restoration of activities is sent to the risk management committee for review and the board of directors of the bank for approval.

      71. The board of directors of the bank shall ensure that there is a management information system that includes, but is not limited to, information on the status of implementation of procedures and processes for managing business continuity, revealed facts of violations of internal procedures and policies, incidents, results of inspections and plans to increase the bank’s stability and ability restore certain operations.

Chapter 8. Information Technology Risk Management

      72. The board of directors of the bank shall ensure the existence of an information technology risk management system that matches the external operating environment, strategy, organizational structure, volume of assets, the nature and level of complexity of the bank’s operations and ensures the minimization of information technology risks.

      73. The information technology risk management system includes, but is not limited to, the following:

      1) information technology risk management policy;

      2) information technology risk management procedures;

      3) management information system;

      4) assessment of the effectiveness of the risk management system of information technology by the internal audit unit.

      74. The bank shall determine the following participants in the information technology risk management system (but not limited to):

      1) bank risk management unit;

      2) information technology unit.

      75. The bank shall create a structural unit for risk management, which functions include risk management of information technology, including:

      1) development, implementation and development of a risk management system for information technology;

      2) participation in the development and coordination of action plans for the implementation of the strategy of the bank in terms of ensuring the availability of information and communication technologies;

      3) participation in the risk assessment of information technology;

      4) monitoring the level of risk of information technology;

      5) interaction and advice to structural units of the bank on information technology risk management;

      6) planning and analysis of the results of an information technology risk assessment conducted by the information technology unit;

      7) development and formation of a risk register, including information technology risks;

      8) reporting on the implementation of significant risks of information technology and monitoring the implementation of measures to eliminate their consequences to the risk management committee;

      9) provision of reports or other information on information technology risk management to the board of directors;

      10) use of the results of internal audit in terms of information technology risks.

      76. The bank shall create a structural unit for information technology, which functions include:

      1) conducting a risk assessment of information technology;

      2) development of measures for processing information technology risks and reporting on their implementation to the risk management unit;

      3) preparation and submission of reports on the implementation of significant risks of information technology to the risk unit of the bank, as well as on the elimination of their consequences;

      4) development of action plans for the implementation of the strategy of the bank in terms of ensuring the accessibility of information and communication technologies for critical business processes.

      The bank shall ensure the independence of the structural unit for risk management from the structural unit for information technology.

      77. The risk management unit shall develop an internal document that defines the procedure for managing information technology risks, which includes, but is not limited to, the following:

      1) information technology risk identification procedures;

      2) procedures for determining internal and (or) external factors affecting the implementation of each of the risks of information technology;

      3) procedures for assessing the possibility and consequences of all identified risks of information technology, applying qualitative and (or) quantitative methods of assessment, including on the basis of data on their implementation;

      4) procedures for the collection and storage of information on the implementation of significant risks of information technology;

      5) the procedures for the formation of a risk register, including the risks of information technologies;

      6) procedures for developing information technology risk treatment measures;

      7) procedures for monitoring the implementation of measures to handle the risks of information technology.

      78. The information technology unit shall develop an action plan to implement the strategy of the bank in terms of ensuring the availability of information and communication technologies for critical business processes, which discloses, but is not limited to, the following:

      1) determination of resource requirements, including the determination of the budget associated with the development of information and communication technologies;

      2) description of the required measures in the field of information and communication technologies, indicating the timelines and those responsible for their implementation.

      The bank shall ensure the existence of a management information system, including, but not limited to, the establishment of an internal procedure that defines the criteria, composition and frequency of reporting on risk management of information technology of the bank, responsible executives (units) for the preparation and delivery of information to the relevant recipients.

Chapter 9. Information Security Risk Management

      79. The board of directors of the bank shall ensure the existence of an information security risk management system that is consistent with the external operating environment, the strategy of the bank, organizational structure, assets, the nature and complexity of the bank’s operations and is aimed at minimizing information security risks.

      80. The information security risk management system includes, but is not limited to, the following:

      1) information security risk management policy;

      2) information security risk management procedures;

      3) management information system;

      4) assessment of the effectiveness of the information security risk management system by the internal audit unit.

      81. The bank shall determine the following participants in the information security risk management system (but not limited to):

      1) bank risk management unit;

      2) information security unit;

      3) information technology unit;

      4) units-owners of protected information.

      82. The bank shall create a structural unit for risk management, which functions include information security risk management:

      1) development, implementation and development of an information security risk management system;

      2) participation in the development and coordination of action plans for the implementation of the strategy of the bank in terms of ensuring information security;

      3) creation and leadership of a working group on the formation of a list of critical information assets of the bank, including at least units that own information to be protected;

      4) participation in the information security risk assessment;

      5) monitoring the level of information security risks;

      6) interaction and consultation of structural units of the bank on information security risk management;

      7) planning and analysis of the results of the information security risk assessment conducted by the information security unit;

      8) development and formation of a risk register, including information security risks;

      9) reporting on the implementation of significant information security risks and monitoring the implementation of measures to eliminate their consequences to the risk management committee;

      10) provision of reports or other information on information security risk management to the board of directors of the bank;

      11) use of the results of the internal audit in terms of information security risks.

      83. The bank shall create a structural unit for information security, which functions include:

      1) conducting an information security risk assessment;

      2) development of measures for processing information security risks and reporting on their implementation in the risk management unit;

      3) preparation and submission of reports on the implementation of significant information security risks to the risk unit of the bank, as well as on elimination of their consequences;

      4) development of action plans for the implementation of the bank strategy in terms of ensuring information security.

      The bank shall ensure the independence of the structural unit for risk management from the structural unit for information security.

      84. The risk management unit shall develop an internal document that defines the procedure for managing information security risks, which includes, but is not limited to, the following:

      1) procedures for the identification and classification of information assets in order to identify critical information assets;

      2) procedures for identifying vulnerabilities of critical information assets;

      3) procedures for identifying potential threats in relation to critical information assets;

      4) procedures for identifying existing information security risk management measures;

      5) procedures for assessing the possibility and consequences of violation of confidentiality, integrity and accessibility of information assets, using qualitative and (or) quantitative methods of assessment, including on the basis of data on their implementation;

      6) procedures for the collection and storage of information on the implementation of significant information security risks;

      7) procedures for the formation of a risk register, including information security risks;

      8) procedures for monitoring the implementation of measures to handle information security risks and.

      85. The information security unit shall develop an action plan for the implementation of the strategy of the bank regarding information security, which discloses, but is not limited to, the following:

      1) determination of resource requirements, including determination of the budget associated with the implementation of measures aimed at managing information security risks;

      2) description of the required measures in the field of information security with an indication of the time frame and responsible executors for their implementation.

      86. The units-owners of protected information, in the framework of information security risk management, carry out:

      1) providing a description of the protected information to the risk management unit;

      2) formation of a list of critical information assets of the bank as part of a working group on the formation of a list of critical information assets of the bank under the leadership of the risk management unit.

      87. The bank shall ensure the availability of a management information system, including, but not limited to the establishment of an internal procedure that defines the criteria, composition and frequency of reporting on information security risk management of the bank, responsible executives (units) for the preparation and delivery of information to relevant recipients.

Chapter 10. Compliance Risk Management

      88. The board of directors of the bank shall control the compliance risk management process of the bank, create a compliance control unit in the bank, appoint and release from the post the chief compliance controller, and approve the compliance risk management policy.

      The compliance control unit shall organize procedures to comply with the requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies, the legislation of foreign countries that affect the activity of the bank and the bank's internal documents, governing the procedure for the bank to provide services and conduct operations in the financial market, and provides complete and reliable information to the board of directors about the existence of compliance risk.

      The risk management committee shall be responsible for developing a compliance risk management policy to be approved by the board of directors and containing the basic principles of the compliance risk management board, including the principles of creating a compliance culture in the bank, on the basis of which compliance risk is identified and managed at all levels of the structure of the bank.

      89. Compliance control unit shall be responsible for developing a compliance risk management policy, ensuring compliance risk management and coordinating the activities of the bank in managing compliance risk. The compliance risk management policy of a branch of a non-resident bank of the Republic of Kazakhstan is developed by the compliance control unit of a non-resident bank of the Republic of Kazakhstan, the branch of which is opened on the territory of the Republic of Kazakhstan.

      A compliance control unit is a structural unit of the bank, independent of any activities of the bank’s structural units that constitute the first line of defense.

      The independence of the compliance control unit shall be ensured by the following factors:

      the compliance control unit has the status of an independent structural unit;

      employees of the compliance control department shall not hold part-time positions in other structural units of the bank;

      the head and employees of the compliance control unit shall not find themselves in a situation where there is a possible conflict of interest between their responsibilities for managing compliance risk and any other responsibilities assigned to them;

      the compliance control unit, within the framework of its competence, has access and, if necessary, requires any information from the bank’s structural units, and subsidiaries of the bank, and also involves employees of the bank and its subsidiaries to assist in the performance of the compliance control function.

      Footnote. Paragraph 89 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated 02.24.2021 No. 43 (shall be enforced upon the expiration of ten calendar days after the day of its first official publication).

      90. The compliance control unit shall perform, but not limited to, the following functions:

      1) development of internal procedures, methods and procedures for identifying, measuring, monitoring and controlling the bank’s compliance risk on a consolidated basis;

      2) development, implementation and ensuring the availability of internal control rules to combat ML/TF;

      3) formation of a compliance program (plan), which includes, among other things:

      risk management policy, taking into account the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating legalization (laundering) of proceeds from crime and financing terrorism, about joint stock companies;

      checking the bank’s compliance with the requirements of civil, tax, and banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and exchange control, on payments and payment systems, on pensions, the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating legalization (laundering) of proceeds from crime and the financing of terrorism, on joint stock companies, regulating issues provision of services by the bank and conduct of operations in the financial market, as well as legislation of foreign countries that influences the activities of the bank to determine the degree of exposure of the bank to compliance risk;

      staff training on compliance risk management;

      4) assistance to the board of the bank in managing the bank’s compliance risk;

      5) consulting the management and employees of the bank on the norms of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, on payments and payment systems, on pensions, on the securities market, on accounting and financial reporting, on credit bureaus and the formation of credit histories, on collection activities, on mandatory deposit guarantees, on combating the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint stock companies, rules, policies related to compliance risk management, including informing about changes, except when such a function is performed by a legal unit of the bank;

      6) control of the organization of work in the bank to familiarize bank employees with the requirements of the internal documents of the bank regulating the procedure for the bank to provide services and conduct operations in the financial market;

      7) coordination of the activities of the bank’s subsidiaries on issues of compliance risk management, including ML/TF risk;

      8) mandatory participation in the process of introducing new banking products and services;

      9) ensuring the organization of measures in the bank to identify, assess and control conflicts of interest;

      10) developing independently or jointly with structural units and officials of the bank recommendations to eliminate identified violations and shortcomings in the bank’s work related to compliance risk management and submitting relevant information to the board of directors of the bank;

      11) development and maintenance of a compliance risk reporting system and periodic provision of information on issues of managing the bank’s compliance risk to the board of directors of the bank;

      compliance risk management with the bank’s structural units, including the internal audit department;

      13) coordinating the collection of quantitative and qualitative indicators to assess the risk of the bank’s involvement in ML/TF risks and transmitting information to the authorized body annually no later than February 5 of the year following the reporting year.

      compliance risk management functions in accordance with the internal documents of the bank shall be delegated, if necessary, to other structural units of the bank, provided there is no conflict of interest.

      The provisions of subparagraphs 1) and 8) of this paragraph shall not apply to a branch of a non-resident bank of the Republic of Kazakhstan.

      Footnote. Paragraph 90 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated March 14, 2022 No. 21 (shall come into effect upon the expiration of ten calendar days after the day of its first official publication).

      91. The independence of the chief compliance controller shall be determined by:

      1) regardless of the authority, the chief compliance controller is appointed and dismissed by the board of directors of the bank;

      2) has unhindered access to the board of directors of the bank, without the participation of the board of the bank;

      3) has access to any information necessary for him to fulfill his duties;

      4) does not combine the position of chief operating officer, financial director, other similar functions of the bank’s operations, head of the internal audit unit.

      The combination of the functions of the chief compliance controller and the head of the compliance control unit is allowed.

      Interaction between the chief compliance controller and the board of directors and/or the risk management committee is carried out on a regular basis.

      Information on the appointment and dismissal of the chief compliance controller from office shall be brought to the information of the authorized body.

      At the request of the authorized body, the board of directors of the bank shall provide a justification for the reason for such a decision.

      92. The bank shall identify measure, implement monitoring and control of compliance risk and develops compliance risk management procedures, which include, but are not limited to, the following:

      1) development of internal guidelines (instructions) for bank employees on the management of compliance with the risk, including the risk of money laundering and terrorist financing, by preparing internal documents;

      2) monitoring compliance by the bank and its employees with policies and procedures for managing compliance risk;

      3) collecting data on compliance risk events;

      4) analysis of complaints (applications) of customers for the availability of compliance risk;

      5) development and analysis of quantitative and qualitative indicators characterizing the degree of bank exposure to compliance risk;

      6) conducting investigations (checks), independently or jointly with structural units and (or) bank officials, of facts of violation by the bank employees of the legislation of the Republic of Kazakhstan governing the provision of bank services and operations in the financial market, as well as the laws of foreign countries that affect on the activities of the bank, in accordance with the procedure determined by the internal document of the bank;

      7) providing advice on requests regarding the conformity of a particular transaction (deals) of a bank or part thereof with the legislation of the Republic of Kazakhstan, which regulates the provision of services by the bank and operations in the financial market, as well as the laws of foreign states that affect the bank's activities.

      93. In developing procedures for identifying, measuring monitoring and monitoring compliance risk, the bank shall take into account, but not limited to, the following factors:

      1) the volume of assets, the nature and complexity of the bank's business;

      2) the availability of data for use as source information;

      3) the state of information systems and their capabilities;

      4) the qualifications and experience of the personnel involved in the compliance risk management process.

      94. The bank shall ensure a compliance risk management system that shall take into account:

      1) bank strategy and activities;

      2) the volume of assets, the nature and complexity of the depreciation of the bank;

      3) the complexity of the organizational structure of the bank;

      4) the level and types of risks inherent in the activities of the bank;

      5) the effectiveness of compliance risk management procedures applied by the bank in the past;

      6) potential internal organizational changes and (or) changes in market conditions;

      7) the legislation of the Republic of Kazakhstan governing the provision of services by the bank and conducting operations in the financial market, as well as the legislation of foreign states that affect the activities of the bank.

      95. The compliance risk management system includes, but is not limited to, the following:

      1) compliance risk management policies and procedures;

      2) ML/FT risk management policies and procedures, including a customer acceptance policy. When developing and implementing decision-making procedures for accepting a client for service, the bank shall take into account inherent risk factors;

      3) an assessment of the effectiveness of the compliance risk management system by the internal audit unit.

      The compliance risk management system is based on 3 (three) lines of defense:

      bank employees;

      compliance control unit;

      internal audit unit.

      96. Compliance risk management policies and procedures include, but are not limited to, the following:

      1) goals and objectives of compliance risk management;

      2) principles of compliance risk management, including principles of creating a compliance culture in the bank (culture of compliance by the bank and its employees with the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies, the laws of foreign countries that affect on the activities of the bank and internal documents of the bank governing the procedures for the provision of services by the bank and conducting operations in the financial market);

      3) the internal order, methods and procedures for managing compliance risk, including those based on a risk-based approach;

      4) the internal procedure, methods and procedures for managing the risks of the intentional or unintentional involvement of the bank and (or) its subsidiaries in the money laundering and terrorist financing processes, or other criminal activities (money laundering and terrorist financing risk);

      5) participants in the compliance risk management system based on 3 (three) lines of defense, their authority, responsibility with a clear definition of the accountability structure;

      6) the authority and responsibility of the chief compliance controller, head of the compliance control unit;

      7) requirements for the professional qualities of employees of the compliance control unit;

      8) procedures for monitoring and coordinating the activities of bank subsidiaries on compliance risk management issues;

      9) the internal procedure for interaction and exchange of information between participants in the compliance risk management system.

      97. ML/TF risk management policies and procedures shall include, but not limited to, the following:

      1) development and implementation of internal documents regulating the procedure for managing ML/TF risk, implementing financial monitoring and internal control to combat ML/TF;

      2) a methodology for assessing ML/TF risks in accordance with the internal control rules of the bank to combat ML/TF;

      3) the internal procedure for organizing risk management of the bank in the context of its structural units and (or) employees in terms of ML/TF;

      4) the presence of a customer acceptance and service program (customer acceptance policy);

      5) when developing and implementing procedures for deciding on accepting a client for service, the bank takes into account risk factors, including those identified and posted on the Internet resource of the authorized body.

      Internal procedures and the procedure for refusing to establish and terminate business relations with a client shall be developed taking into account risk factors posted on the Internet resource of the authorized body. Information on facts of refusal to establish and terminate business relations shall be sent to the authorized body quarterly, no later than the 5th (fifth) day of the month following the reporting quarter;

      6) the presence of an automated information system and procedures that allow the identification of transactions subject to financial monitoring, and also allow the timely submission of relevant information and information to the authorized body for financial monitoring.

      Footnote. Paragraph 97 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated March 14, 2022 No. 21 (shall come into effect upon the expiration of ten calendar days after the day of its first official publication).

Chapter 11. Internal Control

      98. The bank shall ensure the presence of an internal control system that corresponds to the current market situation, strategy, volume of assets, and level of complexity of the bank’s operations. Internal control is a process built into the daily activities carried out by the authorized collegial bodies of the bank, structural units and all bank employees in the performance of their duties, and aimed at achieving the following goals:

      1) ensuring the efficiency of the activities of the bank, including the efficiency of managing banking risks, assets and liabilities, ensuring the safety of assets;

      2) ensuring the completeness, reliability and timeliness of financial, regulatory and other reporting for internal and external users, as well as information security;

      3) ensuring the bank’s compliance with the requirements of civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and exchange control, on payments and payment systems, on pension provision, about the securities market, about accounting and financial reporting, about credit bureaus and the formation of credit histories, about collection activities, about mandatory deposit guarantees, about combating the legalization (laundering) of proceeds from crime and the financing of terrorism, about joint-stock companies, internal documents of the bank;

      4) preventing the involvement of the bank and its employees, and bank clients in carrying out illegal activities, including fraud, deception, ML/TF, in carrying out operations on the territory of the Republic of Kazakhstan, related to transactions with a high risk of ML/TF, in carrying out operations on the territory of the Republic of Kazakhstan related to the further acquisition of unsecured digital assets on digital asset exchanges that are not members of the Astana International Financial Center that provide services for managing the digital asset platform.

      Concerning the participant of the Astana International Financial Center, which provides services for managing the digital asset platform, the bank assesses the ML/TF risk. When assigning a high level of ML/TF risk to a participant of the Astana International Financial Center providing digital asset platform management services, the bank shall apply enhanced customer due diligence measures, and shall be also responsible for:

      assessing the degree of exposure of services (products) provided to a participant of the Astana International Financial Center, which provides services for managing the digital asset platform, to ML/TF risks;

      carrying out due diligence procedures when establishing business relationships, which include, in addition to the due diligence measures provided for clients, additional measures to obtain and record information about the reputation and nature of the activities of the participant in the Astana International Financial Center providing services for managing the digital asset platform, the application of measures against him/her by the Astana International Financial Center Committee for the Regulation of Financial Services;

      termination of business relations with a participant of the Astana International Financial Center providing services for managing the digital assets platform, in cases where the bank identifies facts of use by a participant of the Astana International Financial Center providing services for managing the digital assets platform of accounts located in a shell bank;

      refusal to establish or terminate business relations with a participant of the Astana International Financial Center providing services for managing the digital assets platform, the founders of which are registered in the territory of a foreign state:

      included in the list of states (territories) that do not implement or insufficiently implement the recommendations of the Financial Action Task Force (FATF), compiled by the authorized financial monitoring body;

      subject to international sanctions in accordance with United Nations Security Council resolutions;

      included in the list of offshore zones in accordance with the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated February 24, 2020 No. 8 "On establishing the List of offshore zones for banking and insurance activities, the activities of professional participants in the securities market and other licensed types of activities in the securities market, the activities of joint-stock investment funds and the activities of organizations engaged in microfinance activities," registered in the State Register of Normative Legal Acts under No. 20095;

      determined by the bank as posing a high risk of ML/TF based on other factors (information about the level of corruption, illegal production, trafficking and (or) transit of drugs, information about support for international terrorism, etc.).

      monitoring and studying transactions with money of a participant in the Astana International Financial Center, which provides services for managing the digital assets platform, as well as preventing the illegal withdrawal of funds abroad, including to offshore zones;

      taking measures established by the requirements of the legislation of the Republic of Kazakhstan on combating the legalization (laundering) of proceeds from crime and the financing of terrorism when suspicious transactions with money and (or) other property are identified (hereinafter referred to as Suspicious transactions);

      termination of business relations with a participant of the Astana International Financial Center providing services for managing the digital asset platform, in cases established by the requirements of the legislation of the Republic of Kazakhstan on combating the legalization (laundering) of proceeds from crime and the financing of terrorism;

      ensuring the verification of the source of origin of funds of a participant of the Astana International Financial Center, which provides services for managing the digital assets platform, when replenishing a bank account;

      ensuring the storage of records of transactions on money transactions and providing information to the authorized body for financial monitoring;

      ensuring the storage of at least five years of documents, data and (or) information received and collected as part of the due diligence of a participant in the Astana International Financial Center providing digital asset platform management services;

      verifying the affiliation and (or) involvement of a participant in the Astana International Financial Center, which provides services for managing the digital asset platform, and its beneficial owner to a public official, his/her spouse and close relatives in cases established by the requirements of the legislation of the Republic of Kazakhstan on combating the legalization (laundering) of proceeds from crime or the financing of terrorism;

      submission to the authorized body for financial monitoring of the necessary information when identifying suspicious transactions within the time limits established by the requirements of the legislation of the Republic of Kazakhstan on combating the legalization (laundering) of proceeds from crime or the financing of terrorism.

      Concerning bank clients carrying out transactions with a participant of the Astana International Financial Center, which provides services for managing the digital asset platform, the bank, when conducting one-time banking transactions in an amount not exceeding 1,000 (one thousand) US dollars in equivalent at the market exchange rate on the date of the banking transaction, shall apply simplified customer due diligence measures, except for cases of suspicious transactions by customers.

      Concerning bank clients carrying out transactions with a participant of the Astana International Financial Center providing services for managing the digital asset platform, the bank, when conducting one-time banking transactions in an amount equal to or exceeding 1,000 (one thousand) US dollars in equivalent at the market exchange rate currencies on the date of the banking transaction, applies enhanced customer due diligence measures and shall be responsible for:

      ensuring the verification of the source of origin of funds of bank clients when making a transfer in favor of a participant in the Astana International Financial Center, which provides services for managing the digital assets platform;

      taking measures established by the requirements of the legislation of the Republic of Kazakhstan on combating the legalization (laundering) of proceeds from crime and the financing of terrorism when suspicious transactions are identified;

      monitoring and studying transactions with money of bank clients, as well as preventing illegal withdrawal of funds abroad, including offshore zones;

      termination of business relations with bank clients in cases established by the requirements of the legislation of the Republic of Kazakhstan on combating the legalization (laundering) of proceeds from crime and the financing of terrorism.

      When opening a bank account to service client transactions, a participant of the Astana International Financial Center providing services for managing the digital asset platform shall submit the following documents:

      license of a participant of the Astana International Financial Center, providing services for managing the digital asset platform, to provide financial services for managing the digital asset platform, issued by the Astana International Financial Center Committee for the Regulation of Financial Services;

      an extract from the register confirming registration as a participant in the Astana International Financial Center, which provides services for managing the digital asset platform;

      business plan and business model of a participant in the Astana International Financial Center, providing services for managing the digital asset platform;

      anti-ML/TF policy of a participant in the Astana International Financial Center, which provides services for managing the digital asset platform;

      an order on the appointment of the head of a participant in the Astana International Financial Center, which provides services for managing the digital asset platform;

      information about the executive body of the participant of the Astana International Financial Center, which provides services for managing the digital asset platform, and its head (identity document, confirmation of place of residence, letters of recommendation, information about the absence of an unexpunged or outstanding criminal record).

      Effective internal control shall be ensured by developing appropriate management controls and a control culture (control environment).

      Management control and control culture (control environment) shall characterize the general attitude, awareness and practical actions of the board of directors of the bank and the board of the bank aimed at creating and effective functioning of the internal control system.

      Footnote. Paragraph 98 - as amended by the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated April 27, 2023 No. 14 (shall come into effect upon the expiration of ten calendar days after the day of its first official publication).

      99. Management control and control culture (control environment) shall be formed by the board of directors and the board of the bank on the basis of ethical principles, standards of professional activity and corporate governance, which together with their legislatively established duties and responsibilities ensure adequate control by the bank’s governing bodies including control of:

      1) the organization of the bank’s activities, including the development and implementation of the strategy of the bank, internal bank documents;

      2) the functioning of the banking risk management system and the assessment of banking risks;

      3) the distribution of powers in banking operations and other transactions;

      4) managing information flows (receiving and transmitting information) and ensuring information security;

      5) the creation and functioning of the internal control system.

      100. The bank shall ensure the existence and functioning of the bank’s internal control system, which includes, but is not limited to:

      1) principles of organizing an internal control system;

      2) requirements for the professional qualities of employees;

      3) the internal procedure and procedures for the implementation of internal control;

      4) the definition of participants in the internal control system based on three lines of defense, their authority, responsibility with a clear definition of the structure of accountability;

      5) the internal procedure for interaction and exchange of information between participants in the internal control system along three lines of defense;

      6) the internal procedure for amending internal documents of the bank and in cases of detection of deficiencies in the process of internal control.

      The bank’s internal control system shall be based on the following principles:

      participation in the internal control process of all structural units and employees of the bank and internal control organizations as daily activities at all management levels;

      internal control coverage of all areas of activity and business processes and regulation of internal control procedures in all areas and business processes of the bank;

      implementation the internal control on an ongoing basis (continuity).

      101. The bank shall determine the participants of the internal control system based on three lines of protection:

      1) the first line of defense is provided by the structural units of the bank. The heads of structural units shall be responsible for organizing and implementing internal control in the structural unit;

      2) the second line of defense is provided by risk management, compliance control, a legal unit, a personnel department, a unit(s) performing (performing) financial control functions, and other structural units of the bank that exercise control functions;

      3) the third line of defense shall be provided by the internal audit unit through an independent assessment of the effectiveness of the internal control system.

      102. The bank shall develop internal control procedures based on the following interrelated elements:

      1) control over risk management;

      2) control actions and separation of powers;

      3) information and interaction;

      4) monitoring and correction of deficiencies.

      103. The internal control system shall provide control over the timely identification and assessment on an ongoing basis of the risks inherent to the bank and the adoption of timely measures to minimize significant risks in accordance with the bank's internal documents. The internal control system provides, but is not limited to:

      1) consideration and accounting during risk assessment of internal factors (the complexity of the bank’s organizational structure, the nature of its activities, qualitative characteristics of personnel, organizational changes, personnel turnover), as well as external factors (changes in economic conditions and the situation in the banking sector, technological innovations) which negatively affect the achievement of the goals set by the bank;

      2) risk assessment in certain areas of the bank;

      3) carrying out by the bank of new operations and services, subject to the availability of their regulation in the bank's internal documents;

      4) ensuring timely informing of executives (departments, bodies of the bank), defined in the relevant internal documents of the bank, about the factors affecting the level of exposure of the bank to risks.

      The internal control system is subject to adjustment as any new or uncontrolled material risks are identified, including those related to the introduction of new services and products.

      104. Control activities include, but are not limited to:

      1) control carried out by the board of directors of the bank, committees of the board of directors and the board of the bank in order to identify and eliminate deficiencies in internal control, violations, errors;

      2) control carried out by the heads of structural units;

      3) control of physical availability and access to material assets, ensuring the protection of premises for the storage of material assets;

      4) verification of compliance with the established limits;

      5) a system of coordination and delegation of rights and powers;

      6) verification of the timely and correct reflection of the operations and transactions of the bank in accounting and reporting;

      7) verification of compliance with the policies and procedures of the bank in transactions and transactions.

      Control actions within the framework of the separation of duties contribute to minimizing the conflict of interests and the conditions for its occurrence, committing unlawful actions, as well as preventing the provision of the same structural unit and (or) employee with the opportunity:

      to make banking operations and other transactions and at the same time carry out their reflection in accounting;

      authorize the payment of money and carry out their actual payment, taking into account the limits established by the bank's internal documents;

      conduct operations on bank accounts of customers and accounts reflecting their own financial and economic activities of the bank;

      evaluate the reliability and completeness of the documents presented at the time of loan issuance, and monitor the repayment of the loan;

      perform actions in any other areas of activity in which a conflict of interest arises.

      Depending on the bank's operations, the following control methods shall be used:

      double control (the "four-eye" and "shared access" principles).

      The “four eyes” principle requires that the work of one employee be checked (approved) by another employee in order to involve the second employee in verifying the correctness of calculation, authorization and documentation of the operation.

      The principle of “shared access” implies a procedure in which 2 (two) or more employees are equally responsible for the physical protection of values ​​and documents. Responsibility shall be established by the relevant internal document of the bank and shall be brought to the information of all employees;

      analysis of operations.

      Preliminary analysis of the operation to prevent an incorrect or unauthorized operation.

      Subsequent analysis after its completion in order to reveal the fact of an unauthorized operation.

      To ensure the effectiveness of the subsequent analysis, it is necessary that the executive conducting the subsequent analysis be independent of the workers conducting this operation;

      reports on the results of operations to provide bank management with information on bank performance, financial conditions and deviations from the budget;

      training bank personnel in control techniques and error detection;

      data protection;

      providing protection against personnel errors;

      checking for errors in order to detect them in a timely manner.

      105. From the position of internal control, reliable and detailed financial, operational information and information on compliance with the established requirements of the civil, tax, banking legislation of the Republic of Kazakhstan, legislation of the Republic of Kazakhstan on state regulation, control and supervision of the financial market and financial organizations, legislation of the Republic of Kazakhstan on currency regulation and currency control, payments and payment systems, on pension provision, on the securities market, on accounting and financial reporting on credit bureaus and the formation of credit records, on debt collection activities, on mandatory guarantee of deposits, on counteracting the legalization (laundering) of proceeds from crime and the financing of terrorism, on joint-stock companies, as well as incoming external market information about events and conditions related to decision-making. The collection, analysis of information and its transfer to its intended purpose shall involve ensuring:

      1) the board of directors of the bank, the board of the bank and the executives (units, bodies of the bank) specified in the relevant internal documents with information for making decisions and performing their duties;

      2) the availability of information flows that ensure the integrity, security and accessibility of information inside and outside the bank;

      3) adequate control over the management of information flows and information security of the bank.

      Internal control of the functioning of information systems and technical means provides for the control of information technology systems, which is carried out in order to ensure their security, uninterrupted and continuous operation.

      From the position of internal control, compulsory accounting of all bank operations and transactions is ensured.

      Monitoring the timeliness, reliability and sufficiency of the financial information of the bank requires verification of the following (but not limited to):

      information systems providing accounting in the bank for compliance with the legislation of the Republic of Kazakhstan in the field of accounting and financial reporting and IFRS;

      availability in the bank of internal documents on accounting;

      ensuring chronological and timely registration of operations and events in accounting;

      ability to generate financial statements at the end of each business day;

      correspondence of synthetic (final) accounting to analytical (detailed) accounting;

      regular checks of accounting records by employees who are not involved in the process of authorizing or reporting transactions in the financial statements;

      accounting records based on primary documents and ensuring the proper design and preservation of primary documents.

      106. Monitoring of the internal control system of the bank on an ongoing basis shall be carried out by the first and second line of defense, as well as the board of the bank.

      Significant internal control deficiencies shall be reported to the board of directors of the bank.

      The internal audit unit shall evaluate the effectiveness of internal control.

      The Risk Management Committee shall exercise control the functioning of the internal control system.

      107. The management reporting of the bank on internal control shall include the information on significant violations and deficiencies identified in the process of internal control, as well as on the results of decisions made or measures to eliminate them.

Chapter 12. Internal Audit

      108. The bank shall ensure the functioning of an internal audit taking into account the strategy, organizational structure, and volume of assets, nature and level of complexity of the bank's operations. The internal audit unit shall have clearly defined powers, independently in its activities, accountable to the board of directors of the bank. The internal audit unit shall have sufficient resources and powers to carry out objectively and efficiently its functions and responsibilities.

      The head and employees of the internal audit unit shall not hold a different position, shall not be members of the collegial body of the bank, and shall not combine responsibilities in the bank and (or) subsidiaries.

      The internal audit unit shall be guided in its activities by international standards of internal audit.

      109. The board of directors of the bank and the internal audit committee shall contribute to improving the efficiency of the internal audit unit by:

      1) ensuring unlimited access for employees of the internal audit unit to any documents, information and objects of the bank, including access to systems, records and minutes of meetings of collegial bodies of the bank;

      2) establishing requirements for the internal audit unit to independently evaluate the effectiveness of the system of morning control, risk management system, corporate governance in all areas of the bank's business;

      3) establishing requirements for internal auditors to comply with the code of ethics and requirements of the banking legislation of the Republic of Kazakhstan, the laws of the Republic of Kazakhstan on joint stock companies;

      4) establishing requirements for employees of the internal audit unit to have sufficient knowledge of banking activities and internal audit methods, the skills to collect the necessary and sufficient information, the ability to analyze and evaluate to perform their duties;

      5) establishing requirements for the board of the bank to timely and effectively implement the action plan to eliminate violations and deficiencies identified as a result of the audit;

      6) requirements to conduct a periodic assessment of the effectiveness of the bank's risk management system, internal accounting procedures, preparation and ensuring the integrity of financial and regulatory reporting, the compliance risk management system, and the internal control system.

      The internal audit unit shall carry out an independent, comprehensive assessment of the effectiveness of corporate governance, internal control, and risk management systems.

      The internal audit unit uses a risk-based approach in developing its plans and actions, forms an independent, informed opinion on the risks inherent in the bank's activities, and shall carry out appropriate assessments of internal processes.

      110. The effective activities of the internal audit unit shall be based on the following principles:

      1) independence and objectivity, which are achieved through the following:

      conducting an audit in any units of the bank and in any areas of activity based on a risk- based approach;

      absence of involvement of the internal audit unit in the development, implementation and application of internal control measures;

      absence of a conflict of interest in the activities of employees of the internal audit unit;

      rotation in the duties between employees of the internal audit unit, if possible, without prejudice to the competence and professionalism of employees;

      absence of connection between the remuneration of employees of the internal audit unit and the financial results of the structural units of the bank. The bonus part of the remuneration of the head and employees of the internal audit unit shall be established in such a way as to exclude the occurrence of a conflict of interest and not question the independence and objectivity of the internal audit unit;

      submission of reports of the internal audit unit for consideration by the board of directors and the committee on internal audit issues, for review without the right to adjust such reports to the board of the bank;

      accountability of the head of the internal audit unit directly to the board of directors of the bank, which appoints to the post, controls its activities and, if necessary, makes a decision on dismissal;

      Information on the decision on the release of the head of the internal audit unit of the positions shall be brought to the attention of the authorized body. Upon receipt of a request from an authorized body, the bank shall provide an explanation of the reasons for making this decision;

      2) professional competence and professional discretion, which meet the following characteristics:

      the ability of employees of the internal audit unit to collect and perceive information, verify and evaluate the revealed facts and interact with employees of the internal audit unit;

      responsibility of the head of the internal audit department for staffing, and constant monitoring and assessment of the required level of skills;

      the level of qualifications and skills of employees of the internal audit unit and (or) involved third-party experts that meet the requirements of professional competence, and the ability to conduct an internal audit of the bank's audited areas of activity at the proper level;

      professional development and in order to comply with changes in the internal and external environment;

      3) professional ethics, which meets the following principles:

      conscientious performance of duties by employees of the internal audit unit, their responsibility, decency and honesty;

      maintaining confidentiality of information obtained in the course of the performance of official duties;

      exclusion of a conflict of interest. Employees of the internal audit unit accepted from among bank employees are not allowed for the next 12 (twelve) months from the day they are transferred to the internal audit unit to conduct an audit of the unit in which they worked;

      the employees of the internal audit unit comply with the requirements of internal documents, banking legislation of the Republic of Kazakhstan, the legislation of the Republic of Kazakhstan on joint stock companies.

      111. The bank shall approve the regulation on the internal audit unit in order to ensure operational efficiency. The provision includes, but is not limited to:

      1) the status of the internal audit unit in the bank, the powers, duties and internal procedures for interaction with other units of the bank;

      2) the tasks and scope of the internal audit unit;

      3) the responsibilities of the internal audit unit to inform the board of directors, the management board and other interested departments of the bank about the results of the work performed;

      4) the conditions under which the internal audit unit provides advice;

      5) responsibility and accountability of the hands of the breeder of the internal audit unit;

      6) requirements to be guided by international standards of internal audit;

      7) procedures for the interaction of the internal audit unit with the external auditor of the bank;

      8) the powers of the internal audit unit in the course of business (including verification of any unit and type of activity of the bank and its subsidiaries, unlimited access to bank documents, data, material objects, management reporting, records and minutes of all meetings and meetings adopted decisions).

      112. The scope of activity of the internal audit unit includes the assessment of:

      1) the effectiveness of the risk management system and internal control;

      2) the effectiveness of bank policies and procedures;

      3) the reliability of the accounting system and information;

      4) the reliability, efficiency and integrity of management reporting systems (including relevance, accuracy, completeness, accessibility, confidentiality and the comprehensive data);

      5) the safety of assets and capital.

      113. The activities of the internal audit unit adequately cover all issues of regulation of the bank's activities (based on a risk-based approach), in particular:

      1) risk management, including:

      assessment of the organization of the risk management process, including the responsibilities of structural units;

      assessment of compliance of the bank's activities with a risk appetite strategy and risk appetite determination procedures;

      assessment of the effectiveness of the internal procedure for informing and disseminating issues and decisions adopted in the framework of risk management;

      assessment of the effectiveness of risk management systems, including identification, assessment, monitoring and control, response, reporting on risks arising in the activities of the bank;

      assessment of the process of generating data in information systems, and used in the framework of risk management, with a view to ensuring accuracy, reliability and completeness;

      assessment of the approval process and application of risk assessment models, including verification of the sequence of approaches, relevance, independence and reliability of the data sources used in these models.

      If during inspections the internal audit unit revealed significant facts of decision-making by the bank's management in the presence of a negative opinion of the risk management unit(s), such facts shall be brought by the internal audit unit to the board of directors of the bank notice;

      2) internal control system, including:

      checking the organization of the internal control system;

      assessment of processes and procedures of internal control;

      assessment of management information on internal control for reliability, completeness and timeliness;

      3) capital adequacy and liquidity, including:

      assessment of the effectiveness of internal processes for assessing capital adequacy and liquidity, the adequacy of the ratio of capital, liquidity and risks taken by the bank, compliance with mandatory standards;

      assessment of stress testing processes for capital and liquidity levels, taking into account the frequency of stress tests, testing tasks, realistic scenarios and assumptions made, process reliability;

      4) regulatory and management reporting.

      The internal audit unit shall evaluate the effectiveness of risk management and reporting processes for the bank management and the authorized body;

      5) compliance.

      Assessment of the effectiveness of processes and procedures for managing compliance risk and ML/FT risk;

      6) the activities of the financial unit:

      assessment of the process of generating initial financial data with a view to ensuring their adequacy, accuracy and completeness, and subsequent presentation of key data, including financial results, assessment of financial instruments and reduction of their value;

      assessment of the approval process and application of pricing models, including verification of the sequence of approaches, relevance, independence and reliability of the data sources used in these models;

      assessment of existing control mechanisms to prevent and detect violations of the rules of operations;

      Assessment of bank procedures for measuring and monitoring bank positions in terms of liquidity, currency and interest rate for compliance with the risk profile of the bank, the external environment and minimum regulatory requirements;

      selective testing of bank transactions for their compliance with policies and procedures during the audit and assessment of the effectiveness of internal control measures in relation to these transactions;

      assessment of the effectiveness of accounting processes, including control procedures.

      114. Based on the results of audits, a report shall be generated on the results of the internal audit, which contains, but is not limited to, the following:

      1) general information, including goals, scope, timing of the audit, information on the composition of the audit team;

      2) a list of violations and deficiencies identified during the audit, indicating the reasons for the violations and deficiencies, and their impact on the bank's activities;

      3) recommendations for eliminating identified violations and deficiencies;

      4) a list of executives to whom the audit report is sent.

      The report on the results of the internal audit is sent to the board of the bank for review, the material facts and conclusions drawn are sent to the bank's audit committee and board of directors.

      115. The head of the internal audit department shall be responsible for preparing the annual audit plan based on a risk-based approach, which includes, but is not limited to:

      1) the purpose and scope of the audit;

      2) areas subject to audit;

      3) the timing of the audit;

      4) the necessary personnel and other resources.

      The annual audit plan shall be based on a risk assessment and, if necessary, shall be  reviewed during the year.

Chapter 13. Outsourcing

      116. In the case of outsourcing external contractors to carry out certain operations and (or) business processes, the board of directors of the bank shall ensure the existence of effective principles and practices for managing risks arising from the involvement of external contractors. Activities to attract external contractors shall include:

      1) procedures for determining which functions are transferred to outsourcing g and how;

      2) the process of verifying the reliability of the financial condition of the company when selecting potential counterparties;

      3) reliable principles for concluding contracts with external contractors, taking into account the structure of their property, the conditions of confidentiality and providing for the right to terminate the contracts;

      4) risk management and monitoring programs related to the conclusion of such contracts, taking into account the financial position of the service provider;

      5) creation of conditions for effective control at the bank and in the organization that provides services;

      6) the development of effective plans in case of unforeseen circumstances;

      7) the implementation of complex contracts and (or) contracts for the provision of services with a clear distribution of responsibilities between the organization that provides services and the bank.

Chapter 14. Collateral management

      Footnote. The Rules are supplemented by Chapter 14 in accordance with the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall come into effect from July 1, 2023).

      117. The bank shall ensure the functioning of a collateral service unit that takes into account the strategy, organizational structure, volume of assets, nature and level of complexity of the bank’s business. The collateral service unit shall have clearly defined powers. The resources of the collateral service unit shall be determined by the bank taking into account the need to perform its functions and responsibilities objectively and efficiently.

      The head and employees of the collateral service department shall not hold positions in other structural units of the bank when there is a possible conflict of interest between their responsibilities for assessing collateral and any other responsibilities assigned to them.

      The collateral service unit shall be guided in its activities by the requirements of the legislation of the Republic of Kazakhstan, assessment standards and (or) international valuation standards.

      118. The internal documents of the bank help improve the efficiency of the collateral service unit by establishing:

      1) requirements for the collateral service unit to conduct an internal assessment of collateral as part of making decisions on issuing a loan and managing credit risk;

      2) requirements for employees of the collateral service unit to have sufficient knowledge about valuation activities and valuation methods, skills in collecting necessary and sufficient information, the ability to conduct analysis and evaluation to perform their job duties;

      3) requirements to conduct periodic assessments of the effectiveness of the collateral service.

      119. The effective operation of the collateral service unit shall be based on the following principles:

      1) absence of a conflict of interest in the activities of employees of the collateral service unit;

      2) the lack of connection between the remuneration of employees of the collateral service unit and the financial results of the activities of other individual structural units of the bank. The bonus portion of the remuneration of the head and employees of the collateral service unit shall be established in such a way as to exclude the emergence of a conflict of interest and not to cast doubt on the objectivity of the activities of the collateral service unit;

      3) professional competence of the employees of the collateral service unit (the head of the collateral service unit shall have a certificate of qualification as an "appraiser" issued by the chamber of appraisers, and membership in one of the chambers of appraisers in accordance with the Law of the Republic of Kazakhstan "On appraisal activities in the Republic of Kazakhstan").

      120. The bank shall approve the regulations on the collateral service unit to ensure the efficiency of activities. The provision shall include, but not be limited to, the following:

      1) the status of the collateral service unit in the bank, powers, responsibilities and internal procedures for interaction with other units of the bank;

      2) the tasks and scope of activity of the collateral service unit;

      3) responsibility and accountability of the collateral service unit;

      4) requirements for compliance with national assessment standards;

      5) requirements for maintaining a statistical journal of the value of collateral.

  Appendix
to the Rules for formation
of risk management and internal
control system for second-tier banks,
branches of non-resident banks
of the Republic of Kazakhstan

The structure of the report on compliance with the internal capital adequacy assessment process and the internal liquidity adequacy assessment process

      Footnote. The Rules are supplemented by an Appendix in accordance with the Resolution of the Board of the Agency of the Republic of Kazakhstan for Regulation and Development of the Financial Market dated December 29, 2022 No. 119 (shall be enforced ten calendar days after the day of its first official publication).

Chapter 1. General principles of the internal capital adequacy assessment process and the internal liquidity adequacy assessment process

      1. The general basis of the internal capital adequacy assessment process and the internal liquidity adequacy assessment process shall include, but not be limited to, the following sections:

      1) the general system of the internal process for assessing capital adequacy (hereinafter referred to as the ICAAP) and the internal process for assessing liquidity adequacy (hereinafter referred to as the ILAAP);

      2) information about the structure of risk appetite;

      3) information about stress testing;

      4) information systems.

      2. The section "General system of ICAAP and ILAAP" shall include, but not limited to, the following subsections:

      1) current business model.

      Information about the current business model shall include, but not limited to, the following description:

      the chosen business model, indicating its main activities, geographical territories, branches and products;

      data allowing to assess the bank's ability to create profit, broken down by key profitability indicators, including ratios calculated by the bank (return on capital ratio, return on assets ratio);

      data on the dynamics of regulatory capital adequacy;

      data on the dynamics of assets and liabilities, including the funding structure;

      data on compliance with minimum regulatory requirements concerning capital adequacy and liquidity ratios;

      2) strategy and budget.

      The Strategy and Budget Information shall include, but not be limited to, the following:

      development strategy, including the bank’s goals and the time frame for achieving them;

      links between ICAAP and ILAAP and bank strategy;

      3) governance and risk management system.

      Information about the governance and risk management system shall contain, but not limited to, the following description:

      organizational structure and interaction between structural units on ICAAP and ILAAP issues, including the system of authorized collegial bodies of the bank, rules and procedures for risk management;

      the level of competence of risk management committee members, including their general management skills, knowledge and experience;

      regular meetings of the authorized collegial bodies of the bank on ICAAP and ILAAP issues;

      information on management reporting generated within the framework of the ICAAP and ILAAP, which are filled out in accordance with Table 1 of the Appendix to the Structure of the report on compliance with the internal process for assessing capital adequacy and the internal process for assessing liquidity adequacy (hereinafter referred to as the Structure).

      3. The section "Information on the structure of risk appetite" shall contain, but not limited to, the following description:

      a general risk appetite management system, including the presence of authorized collegial bodies of the bank responsible for the implementation of processes, control measures and information systems;

      accepted risks under which the bank operates as part of the implementation of the bank’s overall strategy;

      risk profile of the activities of the bank;

      risk appetite levels;

      the results of assessing the acceptability of the established risk appetite in the current period and how acceptable it will be in the future;

      Information about limits on risk appetite levels is filled out in accordance with Table 2 of the Appendix to the Structure.

      4. The "Stress Testing Information" section shall contain, but not limited to, the following description:

      stress testing procedures and approved stress testing scenarios;

      results of stress testing for risk metrics, strategy and budget indicators, risk appetite, and other indicators approved by the bank;

      integration of stress testing results into the risk management and control system;

      interaction (integration) between solvency and liquidity stress tests, including stress tests specific to ICAAP and ILAAP.

      5. The "Information Systems" section shall contain, but not limited to, the following description:

      information systems used to manage bank risks, including those used to monitor the quality of the loan portfolio, as well as ensure the functioning of the liquidity risk management system;

      information systems used to provide complete, reliable and timely financial, regulatory and management information;

      processes for collecting, storing and aggregating risk data at various levels;

      the data flow and data structure used for the ICAAP and ICAAP, including a description of the data checks applied.

Chapter 2. Information about ICAAP

      6. Information about the ICAAP shall include, but not limited to, the following sections:

      1) general ICAAP system;

      2) identification, assessment, control and monitoring of risks;

      3) internal (economic) capital and distribution of internal (economic) capital;

      4) stress testing;

      5) self-assessment.

      7. The "General ICAAP System" section shall contain, but not limited to, the following subsections:

      goals and scope of ICAAP;

      information about the ICAAP processes, which are filled out in accordance with Table 3 of the Appendix to the Structure;

      a list of risks covered by the ICAAP, with justification for possible differences between the risks covered by the ICAAP and the risk appetite.

      8. Section "Identification, assessment, control and monitoring of risks" shall contain, but not limited to, the following subsections:

      1) identification and assessment of significant risks.

      Information on identifying significant risks shall include, but not limited to, the following description:

      methodology for identifying risks, distribution by type of risks to which the bank is exposed or may be exposed in the future in the course of doing business and implementing the strategy, determining materiality;

      risk assessment methodologies, including using quantitative and qualitative methods;

      roles and responsibilities of departments as part of the process of identifying significant risks.

      Information about the bank's risk structure is filled out in accordance with Table 4 of the Appendix to the Structure.

      Information on the interest rate risk of the banking portfolio shall contain, but not limited to, the following:

      Information on the current value of the bank's banking book filled out in accordance with Table 5 of the Appendix to the Structure;

      Information on net interest income filled out in accordance with Table 6 of the Appendix to the Structure;

      2) control and monitoring of significant risks.

      Information on the implementation of control and monitoring of significant risks shall contain, but not limited to, the following description:

      processes for control and monitoring of significant risks, indicating the functions and responsibilities of the bank’s units;

      control, monitoring and risk mitigation tools used;

      volumes of accepted risks, indicating established risk limits.

      9. Section "Internal (economic) capital and distribution of internal (economic) capital" shall contain, but not limited to, the following subsections:

      1) internal (economic) capital.

      Information on internal (economic) capital shall contain, but not limited to, the following:

      description of the calculation methodology, models for assessing internal (economic) capital for all significant risks;

      description of the data used to assess internal (economic) capital;

      the amount of necessary internal (economic) capital.

      Information on the assessment of internal (economic) and regulatory equity capital is filled out in accordance with Table 7 of the Appendix to the Structure;

      2) capital distribution.

      Capital distribution information shall include, but not be limited to, the following description:

      methodology and assumptions used to allocate internal (economic) capital for each significant type of risk;

      application of stress testing results.

      10. The "Stress Testing" section shall contain, but not limited to, the following subsections:

      1) stress testing scenarios.

      Information about stress testing scenarios shall include, but not limited to, the following:

      description of stress testing methods and scenarios in the context of significant risks, their frequency, methodology and assumptions used;

      justification of the reason for choosing the scenario under consideration for stress testing;

      a list of the main financial and economic factors taken into account as part of stress testing;

      sources of information about financial and economic factors.

      Information about stress testing scenarios shall be filled out in accordance with Table 8 of the Appendix to the Structure;

      2) quantitative and qualitative analysis.

      Information on quantitative and qualitative analysis shall include, but not limited to, the following description:

      models and validity of using selected models;

      the main results of the internal assessment of capital adequacy in stressful situations, indicating the impact on the financial condition of the bank, including an assessment of the size and adequacy of internal (economic) and regulatory capital;

      the impact of the scenario results on the bank's business model, strategy and significant risks under the ICAAP;

      approach to integrating stress testing results into the process of setting internal limits.

      11. The "Self-assessment" section shall contain, but not limited to, the following subsections:

      1) planned activities of the reporting period.

      The bank describes the activities planned for the reporting year, including activities to ensure compliance with the required level of internal (economic) capital, and the corresponding results of the measures taken;

      2) general assessment.

      The bank shall analyse and evaluate the entire process, including internal rules, controls, resources, measurement and reporting systems;

      3) identifying areas requiring improvement.

      The bank shall describe areas requiring improvement and also describe the results of the previous assessment, including corrective actions completed or in progress;

      4) corrective actions.

      The bank shall describe planned actions to improve the areas identified during the self-assessment.

Chapter 3 Information about ILAAP

      12. Information about ILAAP shall include, but not limited to, the following sections:

      1) general ILAAP system;

      2) identification, assessment, monitoring and control of liquidity risk;

      3) funding strategy and contingency plan;

      4) management of liquidity buffer and collateral;

      5) stress testing;

      6) self-assessment.

      13. Section "General ILAAP system" shall contain, but not limited to, the following subsections:

      goals and areas of application of the ILAAP;

      information about the ILAAP processes, which are filled out in accordance with Table 9 of the Appendix to the Structure.

      14. Section "Identification, assessment, monitoring and control of liquidity risk" shall contain, but not limited to, the following subsections:

      1) identification and assessment of liquidity risk.

      Information on identifying and assessing liquidity risk shall include, but not limited to, the following description:

      methodology for identifying liquidity risk;

      risk assessment methodologies, including using quantitative and qualitative methods;

      process of forecasting cash flows for assets, liabilities and off-balance sheet instruments over different time horizons;

      description of the functions and responsibilities of departments as part of the process of identifying and assessing liquidity risks;

      2) monitoring and control.

      Information on monitoring and controlling liquidity risk shall include, but not limited to, the following description:

      processes for control and monitoring of liquidity risks over different time horizons, indicating the functions and responsibilities of bank units;

      early warning indicators;

      the tools used to control, monitor and mitigate liquidity risk over different time horizons;

      procedures for managing intraday liquidity risk;

      volumes of accepted risks, indicating established limits on liquidity risk.

      15. The section "Funding strategy and contingency financing plan" shall contain, but not be limited to, the following subsections:

      1) funding strategy.

      Funding strategy information shall include, but not be limited to, the following description:

      types of funding sources in the context of products, instruments, and markets;

      the main factors influencing the ability to attract funding;

      alternative sources of funding;

      assessing their capabilities to attract funding, including indicating:

      a quantitative review of funds raised;

      main markets and products used;

      a review of planned cash outflows indicating the timing of the obligation;

      2) contingency financing plan.

      The Contingency funding plan information shall include, but not limited to, the following:

      sources of financing in case of unforeseen circumstances;

      the time required to raise additional funds from each contingency funding source;

      order, development of a financing plan in case of unforeseen circumstances, indicating responsible persons;

      algorithm of actions of responsible persons for the implementation of the financing plan in case of unforeseen circumstances;

      Contingency plan testing results and update information.

      16. The section "Management of liquidity buffers and collateral" shall contain, but not limited to, the following subsections:

      1) liquidity buffer.

      The bank shall describe the quantitative expression of the required volume of highly liquid assets, which is considered sufficient to meet liquidity needs, including under stress conditions, as well as the quantitative expression of the existing liquidity buffer.

      Information about the liquidity buffer shall include, but not limited to, the following:

      methodology and assumptions for calculating the required liquidity reserve;

      the definition applied by the bank concerning high-quality liquid assets and their composition;

      criteria for determining the liquid value of assets;

      description of concentration risk management within the liquidity buffer;

      description of the comparability of the liquidity reserve with the established risk appetite;

      2) collateral management.

      Collateral management information shall include, but not limited to, the following:

      a review of the methodology regarding the management of collateral, distinguishing between encumbered and unencumbered assets, as well as a quantitative review of the amount of collateral available;

      A review of the monitoring of collateral requirements and limits (if any), which takes into account any additional requirements that arise as a result of potential liquidity problems (for example, changes in market and/or financial condition, changes in credit rating).

      17. The "Stress Testing" section shall contain, but not limited to, the following subsections:

      1) stress testing scenarios.

      Information about stress testing scenarios shall include, but not limited to, the following:

      description of stress testing methods and scenarios, their frequency, methodology and assumptions used;

      justification of the reason for choosing the scenario under consideration for stress testing;

      a list of the main financial and economic factors taken into account as part of stress testing;

      2) quantitative and qualitative analysis.

      Information on quantitative and qualitative analysis shall include, but not limited to, the following description:

      quantifying the impact of stress testing results on liquidity and funding indicators (indicating the impact on each risk metric);

      integration of stress testing results into the process of strategic and budget planning and into the process of establishing internal limits;

      integrating stress testing results into the assessment and planning of the contingency financing plan, including correcting deficiencies in the contingency financing plan.

      Information on the results of stress testing is filled out in accordance with Table 10 of the Appendix to the Structure.

      18. The "Self-assessment" section shall contain, but not limited to, the following subsections:

      1) planned events.

      The bank shall describe the activities planned for the reporting year based on the results of the self-assessment and the corresponding results of the measures taken;

      2) general assessment.

      The bank conducts an assessment of organizational processes to identify weaknesses in the process, in terms of liquidity management policy, organization of the process, procedures, systems and control actions, level of liquidity and availability of funding;

      3) identifying areas requiring improvement.

      The bank shall describe areas requiring improvement and also describe the results of the previous assessment, including corrective actions completed or in progress;

      4) corrective actions.

      The bank shall describe planned actions to improve the areas identified during the self-assessment.

  Appendix
to the Report Structure on compliance
with the internal process for assessing
capital adequacy and the internal
process for assessing liquidity adequacy

      Table 1

Information on management reporting generated within the framework of ICAAP and ILAAP

No.

Report name

The authorized collegial body of the bank approving the report

Frequency and (or) date of approval for the reporting period

Responsible department

1

2

3

4

5





















      Note:

      All reporting generated as part of the ICAAP and ILAAP process shall include, but not be limited to, a stress test report, a credit risk report, a market risk report, an operational risk report, a report on liquidity positions by time horizon, a report on factors affecting the level of stock of liquid assets, a report on the risk of funding concentration, a report on other significant risks.

      table 2

Information about limits by risk appetite levels

No.

Types of risk

Type of limit set

The value of the established limit (in thousands of tenge and (or) percent)

Set level defined as acceptable
as of the reporting date (in thousands of tenge and (or) percent)

as of the previous reporting date

at the reporting date

1

2

3

4

5

6

1.

Credit risk

1.1






1.2






2

Market risk

2.1






2.2






3

Operational risk

3.1






3.2






4

Liquidity risk

4.1






4.2






5

Other significant risks (if any, indicate which ones)

5.1






5.2






      Table continuation:

Failure to comply with limits

Achieving levels defined as acceptable

Reasons for non-compliance with limits and the level defined as acceptable

number of cases

total length of days

number of cases

total length of days

7

8

9

10

11




























































      Note:

      in columns 4 and 5 for each of the risk appetite limits established by the bank, a numerical or percentage value shall be indicated;

      in column 6, for each of the risk appetite limits established by the bank, the level determined as acceptable shall be indicated;

      in column 7 for each of the established limits, the number of cases of its violation in the reporting period shall be indicated;

      in column 8 the total duration of days of limit violation in the reporting period shall be indicated;

      in column 9 for each of the established levels defined as acceptable, the number of cases of its achievement in the reporting period shall be indicated;

      in column 10 the total duration of days of achieving the levels determined as acceptable in the reporting period shall be indicated;

      in column 11 the reasons for non-compliance with the risk appetite limits and levels determined as acceptable in the reporting period shall be indicated;

      if the level defined as acceptable is not established, columns 6, 9 and 10 shall not be filled in.

      Table 3

Information about ICAAP processes

No.

ICAAP process stage

Description

Responsible department

Internal document regulating the process

1

2

3

4

5

1.

Identification of significant risks




2.

Assessment of significant risks




3.

Calculation of internal (economic)/
regulatory capital




4.

Conducting stress testing




5.

Planning and assessment of the adequacy of internal (economic) and regulatory capital




6.

Integrating ICAAP results in a risk appetite strategy




7.

Self-assessment under ICAAP




      Note:

      in column 3 a description of the methodology used by the bank for each stage of the ICAAP shall be indicated;

      in column 4 the responsible unit carrying out the corresponding stage shall be indicated;

      in column 5 the internal document regulating the relevant ICAAP process shall be indicated.

      Table 4

Information about the bank's risk structure

No.

Types and subtypes of risks

Methodology and (or) models for identifying and assessing significant risks

1

2

3

1

Credit risk


1.1



...



2

Market risk


2.1



...



3

Operational risk


3.1



...



4

Other significant risks (if any, please indicate which):


4.1



...



      Note:

      in column 2 the types and subtypes (if any) of risks shall be indicated;

      in column 3 the methodology and (or) models used to identify and assess significant risks shall be indicated.

      Table 5

Information on the current value of the bank's banking book

      (thousand tenge)

Indicators

Amount of current value (actual)

up to 1 month

from 1 to 3 months

from 3 to 6 months

from 6 months to 1 year

from 1 to 2 years

from 2 to 3 years

from 3 to 5 years

from 5 to 10 years

over 10 years

1

2

Income generating assets










...










...










Obligations related to payment of remuneration










...










...










Off-balance sheet position










EVE = Income Producing Assets

Obligations related to payment of remuneration

Off-balance sheet position


      Table continuation:

Amount of current value (actual)

Amount of cost in national currency (forecast)

Amount of cost in foreign currency (forecast)

+___ basis point

-____ basis point

+___ basis point

-_____ basis point

3

4

5

6

7




































      Note:

      column 2, assets and liabilities sensitive to changes in interest rates shall be distributed by the number of time baskets in accordance with the bank’s internal methodology;

      columns 4 and 5 shall indicate the change in the economic value of the bank’s assets and liabilities, in the event of a parallel change throughout the entire range of the yield curve of interest rates on assets and liabilities denominated in national currency, at basis points determined by the bank;

      columns 6 and 7 shall indicate the change in the economic value of the bank's assets and liabilities, in the event of a parallel change throughout the entire range of the yield curve of interest rates on assets and liabilities denominated in foreign currency, on the basis points determined by the bank.

      Table 6

Information on net interest income

      (thousand tenge)

Indicators

Amount of current value (actual)

Amount of cost in national currency (forecast)

Amount of cost in foreign currency (forecast)

National currency

foreign currency

+___
basis point

-___ basis point

+___ basis point

-____ basis point

1

2

3

4

5

6

7

Interest income







...







...







Interest expenses







...







...







Net interest income (expense)







      Note:

      columns 4 and 5 shall indicate changes in interest income and interest expenses, in the event of a parallel change in the yield curve of interest rates on claims and obligations denominated in national currency, by basis points determined by the bank;

      columns 6 and 7 shall indicate changes in interest income and interest expenses, in the event of a parallel change in the yield curve of interest rates on claims and obligations denominated in foreign currency, by basis points determined by the bank.

      Table 7

Information on the assessment of internal (economic) and regulatory equity capital

No.

Types of risks

Regulatory equity

Internal (economic) capital

Fact (t)

Forecast
(t+1)

Prognosis taking into account stress

Fact
(t)

Forecast
(t+1)

Prognosis taking into account stress

1

2

3

4

5

6

7

8

1.

Total regulatory capital compliant/total domestic (economic) capital required







2.

Credit risk-weighted assets







3.

Market risk-weighted assets







4.

Operational risk







5.

Total risk-weighted assets







6.

Capital requirements taking into account credit risk







7.

Capital requirements taking into account market risk







8.

Capital requirements taking into account operational risk







9.

Other significant risks to be quantified (specify which)







9.1.








9.2.








10.

Capital requirements taking into account significant risks







      Note:

      columns 3 and 4 shall indicate the actual and forecast value of capital for each type of risk, as well as the forecast value taking into account stress testing.

      If not applicable, the abbreviation NA - "not applicable" shall be used.

      Table 8

      Information about stress testing scenarios

No.

Stress Test Scenario

Script Options

Time horizon, frequency

Type of risk

1

2

3

4

5






      Note:

      column 2 shall indicate the name for each stress testing scenario;

      column 3 for each scenario shall indicate the value of the stress testing parameter;

      column 4 shall indicate for each parameter of the stress scenario, the time horizon and frequency of implementation;

      column 5 for each stress scenario parameter shall indicate the types of risks that it affects.

      Table 9

Information about the ILAAP processes

No.

Stage of the ILAAP process

Description

Responsible department

Internal document regulating the process

1

2

3

4

5

1.

Identification of significant liquidity risks




2.

Assessment of significant liquidity risks




3.

Calculation of the main indicators of liquidity risk (liquidity coverage ratio, net stable funding ratio and others)




4.

Short-term liquidity analysis




5.

Long-term liquidity analysis




6.

Funding sustainability analysis




7.

Analysis of liquidity buffer and collateral management




8.

Liquidity risk analysis in the new product approval process




9.

Conducting stress testing




10.

Consistency with risk appetite strategy




11.

Self-assessment according to ILAAP




      Note:

      column 3 shall indicate a description of the methodology used by the bank for each stage of the ILAAP;

      column 4 shall indicate the responsible unit carrying out the corresponding stage;

      column 5 shall indicate the internal document regulating the relevant ICAAP process.

      Table 10

Information about the results of stress testing

No.

Index

Stress test scenario

Script options

Fact (t)

1

2

3

4

5

1.

Liquidity coverage ratio




2.

Net stable funding ratio




3.

Highly liquid assets




4.

Liabilities on deposits of individuals




5.

Short-term financing




6.

Other indicators (if any, indicate which one)




      Table continuation:

Taking into account stress (time horizon 1)

Note

6

7













      Note:

      column 5 shall indicate the actual value for the reporting period;

      column 6 shall indicate the values taking into account the application of the time horizon;

      column 7 shall indicate notes to the table.

      Liquidity coverage ratio and net stable funding ratio shall be applicable for all banks except Islamic banks.

      The stress testing scenario and parameters shall be determined in accordance with the external operating environment, strategy, organizational structure, volume of assets, nature and level of complexity of the bank's operations.

  Annex
to the Resolution of the Board
of the National Bank of the
Republic of Kazakhstan
dated November 12, 2019 No. 188

The list of regulatory legal acts of the Republic of Kazakhstan, as well as structural elements of some regulatory legal acts of the Republic of Kazakhstan, recognized as terminated

      1. Resolution of the Board of the National Bank of the Republic of Kazakhstan dated February 26, 2014 No. 29 “On approval of the Rules for the formation of a risk management and internal control system for second-tier banks” (registered in the State Register of Normative Legal Acts under No. 9322, published on April 17, 2014 in the Legal Information System “Adilet”).

      2. Paragraph 22 of the List of Regulatory Legal Acts of the Republic of Kazakhstan, amended and supplemented, approved by Resolution of the Board of the National Bank of the Republic of Kazakhstan dated August 27, 2014 No. 168 “On amendments and additions to some regulatory legal acts of the Republic of Kazakhstan” (registered in the State Register of Normative Legal Acts under No. 9796, published on November 12, 2014 in the Legal Information System “Adilet”).

      3. Paragraph 4 of the List of some regulatory legal acts of the Republic of Kazakhstan, that amends and supplements on the regulation of the financial market, payments and payment systems, approved by the Resolution of the Board of the National Bank of the Republic of Kazakhstan dated October 29, 2018 No. 267 “On Amendments and Additions” to some regulatory legal acts of the Republic of Kazakhstan on the regulation of the financial market, payments and payment systems ”( registered in the State Register of Normative Legal Acts under No. 18123, published on January 11, 2019 in the Reference Control Bank of normative legal acts of the Republic of Kazakhstan).

Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан

Постановление Правления Национального Банка Республики Казахстан от 12 ноября 2019 года № 188. Зарегистрировано в Министерстве юстиции Республики Казахстан 21 ноября 2019 года № 19632.

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      В соответствии с Законом Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан.

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. Признать утратившими силу нормативные правовые акты Республики Казахстан, а также структурные элементы некоторых нормативных правовых актов Республики Казахстан по перечню согласно приложению к настоящему постановлению.

      3. Департаменту методологии и регулирования финансовых организаций в установленном законодательством Республики Казахстан порядке обеспечить:

      1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятий, предусмотренных подпунктом 2) настоящего пункта и пунктом 4 настоящего постановления.

      4. Департаменту внешних коммуникаций – пресс-службе Национального Банка Республики Казахстан обеспечить в течение десяти календарных дней после государственной регистрации настоящего постановления направление его копии на официальное опубликование в периодические печатные издания.

      5. Контроль за исполнением настоящего постановления возложить на заместителя Председателя Национального Банка Республики Казахстан Смолякова О.А.

      6. Настоящее постановление вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      7. Банкам второго уровня в срок до 1 октября 2020 года привести свою деятельность в соответствие с требованиями настоящего постановления.

      Сноска. Пункт 7 в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 18.06.2020 № 66 (вводится в действие со дня его первого официального опубликования).

      Председатель
Национального Банка
Е. Досаев

  Утверждены
постановлением Правления
Национального Банка
Республики Казахстан
от 12 ноября 2019 года № 188

Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан

      Сноска. Заголовок - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан (далее - Правила) разработаны в соответствии с частью второй пункта 1 статьи 40-5 Закона Республики Казахстан от 31 августа 1995 года "О банках и банковской деятельности в Республике Казахстан" (далее - Закон о банках) и устанавливают порядок формирования системы управления рисками и внутреннего контроля банков второго уровня, филиалов банков-нерезидентов Республики Казахстан (далее - банк).

      Сноска. Пункт 1 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В Правилах используются следующие понятия:

      1) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов банка;

      2) риск информационных технологий – вероятность возникновения ущерба вследствие отказа (нарушения функционирования) информационно-коммуникационных технологий, эксплуатируемых банком;

      3) уполномоченный коллегиальный орган банка – совет директоров, комитет при совете директоров, правление, комитет при правлении;

      4) репутационный риск – вероятность возникновения потерь, неполучения запланированных доходов в результате сужения клиентской базы, снижения иных показателей развития вследствие формирования в обществе отрицательного представления о надежности банка, качестве оказываемых им услуг или характере деятельности банка в целом;

      5) юридический риск – вероятность возникновения потерь вследствие несоблюдения банком либо контрагентом требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а в отношениях с нерезидентами Республики Казахстан - законодательства страны его происхождения, а также условий заключенных договоров;

      6) внутренний процесс оценки достаточности капитала – набор процессов управления существенными рисками, с учетом объема активов, характера и уровня сложности деятельности, организационной структуры, стратегических планов, риск-профиля банка, нормативной правовой базы, оценка и агрегирование таких рисков с целью определения целевого уровня достаточности капитала банка для поддержания стабильного финансового положения и платежеспособности.

      Под капиталом филиала банка-нерезидента Республики Казахстан понимаются активы филиала банка-нерезидента Республики Казахстан, принимаемые в качестве резерва, рассчитанные в соответствии с требованиями постановления Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 12 февраля 2021 года № 23 "Об установлении пруденциальных нормативов и иных обязательных к соблюдению норм и лимитов для филиалов банков-нерезидентов Республики Казахстан (в том числе филиалов исламских банков-нерезидентов Республики Казахстан), их нормативных значений и методики расчетов, включая порядок формирования активов филиалов банков-нерезидентов Республики Казахстан (в том числе филиалов исламских банков-нерезидентов Республики Казахстан), принимаемых в качестве резерва, и их минимальный размер", зарегистрированного в Реестре государственной регистрации нормативных правовых актов под № 22213;

      7) план финансирования капитала – совокупность процедур и плана действий для реагирования на критическое снижение капитала банка;

      8) статистический журнал стоимости залогового обеспечения – внутренний журнал стоимостей залогового обеспечения, включающий описание и характеристику залогового обеспечения, информацию по итогам первой и наиболее актуальной оценок независимой оценки качества (дата оценки, наименование независимой оценки качества, стоимость, метод оценки), заключения залоговой службы (дата, стоимость), причины различия стоимостей, информацию по реализации (при наличии);

      9) беззалоговый потребительский заем – банковский заем без условия о залоге на момент выдачи, предоставленный физическому лицу на цели, не связанные с осуществлением предпринимательской деятельности;

      10) комплаенс-риск – вероятность возникновения потерь вследствие несоблюдения банком и его работниками требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка;

      11) корпоративное управление – система взаимоотношений между правлением банка (соответствующим исполнительным органом банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящими работниками филиала банка-нерезидента Республики Казахстан), советом директоров (соответствующим органом управления банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан) акционерами, руководящими работниками и аудиторами, а также взаимоотношения между уполномоченными коллегиальными органами банка.

      Система корпоративного управления позволяет организовать распределение полномочий и ответственности, а также построить процесс принятия корпоративных решений;

      12) кредитный риск – вероятность возникновения потерь, возникающая вследствие невыполнения заемщиком или контрагентом своих обязательств в соответствии с условиями договора банковского займа;

      13) кредитоспособность – комплексная правовая и финансовая характеристика заемщика, представленная финансовыми и нефинансовыми показателями, позволяющая оценить его возможность в будущем полностью и в срок исполнить обязательства по договору банковского займа;

      14) кредитный договор – соглашение между банком и заемщиком о предоставлении финансирования (включая условное финансирование), в результате которого у банка возникают (либо возникнут в будущем) требования к заемщику;

      15) план финансирования на случай непредвиденных обстоятельств – совокупность процедур и плана действий для реагирования на снижение способности банка своевременно отвечать по своим обязательствам;

      16) надзорное стресс-тестирование – это инструмент уполномоченного органа, направленный на оценку финансовой устойчивости банков к гипотетическим (стрессовым) сценариям развития событий. Банки на основании единой для всех участников надзорного стресс-тестирования методологии и сценариев проводят расчеты с использованием внутренних моделей и предоставляют в уполномоченный орган результаты стресс-тестирования. При этом банки отвечают за надлежащее качество проведенных расчетов и результаты стресс-тестирования;

      17) уполномоченный орган по финансовому мониторингу – государственный орган, осуществляющий финансовый мониторинг и принимающий иные меры по противодействию легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма, финансированию распространения оружия массового уничтожения;

      18) подразделение-владелец защищаемой информации – подразделение банка, владелец информации, нарушение конфиденциальности, целостности или доступности которой приведет к убыткам для банка;

      19) критичный информационный актив – информационный актив, определяемый в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772;

      20) существенный риск – риск, реализация которого приведет к ухудшению финансовой устойчивости банка;

      21) конфликт интересов – ситуация, при которой возникает противоречие между личной заинтересованностью должностных лиц банка (должностных лиц органа управления, исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящих работников филиала банка-нерезидента Республики Казахстан), его акционеров и (или) его работников и надлежащим исполнением ими своих должностных полномочий или имущественными и иными интересами банка и (или) его работников и (или) клиентов, которое повлечет за собой неблагоприятные последствия для банка и (или) его клиентов;

      22) рыночный риск – вероятность возникновения финансовых потерь по балансовым и внебалансовым статьям, обусловленная неблагоприятными изменениями рыночной ситуации, выражающаяся в изменениях рыночных процентных ставок, курсов иностранных валют, рыночной стоимости финансовых инструментов, товаров;

      23) операционный риск – вероятность возникновения потерь в результате неадекватных и недостаточных внутренних процессов, человеческих ресурсов и систем, или влияния внешних событий, за исключением стратегического риска и репутационного риска;

      24) внутренний процесс оценки достаточности ликвидности – набор процессов управления риском ликвидности, в целях поддержания банком надлежащего уровня ликвидности и внедрения надлежащей системы управления риском ликвидности в различные временные интервалы в зависимости от видов деятельности, валюты;

      25) риск ликвидности – вероятность возникновения финансовых потерь в результате неспособности банка выполнить свои обязательства в установленный срок без значительных убытков;

      26) процентный риск – риск возникновения финансовых расходов (убытков) вследствие неблагоприятного изменения процентных ставок по активам, пассивам банка;

      27) политика – утвержденный советом директоров банка внутренний документ, определяющий основные количественные и качественные параметры, принципы, стандарты, обеспечивающие эффективное функционирование банка и соответствие его деятельности стратегии, риск-профилю, риск-аппетиту. В рамках политики совет директоров банка обеспечивает наличие соответствующих внутренних документов, описывающие отдельные процедуры, процессы, инструкции;

      28) стратегический риск – вероятность возникновения убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегическое развитие банка и выражающихся в недостаточном учете возможных опасностей, присущих деятельности банка, неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых банк достигнет преимущества перед конкурентами, отсутствии или обеспечении в неполном объеме необходимых ресурсов и организационных мер, обеспечивающих достижение стратегических целей деятельности банка;

      29) стресс-тестирование – метод оценки потенциального влияния исключительных, но возможных событий на финансовое состояние банка;

      30) риск – вероятность того, что ожидаемые или непредвиденные события окажут отрицательное влияние на финансовую устойчивость банка, его капитал и (или) доходы;

      31) риск-профиль – совокупность видов риска и иных сведений, характеризующих степень подверженности банка рискам, присущим всем видам деятельности банка для выявления слабых сторон и определения приоритетности последующих действий в рамках системы управления рисками;

      32) риск-аппетит – агрегированный (агрегированные) уровень (уровни) существенных рисков (лимиты допустимого размера риска), который (которые) банк готов принять либо намерен исключить при реализации стратегии;

      33) заявление риск-аппетита – утверждаемый советом директоров банка документ, описывающий агрегированный (агрегированные) уровень (уровни) существенных рисков (лимиты допустимого размера риска), который (которые) банк готов принять либо намерен исключить при реализации стратегии. Заявление риск-аппетита содержит заявление качественного характера, а также количественного характера, включая показатели в отношении доходности, капитала, ликвидности, рисков, иных применимых показателей;

      34) риск-культура – процессы, процедуры, внутренние правила банка, направленные на понимание, принятие, управление и контроль за рисками с целью минимизации их влияния на финансовое состояние банка, а также этические нормы и стандарты профессиональной деятельности всех участников организационной структуры. Риск-культура дополняет существующие утвержденные процедуры, процессы и механизмы деятельности банка и является неотъемлемым компонентом системы управления рисками;

      35) обработка риска – процесс выбора и реализации мер по изменению рисков;

      36) реестр рисков – структурированный перечень рисков, содержащий критерии и причины возникновения рисков, вероятность их возникновения, воздействие (ущерб), приоритет и способы обработки риска;

      37) уполномоченный орган – государственный орган, осуществляющий государственное регулирование, контроль и надзор финансового рынка и финансовых организаций;

      38) организационная структура – внутренний документ и (или) совокупность внутренних документов, устанавливающих количественный состав и систему органов управления, руководящих работников и структурных подразделений банка, отражающий структуру подчиненности, подотчетности;

      39) участник Международного финансового центра "Астана", оказывающий услуги по управлению платформой цифровых активов– юридическое лицо, зарегистрированное в соответствии с действующим правом Международного финансового центра "Астана" и осуществляющее на территории Международного финансового центра "Астана" деятельность по управлению платформой цифровых активов;

      40) внутренний (экономический) капитал – капитал, необходимый для покрытия существенных рисков, в том числе потенциальных, принятых банком, рассчитанный внутри банка с использованием собственных моделей.

      При применении требований Правил к филиалу банка-нерезидента Республики Казахстан:

      под советом директоров понимается соответствующий орган управления банка-нерезидента Республики Казахстан;

      под правлением понимаются руководящие работники филиала банка-нерезидента Республики Казахстан;

      под собственным капиталом понимаются активы филиала банка-нерезидента Республики Казахстан, принимаемые в качестве резерва, рассчитанные в соответствии с требованиями постановления Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 12 февраля 2021 года № 23 "Об установлении пруденциальных нормативов и иных обязательных к соблюдению норм и лимитов для филиалов банков-нерезидентов Республики Казахстан (в том числе филиалов исламских банков-нерезидентов Республики Казахстан), их нормативных значений и методики расчетов, включая порядок формирования активов филиалов банков-нерезидентов Республики Казахстан (в том числе филиалов исламских банков-нерезидентов Республики Казахстан), принимаемых в качестве резерва, и их минимальный размер", зарегистрированного в Реестре государственной регистрации нормативных правовых актов под № 22213;

      под финансовой отчетностью понимается отчетность по данным бухгалтерского учета филиала банка-нерезидента Республики Казахстан;

      под главой риск-менеджмента понимается руководитель подразделения по управлению рисками филиала банка-нерезидента Республики Казахстан;

      под главным комплаенс-контроллером понимается руководитель подразделения по комплаенс-контролю филиала банка-нерезидента Республики Казахстан.

      Сноска. Пункт 2 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      3. Целью Правил является определение требований к формированию банком систем управления рисками и внутреннего контроля путем обеспечения:

      1) эффективного управления рисками банка посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия собственного капитала банка уровню принимаемых им рисков и наличия соответствующего уровня ликвидности;

      2) надлежащей практики корпоративного управления и надлежащего уровня деловой этики и риск-культуры;

      3) соблюдения банком и его работниками требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних политик, процедур и иных внутренних документов банка;

      4) своевременного обнаружения и устранения недостатков в деятельности банка и его работников;

      5) создания в банке адекватных механизмов для решения непредвиденных или чрезвычайных ситуаций.

      4. Совет директоров банка обеспечивает наличие системы управления рисками, соответствующей выбранной бизнес модели, масштабу деятельности, видам и сложности операций и обеспечивает надлежащий процесс выявления, измерения и оценки, мониторинга, контроля и процедур минимизации существенных рисков банка с целью определения банком величины собственного капитала и ликвидности, необходимых для покрытия существенных рисков, присущих деятельности банка.

      Система управления рисками представляет собой совокупность компонентов, установленных Правилами, которая обеспечивает механизм взаимодействия разработанных и регламентированных банком внутренних процедур, процессов, политик, структурных подразделений банка с целью своевременного выявления, измерения, контроля и мониторинга рисков банка, а также их минимизации для обеспечения его финансовой устойчивости и стабильного функционирования.

      5. Система управления рисками обеспечивает:

      1) оптимальное соотношение между доходностью основных направлений деятельности банка и уровнем принимаемых рисков, основанное на выборе жизнеспособной и устойчивой бизнес модели, эффективном процессе планирования стратегии и бюджета с учетом стратегии риск-аппетита;

      2) объективную оценку размера рисков банка, полноту и документирование процессов управления рисками, их превентивного выявления, измерения и оценки, мониторинга и контроля, минимизацию существенных видов рисков на каждом уровне организационной структуры с оптимальным использованием финансовых ресурсов, персонала и информационных систем в целях поддержания достаточного объема собственного капитала банка и ликвидности;

      3) охват всех видов деятельности банка, подверженных существенным рискам, на всех уровнях организационной структуры, полноту оценки отдельных существенных видов рисков, их взаимного влияния в целях определения риск-профиля банка и построения стратегии риск-аппетита;

      4) наличие уровней риск-аппетита по всем видам существенных рисков и алгоритм действий в случаях нарушения установленных уровней, включая ответственность за принятие рисков, уровень которых определен как высокий, процедуры по информированию совета директоров, комитетов при совете директоров и правления банка (соответствующего исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан) в рамках стратегии риск-аппетита;

      5) осведомленность уполномоченных коллегиальных органов банка, принимающих решения, несущие за собой риски, посредством построения эффективной системы корпоративного управления, наличия полной, достоверной и своевременной управленческой информации о существенных рисках, присущих деятельности банка;

      6) рациональное принятие решений и действие в интересах банка на основании всесторонней оценки предоставляемой информации добросовестно, с должной осмотрительностью и заботливостью (duty of care). Обязанность проявлять осмотрительность и заботливость не распространяется на ошибки в процессе принятия бизнес-решений, если только работники и должностные лица банка не проявили при этом грубую небрежность;

      7) принятие решений работниками и должностными лицами банка и действие добросовестно в интересах банка, не учитывая личные выгоды, интересы лиц, связанных с банком особыми отношениями, в ущерб интересов банка (duty of loyalty);

      8) четкое распределение функций, обязанностей и полномочий управления рисками между всеми структурными подразделениями и работниками банка, и их ответственности с учетом минимизации конфликта интересов;

      9) разделение функции управления рисками и внутреннего контроля от операционной деятельности банка посредством построения системы трех линий защиты, которая включает:

      первую линию - на уровне структурных подразделений банка;

      вторую линию - на уровне подразделений по управлению рисками и выполняющих контрольные функции;

      третью линию - на уровне подразделения внутреннего аудита в части оценки эффективности функционирования системы управления рисками;

      10) наличие документов, разработанных в целях регламентирования деятельности банка, создания и функционирования в банке эффективных систем управления рисками и внутреннего контроля и соответствующих стратегии, организационной структуре, профилю рисков банка и требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а также их периодический пересмотр и актуализацию;

      11) соблюдение требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

      12) соблюдение действующих процедур, процессов, политик и иных внутренних документов банка по управлению рисками посредством построения эффективной системы внутреннего контроля.

      Сноска. Пункт 5 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. Уполномоченный орган в рамках оценки эффективности системы управления рисками банка руководствуется следующими принципами:

      1) обеспечение финансовой стабильности банков, недопущения ухудшения финансового положения банков и увеличения рисков, связанных с деятельностью банков, защита законных интересов депозиторов, кредиторов, клиентов и корреспондентов банков;

      2) преобладание сущности над формой, выражающееся в оценке системы управления рисками банка как механизма измерения и оценки, мониторинга, контроля, и минимизации существенных рисков банка, а не формально регламентированных процедур банка и соблюдения требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних документов банка;

      3) пропорциональность при осуществлении функций по контролю и надзору, а также при применении по результатам контроля и надзора, мер предусмотренных законами Республики Казахстан, исходя из принятой банком бизнес модели, масштаба деятельности, видов и сложности операций и существенности рисков банка;

      4) применение единообразного подхода к оценке системы управления рисками и мерам надзорного реагирования;

      5) выявление существенных рисков в деятельности банка.

      7. Уполномоченный орган осуществляет оценку:

      1) эффективности системы корпоративного управления;

      2) существенных рисков, присущих деятельности банка, с учетом видов и сложности операций банка;

      3) соответствия систем управления рисками выбранной бизнес модели, масштабу деятельности, видам и сложности операций банка;

      4) финансового состояния крупных участников банка в целях определения возможности поддержания финансовой устойчивости банка;

      5) влияния финансового состояния участников банковского конгломерата на финансовую устойчивость банка;

      6) эффективности применения превентивных мер с целью недопущения ухудшения финансовой устойчивости банка посредством корректировки систем управления рисками, исходя из масштаба деятельности и уровня принимаемых рисков;

      7) применения системы количественных и качественных показателей в рамках оценки деятельности банка и эффективность методов моделирования.

Глава 2. Бизнес модель

      8. Бизнес модель банка – это совокупность выбранной стратегии, продуктов, процессов планирования, обеспечивающих конкурентоспособность и достаточный уровень доходности. Основными принципами при формировании бизнес модели банка являются:

      1) жизнеспособность, выражающаяся в способности банка обеспечивать достаточный уровень доходности в ближайшие 12 (двенадцать) месяцев и основанная на бюджетном планировании и прогнозировании финансовых показателей;

      2) устойчивость, выражающаяся в способности банка обеспечивать достаточный уровень доходности на период не менее 3 (трех) лет и основанная на стратегическом планировании и прогнозировании финансовых показателей.

      Банк проводит регулярный анализ бизнес модели в целях оценки влияния на нее стратегических рисков и рисков, присущих деятельности банка.

      Банковская деятельность осуществляется в рамках выбранной бизнес модели с учетом объема активов, характера и уровня сложности деятельности, организационной структуры, риск-профиля.

      9. Стратегия банка утверждается советом директоров банка на период не менее 3 (трех) лет и содержит:

      1) миссии и цели развития деятельности банка. Цели являются измеримыми, достижимыми, реалистичными и имеющими точные сроки реализации;

      2) целевые сегменты рынка в разрезе секторов экономики и географического распределения развития деятельности банка;

      3) анализ сильных и слабых сторон выбранной стратегии банка с учетом ключевых источников доходов;

      4) количественные показатели кредитного портфеля, ликвидных активов, вкладов клиентов и других привлеченных средств с учетом установленных уровней риск-аппетита. При этом используемые реалистичные допущения, которые учитывают имеющиеся и доступные ресурсы, текущие и потенциальные экономические условия;

      5) анализ ключевых источников доходов;

      6) ключевые виды вложений, их структуру и планируемые изменения, в том числе по внедрению и развитию новых продуктов и услуг с учетом оценки рисков и процессов, связанных с их внедрением и развитием, а также оценки текущих возможностей банка по внедрению и развитию таких продуктов;

      7) сценарии стратегического развития деятельности банка (негативный, и наиболее вероятные варианты развития событий).

      10. Бюджет банка ежегодно утверждается советом директоров банка и содержит ежемесячный прогноз финансовых показателей (активов и пассивов, доходов и расходов, информацию о ссудном портфеле, вкладах клиентов и иных привлеченных средствах, в разрезе валют (национальной и иностранных валют в совокупности), категорий клиентов).

      Бюджет соответствует стратегии банка. При этом используемые допущения реалистичны и учитывают имеющиеся и доступные ресурсы, текущие и потенциальные экономические условия и возможные риски.

      Одним из компонентов эффективного бюджетного планирования является тарифная политика, которая минимально включает следующие компоненты:

      внутренний порядок и процедуры проведения рыночного анализа спроса и цен на банковские услуги;

      внутренний порядок и процедуры формирования структуры процентных ставок и тарифов;

      приемлемые для банка предельные нижние и верхние границы процентных ставок и тарифов, а также требования к внутреннему порядку их утверждения с учетом требований гражданского, банковского законодательства Республики Казахстан, о платежах и платежных системах, об обязательном гарантировании депозитов, их применения и периодического пересмотра;

      критерии выбора метода определения цен на банковские услуги, а также требования к методикам, основанным на оценке характера и уровня сложности деятельности банка и рисков, присущих банку;

      участники процесса ценообразования и порядок взаимодействия между ними, включая обмен информацией;

      внутренний порядок и процедуры своевременного информирования клиентов банка об условиях предоставления банковских услуг, а также информирование об изменениях.

      Банк ежемесячно проводит анализ бюджета на предмет соответствия прогнозных показателей фактическим значениям, причин выявленных отклонений с последующей разработкой при необходимости корректирующих мер по исправлению и вносит обоснованные корректировки с дальнейшим их документированием.

      11. В процессе стратегического и бюджетного планирования банк проводит анализ ключевых источников доходности с целью выявления потенциальных рисков.

      В целях поддержания стратегии и бюджета банка в актуальном состоянии банк ежегодно осуществляет анализ целевых рынков, в которых осуществляет свою деятельность, проводит оценку конкурентной среды, достаточности ресурсов и способности генерировать краткосрочную и долгосрочную доходность.

      Стратегическое и бюджетное планирование осуществляется в рамках принятых и утвержденных уровней риск-аппетита.

Глава 3. Стратегия риск-аппетита

      12. В целях построения эффективной системы управления рисками совет директоров банка утверждает стратегию риск-аппетита в качестве отдельного документа, либо как составной части стратегии банка. Стратегия риск-аппетита определяет четкие границы объема принимаемых рисков, в которых осуществляется деятельность банка в рамках реализации общей стратегии банка, а также определяет риск-профиль деятельности банка с целью недопущения реализации рисков либо минимизации их отрицательного влияния на финансовое положение банка. Стратегия риск-аппетита учитывается:

      1) при стратегическом и бюджетном планировании, определенных главой 2 Правил;

      2) во внутренних процессах оценки достаточности капитала и ликвидности, определенных главами 5 и 6 Правил;

      3) при формировании организационной структуры банка и политики оплаты труда, определенных главой 4 Правил.

      13. Эффективная стратегия риск-аппетита:

      1) содержит описание риск-профиля банка;

      2) содержит процесс распространения стратегии по всем структурным подразделениям и доводится до сведения работников банка;

      3) направлена на внедрение риск-культуры на всех уровнях организационной структуры банка, а также на распространение практики соблюдения уровней риск-аппетита в рамках риск-культуры;

      4) обеспечивает защиту от принятия банком избыточных рисков при принятии решений;

      5) является основой для формирования заявления аппетита к риску;

      6) меняется в случае существенных изменений рыночных условий и (или) уровня финансовой устойчивости банка.

      14. В рамках стратегии риск-аппетита совет директоров банка формирует заявление риск-аппетита, которое устанавливает общее направление в отношении принимаемых банком рисков в рамках бюджетного планирования и операционной деятельности банка. Эффективное заявление риск-аппетита:

      1) формируется с учетом стратегии банка;

      2) определяет по каждому существенному виду риска агрегированный (агрегированные) уровень (уровни) риск-аппетита, который (которые) банк принимает в своей деятельности с учетом риск-профиля;

      3) включает количественные показатели, которые используются для определения агрегированного (агрегированных) уровня (уровней) риск-аппетита по каждому существенному виду риска;

      4) включает заявление качественного характера, которое описывает основания принятия банком рисков, либо их исключения, включая репутационные и (или) иные риски, количественная оценка по которым не осуществима, а также устанавливает подходы, позволяющие их контролировать;

      5) подразумевает прогностический подход, учитывает результаты стресс-тестирования с целью выявления потенциальных событий, приводящих к нарушению уровней риск-аппетита.

      15. В целях определения риск-аппетита совет директоров банка устанавливает агрегированный (агрегированные) уровень (уровни) риск-аппетита и уровни риск-аппетита по каждому виду существенного риска.

      Применяемые уровни риск-аппетита соответствуют следующим требованиям:

      имеют четкое определение;

      являются релевантными;

      измеримы;

      рассчитываются на периодичной основе;

      информация о фактических значениях уровней риск-аппетита и их исполнении предоставляется совету директоров и комитету по вопросам управления рисками банка;

      разработаны с учетом прогностического подхода.

      16. Эффективные уровни риск-аппетита:

      1) устанавливаются на уровне, способствующим соблюдению банком агрегированного (агрегированных) уровня (уровней) риск-аппетита;

      2) учитывают имеющиеся капитал, ликвидность, доходность, стратегию развития;

      3) учитывают все существенные риски концентрации (концентрацию на клиента, на валюту, на страновой риск, на сегменты рынка и иные виды концентрации);

      4) основаны не только на применении лучших практик и (или) требованиях уполномоченного органа, но и учитывают присущие банку существенные риски;

      5) разработаны с применением объективных и понятных оценок, не двусмысленны;

      6) регулярно пересматриваются на актуальность;

      7) учитывают обоснованные допущения, подкрепленные результатами стресс-тестирования.

      17. Процедура определения уровней риск-аппетита содержит, но не ограничиваясь ими, следующие компоненты:

      1) внутренний порядок расчета и определения количественных и качественных параметров, характеризующих уровни риск-аппетита банка;

      2) информацию и материалы, методы и инструментарий, используемые для расчета и определения уровней риск-аппетита;

      3) ответственных лиц и (или) подразделений банка, участвующих в расчете и определении уровней риск-аппетита банка и ответственных за контроль и мониторинг установленных уровней риск-аппетита;

      4) условия, при которых вносится корректировка в утвержденные уровни риск-аппетита.

      Количественные методы, применяемые при установлении уровней риск-аппетита, обеспечивают высокую степень надежности оценки уровня рисков.

      18. Уровни риск-аппетита включают следующие пределы уровня рисков:

      1) уровень, не требующий применения корректирующих мер;

      2) уровень, определенный как допустимый, но требующий отдельных корректирующих мер в действующих процедурах системы управления рисками с целью снижения уровня риска;

      3) уровень, определенный как высокий, требующий применения соответствующих мер с целью не допущения ухудшения финансовой устойчивости банка и его платежеспособности.

      При определении риск-аппетита банк проводит оценку приемлемости установленного риск-аппетита в текущий период времени и насколько он будет приемлем в будущем посредством проведения стресс-тестирования (сценарного анализа и анализа чувствительности).

      В случае выявления существенных рисков, описание которых отсутствует в риск-профиле, банк оценивает уровень риска, дорабатывает соответствующие процедуры для включения таких рисков в риск-профиль, определяет уровень риск-аппетита и разрабатывает меры по предотвращению и (или) минимизации выявленного риска.

      Агрегированный (агрегированные) уровень (уровни) риск-аппетита устанавливается (устанавливаются) и пересматривается (пересматриваются) на периодической основе. Уровни риск-аппетита по отдельным видам риска пересматриваются в течение года при изменении ситуации на рынке и (или) изменении требований уполномоченного органа, но в рамках агрегированного уровня риск-аппетита.

Глава 4. Корпоративное управление

      19. Основными элементами эффективной системы корпоративного управления являются:

      1) организационная структура;

      2) корпоративные ценности;

      3) стратегия деятельности банка;

      4) распределение обязанностей и полномочий в части принятия решений между уполномоченными органами банка;

      5) механизмы взаимодействия и сотрудничества между членами совета директоров, правлением (соответствующим исполнительным органом банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящими работниками филиала банка-нерезидента Республики Казахстан), внешними и внутренними аудиторами банка;

      6) процедуры и методики управления рисками;

      7) система внутреннего контроля;

      8) система вознаграждения;

      9) наличие адекватной системы управленческой отчетности;

      10) прозрачность корпоративного управления.

      Сноска. Пункт 19 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      20. Организационная структура банка соответствует выбранной бизнес-модели, масштабу деятельности, видам и сложности операций, минимизирует конфликт интересов и распределяет полномочия по управлению рисками между коллегиальными органами и структурными подразделениями, включая, но не ограничиваясь:

      1) совет директоров банка;

      2) комитеты при совете директоров банка;

      3) правление банка (соответствующий исполнительный орган банка - нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящие работники филиала банка-нерезидента Республики Казахстан);

      4) подразделение (подразделения) по управлению рисками;

      5) подразделение по комплаенс-контролю;

      6) подразделение внутреннего аудита;

      7) подразделение, выполняющее функции залоговой службы, в том числе залоговая служба на основе аутсорсинга (за исключением случаев, когда стратегия банка не предусматривает предоставление кредитов под залоговое обеспечение и в текущем портфеле банка отсутствуют займы, выданные под залоговое обеспечение) (далее – подразделение залоговой службы).

      Сноска. Пункт 20 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (порядок введения в действие см. п.5).

      21. К основным принципам и обязанностям совета директоров банка относятся:

      1) рациональное принятие решений и действие в интересах банка на основании всесторонней оценки предоставляемой информации добросовестно, с должной осмотрительностью и заботливостью (duty of care). Обязанность проявлять осмотрительность и заботливость не распространяется на ошибки в процессе принятия бизнес-решений, если только члены совета директоров не проявили при этом грубую небрежность;

      2) принятие решений и действие добросовестно в интересах банка, не учитывая личные выгоды, интересы лиц, связанных с банком особыми отношениями, в ущерб интересов банка (duty of loyalty);

      3) активное вовлечение в деятельность банка и осведомленность о существенных изменениях деятельности банка и внешних условий, а также принятие своевременных решений, направленных на защиту интересов банка в долгосрочной перспективе;

      4) предварительное рассмотрение проекта кодекса корпоративного управления и (или) изменений к нему.

      В рамках кодекса корпоративного управления разрабатывается процедура по управлению конфликтом интересов и механизмов ее реализации, а также контроль исполнения. Процедура содержит следующие компоненты:

      механизм процедуры минимизации конфликта интересов в деятельности банка;

      процесс одобрения, который проходит член совета директоров до того, как приступить к выполнению функций должностного лица в другой организации с целью предотвращения конфликта интересов;

      обязанность членов совета директоров немедленно предоставлять информацию по любому вопросу, создавшему конфликт интересов или являющемуся потенциальной причиной его возникновения;

      обязанность членов совета директоров воздержаться от голосования по вопросам, в рамках которых член совета директоров имеет конфликт интересов;

      механизм реагирования совета директоров на нарушения положений процедуры.

      В рамках кодекса корпоративного управления разрабатываются процедуры, посредством которых работники банка конфиденциально сообщают о нарушениях, касающихся деятельности банка;

      5) обеспечение соответствия системы корпоративного управления банка следующим принципам:

      соответствие масштабу и характеру деятельности банка, его структуре, профилю рисков, бизнес-модели банка;

      защита прав акционеров, предусмотренная в соответствии с гражданским, банковским законодательством Республики Казахстан, законодательством Республики Казахстан об акционерных обществах и поддержка реализации этих прав;

      обеспечение своевременного и достоверного раскрытия информации в соответствии с банковским законодательством Республики Казахстан, законодательством Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан, о валютном регулировании и валютном контроле, о платежах и платежных системах, о рынке ценных бумаг, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

      для выполнения своих обязанностей члены совета директоров имеют доступ к полной, актуальной и своевременной информации;

      6) утверждение следующих внутренних документов и контроль их исполнения:

      организационной структуры банка;

      стратегии развития банка;

      политики управлению рентабельностью банка;

      процедур и сценариев стресс-тестирования;

      плана финансирования на случай непредвиденных ситуаций;

      политики по управлению непрерывностью деятельности;

      внутреннего порядка выплаты вознаграждений руководящим работникам банка и работникам банка, непосредственно подотчетным совету директоров банка;

      кадровой политики;

      политики по оплате труда;

      учетной политики;

      тарифной политики;

      кредитной политики;

      политики по проблемным активам;

      документа, регламентирующего основные подходы и принципы внутреннего процесса оценки достаточности капитала (далее - ВПОДК);

      документа, регламентирующего основные подходы и принципы внутреннего процесса оценки достаточности ликвидности (далее - ВПОДЛ);

      политик (политики) управления рисками информационных технологий и информационной безопасности банка;

      политики внутреннего контроля;

      политики управления кредитным риском;

      политики управления рыночным риском;

      политики управления операционным риском;

      политики управления комплаенс-риском;

      политики управления риском легализации (отмывания) доходов, полученных преступным путем и финансирования терроризма (далее - ОД/ФТ);

      залоговой политики;

      политики управления ликвидностью;

      политики внутреннего аудита, кодекса этики внутреннего аудитора, положения о подразделении внутреннего аудита, процедур осуществления внутреннего аудита, годового плана внутреннего аудита;

      политики (процедур) привлечения внешнего аудитора;

      7) утверждение стратегии риск-аппетита и уровней риск-аппетита банка;

      8) осуществление контроля за соблюдением стратегии риск-аппетита, уровней риск-аппетита и политик по управлению рисками;

      9) обеспечение наличия финансовой службы, ответственной за бухгалтерский учет и качественное составление финансовой отчетности;

      10) предварительное утверждение годовой финансовой отчетности, заверенной аудиторской организацией, а также направление запроса на проведение периодических независимых проверок по необходимости;

      11) избирать членов правления банка (членов соответствующего исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан), назначать главу риск-менеджмента, руководителя внутреннего аудита и главного комплаенс-контроллера;

      12) рассмотрение отчетов, направляемых комитетом по аудиту, с последующим контролем устранения выявленных нарушений;

      13) контроль за эффективным соблюдением процедур банка, посредством которых работники банка конфиденциально сообщают о нарушениях, касающихся деятельности банка и гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а также о злоупотреблениях;

      14) формирование в банке трех линий защиты:

      первая линия защиты обеспечивается структурными подразделениями банка, ответственными за своевременное выявление, оценку рисков, доведение информации о них подразделениям второй линии защиты, а также управление рисками. Первая линия защиты совершает операции в рамках утвержденных уровней риск-аппетита банка и функционирует в рамках принятых политик управления рисками;

      вторая линия защиты обеспечивается независимыми подразделениями по управлению рисками, комплаенс-контролю и другими подразделениями, осуществляющими контрольные функции (включая в рамках своей компетенции подразделения, осуществляющие функции безопасности, финансового контроля, кадрового обеспечения, управления юридическим риском, операционным риском). Подразделение (подразделения) по управлению рисками проводит комплексный анализ рисков в деятельности банка, формирует (формируют) необходимые отчеты совету директоров банка и комитету по вопросам управления рисками, способствует критической оценке и выявлению рисков членами правления и бизнес подразделениями.

      Подразделение по комплаенс-контролю организует процедуры для соблюдения требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, законодательства иностранных государств, оказывающих влияние на деятельность банка, а также внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке, и предоставляет полную и достоверную информацию совету директоров о наличии комплаенс-рисков;

      третья линия защиты обеспечивается независимым подразделением внутреннего аудита, ответственным за оценку качества и эффективности системы управления рисками и внутреннего контроля, первой и второй линий защиты;

      15) осуществление контроля над деятельностью правления банка (соответствующего исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящих работников филиала банка-нерезидента Республики Казахстан) путем:

      мониторинга реализации правлением банка (соответствующим исполнительным органом банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящими работниками филиала банка-нерезидента Республики Казахстан) стратегии и политик, утвержденных советом директоров, решений общего собрания акционеров;

      утверждения внутренних документов, регулирующих деятельность правления банка (соответствующего исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящих работников филиала банка-нерезидента Республики Казахстан) в соответствии с Правилами;

      обеспечения внедрения системы внутреннего контроля;

      проведения регулярных встреч с членами правления банка (соответствующего исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящими работниками филиала банка-нерезидента Республики Казахстан);

      проведения анализа и критической оценки сведений, представленных правлением (соответствующим исполнительным органом банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящими работниками филиала банка-нерезидента Республики Казахстан);

      установления необходимых стандартов результативности и системы оплаты труда членов правления (соответствующего исполнительного органа банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан, руководящих работников филиала банка-нерезидента Республики Казахстан), которые соответствуют долгосрочным целям, определенным стратегией банка, и направленных на финансовую устойчивость;

      16) взаимодействие и контроль работы главы риск-менеджмента (главы риск-менеджмента банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан);

      17) периодическая (не реже одного раза в год) оценка деятельности каждого члена совета директоров банка;

      18) обеспечение ведения записей принятых решений (протоколы заседаний, краткая информация о рассмотренных вопросах, рекомендации, при наличии, а также особые мнения членов совета директоров банка). Такие документы и (или) материалы предоставляются уполномоченному органу по требованию в соответствии с законодательством Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций;

      19) обеспечение развитой инфраструктуры информационных технологий в целях сбора и анализа полной, достоверной, своевременной информации для целей управления рисками. Осведомленность о наличии ограничений инфраструктуры информационных технологий по определению уровней риск аппетита;

      20) принятие решения по выдаче займа, размер которого превышает 5 (пять) процентов от собственного капитала банка на основе анализа и оценки целесообразности выдачи займа;

      21) принятие решения по выдаче беззалогового потребительского займа, размер которого превышает 20 000 000 (двадцать миллионов) тенге на основе анализа и оценки целесообразности выдачи банковского займа. К данному пункту не относятся случаи о выдаче беззалогового потребительского займа при рефинансировании ипотечных займов.

      Сноска. Пункт 21 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      22. Состав совета директоров банка и квалификационные требования к его членам отвечают следующим требованиям:

      1) состав совета директоров банка и его полномочия достаточны для осуществления эффективного контроля;

      2) совет директоров банка состоит из лиц, обладающих необходимой квалификацией, безупречной деловой репутацией и опытом, в совокупности достаточными для общего руководства банком, в соответствии с выбранной бизнес моделью, масштабом деятельности, видом и сложностью операций;

      3) члены совета директоров банка ориентированы на взаимодействие, сотрудничество и критическое обсуждение в процессе принятия решений;

      4) члены совета директоров банка добросовестно выполняют свои обязанности и принимают решения, минимизируют конфликты интересов.

      23. С целью повышения эффективности и более детальной работы по отдельным направлениям деятельности банка и исходя из выбранной бизнес модели, масштабов деятельности, видов и сложности операций, риск-профиля совет директоров банка создает специальные комитеты при совете директоров банка.

      Каждый комитет осуществляет свою деятельность в рамках документа, определяющего его полномочия, компетенцию, а также принципы работы, внутренний порядок предоставления отчетов совету директоров банка, задачи, стоящие перед членами комитета и ограничения по срокам работы членов совета директоров банка в комитете. Совет директоров банка предусматривает периодическую ротацию членов (за исключением экспертов) таких комитетов, чтобы избежать концентрации полномочий и способствовать продвижению новых взглядов.

      Комитеты ведут записи принятых решений (протоколы заседаний, краткая информация о рассмотренных вопросах, рекомендации, при наличии, а также особые мнения членов комитетов). Председателем комитета при совете директоров является член совета директоров, не являющийся руководителем или членом исполнительного органа.

      24. В рамках системы управления рисками, комитеты совета директоров банка рассматривают следующие вопросы:

      1) стратегического планирования;

      2) кадров и вознаграждений;

      3) аудита;

      4) управления рисками;

      5) иные вопросы, предусмотренные внутренними документами банка.

      Рассмотрение перечисленных вопросов осуществляется одним или несколькими комитетами совета директоров банка, за исключением вопросов аудита, рассматриваемых отдельным комитетом совета директоров.

      25. Основные требования к составу комитета по вопросам аудита:

      1) в состав комитета по вопросам аудита входят исключительно члены совета директоров банка;

      2) председателем комитета по вопросам аудита является независимый директор банка;

      3) в состав комитета по вопросам аудита входит как минимум один член совета директоров банка, имеющий опыт работы в области аудита и (или) бухгалтерского учета и финансовой отчетности и (или) управления рисками.

      26. Комитет по вопросам аудита несет ответственность за:

      1) обеспечение разработки политики внутреннего аудита, кодекса этики внутреннего аудитора, положения подразделения внутреннего аудита, процедур осуществления внутреннего аудита и системы управленческой информации в соответствии с требованиями, установленными главой 12 Правил для дальнейшего вынесения на утверждение совета директоров банка;

      2) взаимодействие с внешним аудитором по вопросам качества предоставляемой информации о деятельности банка, рассмотрения рекомендаций внешних аудиторов, контроль устранения выявленных замечаний, а также рассмотрение годовой финансовой отчетности, заверенной аудиторской организацией для дальнейшего вынесения на предварительное утверждение советом директоров банка;

      3) обеспечение разработки политики (процедур) привлечения внешнего аудитора для дальнейшего вынесения на утверждение советом директоров банка, включая определение:

      критериев и условий для отбора внешнего аудитора;

      системы оплаты услуг за аудит финансовой отчетности, а также за предоставление консультационных услуг банку по вопросам аудита;

      4) рассмотрение размера оплаты услуг внешнего аудитора;

      5) предварительное рассмотрение годового плана внутреннего аудита;

      6) предварительное рассмотрение отчетов о результатах внутреннего и внешнего аудита, контроль своевременного выполнения правлением банка действий по устранению нарушений и выполнению рекомендаций внутреннего и внешнего аудита, несоответствий деятельности политикам банка, требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, и международным стандартам финансовой отчетности;

      7) рассмотрение актов проверок уполномоченного органа и заключений иных экспертов в отношении структуры и эффективности общей системы управления рисками и внутреннего контроля в банке;

      8) рассмотрение результатов оценки эффективности деятельности внутреннего аудита.

      27. Основные требования к составу комитета по вопросам управления рисками:

      1) председателем комитета по вопросам управления рисками является независимый директор банка, либо председатель совета директоров;

      2) в состав входит как минимум один член комитета банка, имеющий опыт работы в сфере управления рисками или внутреннего контроля.

      28. Комитет по вопросам управления рисками несет ответственность за:

      1) обеспечение разработки стратегии риск-аппетита, определение риск-профиля банка;

      2) определение размеров агрегированного уровня (уровней) риск-аппетита банка и уровней риск-аппетита банка по каждому существенному виду риска для дальнейшего вынесения на утверждение совета директоров банка;

      3) обеспечение разработки документа, регламентирующего основные подходы и принципы ВПОДК с учетом требований, установленных главой 5 Правил, для дальнейшего вынесения на утверждение совета директоров банка и за осуществление мониторинга соблюдения банком утвержденного документа;

      4) обеспечение разработки документа, регламентирующего основные подходы и принципы ВПОДЛ с учетом требований, установленных главой 6 Правил, для дальнейшего вынесения на утверждение совета директоров банка и за осуществление мониторинга соблюдения банком утвержденного документа;

      5) обеспечение разработки процедур проведения стресс-тестирований и сценариев стресс-тестирования для дальнейшего вынесения на утверждение совета директоров банка;

      6) обеспечение разработки политики управления непрерывностью деятельности банка с учетом требований, установленных главой 7 Правил, для дальнейшего вынесения на утверждение совета директоров банка и за осуществление мониторинга соблюдения банком, указанной в настоящем подпункте политики;

      7) обеспечение разработки плана финансирования на случай непредвиденных ситуаций для дальнейшего вынесения на утверждение совета директоров банка;

      8) обеспечение разработки политик (политики) управления рисками информационных технологий и информационной безопасности банка с учетом требований, установленных главой 8 Правил, для дальнейшего вынесения на утверждение совета директоров банка и за осуществление мониторинга соблюдения банком, указанных (указанной) в настоящем подпункте политик (политики);

      9) обеспечение разработки политики управления комплаенс-риском с учетом требований, установленных главой 9 Правил, для дальнейшего вынесения на утверждение совета директоров банка и за осуществление мониторинга соблюдения банком, указанной в настоящем подпункте политики;

      10) обеспечение разработки внутреннего порядка, определяющего функционирование системы управленческой информации, обеспечивающей представление на регулярной основе совету директоров банка полной, достоверной и своевременной информации об уровне принимаемых рисков. Указанный в настоящем подпункте порядок включает критерии, состав, частоту формирования и формы предоставления совету директоров банка управленческой информации об уровне принимаемых рисков банком и дочерних организаций с указанием структурных подразделений, органов банка, ответственных за своевременную подготовку и доведение информации до совета директоров банка. Формы управленческой отчетности содержат сведения с учетом требований, установленных главами 5, 6, 7, 8 и 9 Правил, а также сведения:

      по результатам стресс-тестирования и других инструментов оценки и выявления взаимосвязанности банковских рисков между собой;

      по оценке влияния рисков на финансовое состояние банка, в том числе по оценке изменений в доходах и расходах банка, оценке размеров и достаточности собственного капитала, по выявлению основных факторов и причин, вызвавших изменения и влияющих на основные показатели эффективности деятельности;

      11) осуществление контроля за соблюдением правлением банка уровней риск-аппетита;

      12) наличие внутренних моделей и информационных систем для управления рисками банка, а также в целях обеспечения полной, достоверной и своевременной финансовой, регуляторной и управленческой информации;

      13) рассмотрение результатов оценки качества и эффективности функционирования системы управления рисками и внутреннего контроля, корпоративного управления в целом, направленных на обеспечение защиты банка и его репутации для дальнейшего вынесения на утверждение совета директоров банка.

      Комитет по вопросам управления рисками регулярно получает от подразделения (подразделений) по управлению рисками и других ответственных подразделений данные и отчеты о текущем уровне рисков банка, нарушениях уровней риск-аппетита и механизмам по снижению уровня рисков.

      29. Основные требования к составу комитета по вопросам кадров и вознаграждения:

      1) председателем комитета по вопросам кадров и вознаграждения является независимый член совета директор банка;

      2) в состав комитета по вопросам кадров и вознаграждения входит как минимум один член комитета, имеющий опыт работы в сфере управления персоналом.

      30. Комитет по вопросам кадров и вознаграждения несет ответственность за обеспечение разработки:

      1) с учетом минимизации конфликта интересов, проекта организационной структуры банка для дальнейшего утверждения советом директоров банка;

      2) процедуры по управлению конфликтом интересов и механизмов ее реализации для дальнейшего утверждения соответствующим органом банка;

      3) политики по оплате труда, начислению денежных вознаграждений, а также иных видов материального поощрения руководящих работников банка для дальнейшего вынесения на утверждение совета директоров банка в соответствии с постановлением Правления Национального Банка Республики Казахстан от 24 февраля 2012 года № 74 "Об установлении Требований к внутренней политике по оплате труда, начислению денежных вознаграждений, а также других видов материального поощрения руководящих работников банка, страховой (перестраховочной) организации, страхового брокера, филиала банка-нерезидента Республики Казахстан, филиала страховой (перестраховочной) организации-нерезидента Республики Казахстан, филиала страхового брокера-нерезидента Республики Казахстан", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 7525.

      Размер вознаграждения напрямую зависит от соотношения риска к результату. Способы выплаты вознаграждений в счет будущих доходов, срок и вероятность получения которых являются неопределенными, тщательно взвешиваются на основании принятых качественных и количественных показателей. Система вознаграждений предусматривает возможность изменения размера нефиксированного вознаграждения с учетом всех рисков, включая нарушения лимитов риск-аппетита, внутренних процедур или требований уполномоченного органа.

      Сноска. Пункт 30 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 30.12.2021 № 110 (вводится в действие с 01.01.2022).

      31. Основные требования к составу комитета по вопросам стратегического планирования:

      1) председателем комитета по стратегическому планированию является независимый член совета директоров банка;

      2) в состав комитета по вопросам стратегического планирования входит как минимум один член комитета, имеющий опыт работы в одной из следующих сфер:

      развитие информационных технологий;

      развитие и оказания банковских услуг;

      управление рисками;

      бюджетное планирование.

      32. Комитет по вопросам стратегического планирования несет ответственность за предварительное рассмотрение:

      1) проекта стратегии банка для дальнейшего вынесения на утверждение совета директоров банка, а также за осуществление мониторинга исполнения стратегии и оценку соответствия стратегии банка текущей рыночной и экономической ситуации, профилю рисков и финансовому потенциалу, а также требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

      2) проекта бюджета банка на соответствующий год для дальнейшего вынесения на утверждение совета директоров банка, а также за осуществление контроля над его исполнением;

      3) проекта политики управления рентабельностью банка для дальнейшего вынесения на утверждение совета директоров банка, а также за осуществление мониторинга и контроля соблюдения банком и его работниками указанной политики;

      4) документов, выносимых на рассмотрение совета директоров банка, содержащих информацию о ходе исполнения стратегии, планов развития, достижении целевых значений стратегических ключевых показателей деятельности банка.

      33. Правление банка осуществляет руководство текущей деятельностью банка в соответствии с выбранной бизнес-моделью, масштабом деятельности, видами и сложностью операций, риск-профилем, и внутренними документами, утвержденными советом директоров банка. Правление банка отвечает за:

      1) обеспечение исполнения стратегии банка, соблюдение утвержденных советом директоров банка процедур, процессов и политик;

      2) разработку проекта стратегии банка для дальнейшего вынесения на утверждение совета директоров банка, а также за осуществление мониторинга исполнения стратегии и оценку соответствия стратегии банка текущей рыночной и экономической ситуации, риск-профилю и финансовому потенциалу, а также требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

      3) разработку проекта бюджета банка на соответствующий год для дальнейшего вынесения на утверждение совета директоров банка;

      4) разработку проекта политики управления рентабельностью банка для дальнейшего вынесения на утверждение совета директоров банка, а также за осуществление мониторинга соблюдения банком и его работниками указанной политики;

      5) разработку внутреннего порядка, определяющего доведение стратегии, политик и иных внутренних документов банка в течение 10 (десяти) рабочих дней со дня утверждения и (или) внесения в них изменений и дополнений до работников банка по закрепленным за ним участкам деятельности, и за осуществление мониторинга соблюдения банком и его работниками требований Правил;

      6) разработку кадровой политики банка для дальнейшего утверждения советом директоров банка, а также за осуществление мониторинга ее соответствия стратегии, организационной структуре, риск-профилю банка, достигнутым результатам и требованиям трудового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан об акционерных обществах. Кадровая политика устанавливает стандарты, условия и механизмы, обеспечивающие вовлечение в банковскую деятельность компетентных руководящих работников, и обеспечивает:

      наличие персонала, обладающего необходимым опытом, квалификацией и безупречной деловой репутацией, способного управлять процессами и рисками, связанными с деятельностью банка;

      поддержание достаточного количества ресурсов для эффективного осуществления функций и обязанностей;

      минимизацию конфликта интересов в ходе выполнения своих обязанностей;

      минимизацию риска концентрации полномочий на одном работнике;

      внутренний порядок оплаты труда работников, включая порядок выплаты вознаграждений, а также других видов материального поощрения;

      проведение оценки эффективности работы работников банка;

      7) разработку тарифной политики для дальнейшего вынесения на утверждение совета директоров, а также за осуществление мониторинга соблюдения банком и его работниками тарифной политики;

      8) разработку кредитной политики банка для дальнейшего вынесения на рассмотрение комитета по управлению рисками и на утверждение совета директоров банка;

      9) утверждение плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности;

      10) предоставление совету директоров банка необходимой информации для контроля и оценки качества работы правления в соответствии с установленными внутренними документами банка и Правилами, которая включает:

      достижение правлением банка целей, установленных в стратегии банка с указанием, при наличии, причин, препятствующих их достижению;

      соответствие деятельности банка стратегии и политикам, утвержденным советом директоров банка;

      результаты деятельности банка и его финансовое положение, в том числе информацию об устойчивости (волатильности) доходности банка;

      несоответствие принимаемых решений банка утвержденным советом директоров банка процедурам, процессам и политикам;

      превышение утвержденных уровней риск-аппетита и причин их нарушения;

      информацию о своевременности, полноте и качестве устранения правлением банка нарушений и недостатков, выявленных подразделениями по комплаенс-контролю, управлению рисками, внутреннего контроля, внутреннего аудита, и внешним аудитом и уполномоченным органом, а также выполнения их рекомендаций;

      информацию о состоянии внутреннего контроля, в части своевременного выявления некорректных, неполных или несанкционированных операций, недостатков в деятельности по обеспечению сохранности активов, ошибок при формировании финансовой и регуляторной отчетности, нарушениях внутренних документов банка, требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а также исключения конфликтов интересов и внутренних злоупотреблений и мошенничества, в том числе в отношении лиц, связанных с банком особыми отношениями;

      11) разработку внутреннего порядка рассмотрения обращений клиентов, возникающих в процессе предоставления банковских услуг, а также за осуществление мониторинга соблюдения банком требований, указанных в настоящем подпункте. Внутренний порядок рассмотрения обращений клиентов учитывает требования банковского законодательства Республики Казахстан и определяет:

      процедуры ведения делопроизводства по жалобам (заявлениям) клиентов, включая прием, первоначальную обработку, регистрацию обращений, поступающих в банк, и ответов на обращения клиентов;

      структурное подразделение банка, ответственное за ведение делопроизводства по обращениям клиентов;

      процедуры доведения (передачи) поступивших обращений до ответственных структурных подразделений или работников, которым будет поручено осуществить обработку и подготовку ответа на обращение клиента;

      сроки своевременной обработки обращений клиентов и подготовки ответов на обращения клиентов;

      внутренний порядок взаимодействия структурных подразделений банка при рассмотрении обращений клиентов и подготовке ответов на обращения клиентов;

      внутренний порядок и процедуры ведения классификатора поступивших обращений клиентов банка;

      12) разработку процедуры и (или) внутреннего порядка отказа от проведения операций, имеющих высокий риск ОД/ФТ, а также расторжения деловых отношений с клиентом с учетом присущих факторов риска.

      Соответствующий исполнительный орган банка-нерезидента Республики Казахстан отвечает за:

      1) разработку проекта стратегии филиала банка-нерезидента Республики Казахстан для дальнейшего вынесения на утверждение соответствующего органа управления банка-нерезидента Республики Казахстан;

      2) разработку проекта бюджета филиала банка-нерезидента Республики Казахстан на соответствующий год для дальнейшего вынесения на утверждение соответствующего органа управления банка-нерезидента Республики Казахстан;

      3) разработку проекта политики управления рентабельностью филиала банка-нерезидента Республики Казахстан для дальнейшего вынесения на утверждение соответствующего органа управления банка-нерезидента Республики Казахстан;

      4) разработку внутреннего порядка, определяющего доведение стратегии, политик и иных внутренних документов банка-нерезидента Республики Казахстан в течение 10 (десяти) рабочих дней со дня утверждения и (или) внесения в них изменений и дополнений до работников филиала банка-нерезидента Республики Казахстан по закрепленным за ним участкам деятельности;

      5) разработку кадровой политики филиала банка-нерезидента Республики Казахстан для дальнейшего утверждения соответствующего органа управления банка-нерезидента Республики Казахстан. Кадровая политика устанавливает стандарты, условия и механизмы, обеспечивающие вовлечение в банковскую деятельность компетентных руководящих работников и обеспечивает:

      наличие персонала, обладающего необходимым опытом, квалификацией и безупречной деловой репутацией, способного управлять процессами и рисками, связанными с деятельностью филиала банка-нерезидента Республики Казахстан;

      поддержание достаточного количества ресурсов для эффективного осуществления функций и обязанностей;

      минимизацию конфликта интересов в ходе выполнения своих обязанностей;

      минимизацию риска концентрации полномочий на одном работнике;

      внутренний порядок оплаты труда работников филиала банка-нерезидента Республики Казахстан, включая порядок выплаты вознаграждений, а также других видов материального поощрения;

      проведение оценки эффективности работы работников филиала банка-нерезидента Республики Казахстан;

      6) разработку тарифной политики для дальнейшего вынесения на утверждение соответствующего органа управления банка-нерезидента Республики Казахстан;

      7) разработку кредитной политики филиала банка-нерезидента Республики Казахстан для дальнейшего вынесения на рассмотрение комитета по управлению рисками и на утверждение соответствующего органа управления банка-нерезидента Республики Казахстан;

      8) утверждение плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности филиала банка-нерезидента Республики Казахстан;

      9) разработку внутреннего порядка рассмотрения обращений клиентов, возникающих в процессе предоставления банковских услуг филиалом банка-нерезидента Республики Казахстан. Внутренний порядок рассмотрения обращений клиентов учитывает требования банковского законодательства Республики Казахстан и определяет:

      процедуры ведения делопроизводства по жалобам (заявлениям) клиентов, включая прием, первоначальную обработку, регистрацию обращений, поступающих в филиал банка-нерезидента Республики Казахстан, и ответов на обращения клиентов;

      структурное подразделение филиала банка-нерезидента Республики Казахстан, ответственное за ведение делопроизводства по обращениям клиентов;

      процедуры доведения (передачи) поступивших обращений до ответственных структурных подразделений или работников, которым будет поручено осуществить обработку и подготовку ответа на обращение клиента;

      сроки своевременной обработки обращений клиентов и подготовки ответов на обращения клиентов;

      внутренний порядок взаимодействия структурных подразделений филиала банка-нерезидента Республики Казахстан при рассмотрении обращений клиентов и подготовке ответов на обращения клиентов;

      внутренний порядок и процедуры ведения классификатора поступивших обращений клиентов филиала банка-нерезидента Республики Казахстан;

      10) разработку процедуры и (или) внутреннего порядка отказа от проведения операций, имеющих высокий риск ОД/ФТ, а также расторжения деловых отношений с клиентом с учетом присущих факторов риска.

      Руководящие работники филиала банка-нерезидента Республики Казахстан осуществляют руководство текущей деятельностью филиала банка-нерезидента Республики Казахстан в соответствии с выбранной бизнес-моделью, масштабом деятельности, видами и сложностью операций, риск-профилем и внутренними документами, утвержденными соответствующим органом управления банка-нерезидента Республики Казахстан, и отвечают за:

      1) обеспечение исполнения стратегии филиала банка-нерезидента Республики Казахстан, соблюдение утвержденных банком-нерезидентом Республики Казахстан процедур, процессов и политик;

      2) осуществление мониторинга исполнения стратегии и оценку соответствия стратегии филиала банка-нерезидента Республики Казахстан текущей рыночной и экономической ситуации, риск-профилю и финансовому потенциалу, а также требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

      3) осуществление мониторинга соблюдения филиалом банка-нерезидента Республики Казахстан и его работниками политики управления рентабельностью филиала банка-нерезидента Республики Казахстан;

      4) осуществление мониторинга соответствия кадровой политики филиала банка-нерезидента Республики Казахстан стратегии, организационной структуре, риск-профилю филиала банка-нерезидента Республики Казахстан, достигнутым результатам и требованиям трудового, банковского законодательства Республики Казахстан;

      5) осуществление мониторинга соблюдения филиалом банка-нерезидента Республики Казахстан и его работниками тарифной политики;

      6) предоставление соответствующему органу управления банка-нерезидента Республики Казахстан необходимой информации для контроля и оценки качества работы руководящих работников филиала банка-нерезидента Республики Казахстан в соответствии с установленными внутренними документами банка-нерезидента Республики Казахстан и Правилами, которая включает:

      достижение руководящими работниками филиала банка-нерезидента Республики Казахстан целей, установленных в стратегии филиала банка-нерезидента Республики Казахстан, с указанием, при наличии, причин, препятствующих их достижению;

      соответствие деятельности филиала банка-нерезидента Республики Казахстан стратегии и политикам, утвержденным соответствующим органом управления банка-нерезидента Республики Казахстан;

      результаты деятельности филиала банка-нерезидента Республики Казахстан и его финансовое положение, в том числе информацию об устойчивости (волатильности) доходности филиала банка-нерезидента Республики Казахстан;

      несоответствие принимаемых филиалом банка-нерезидента Республики Казахстан решений утвержденным соответствующим органом управления банка-нерезидента Республики Казахстан процедурам, процессам и политикам;

      превышение утвержденных уровней риск-аппетита и причин их нарушения;

      информацию о своевременности, полноте и качестве устранения руководящими работниками филиала банка-нерезидента Республики Казахстан нарушений и недостатков, выявленных подразделениями по комплаенс-контролю, управлению рисками, внутреннего контроля, внутреннего аудита, внешним аудитом и уполномоченным органом, а также выполнения их рекомендаций;

      информацию о состоянии внутреннего контроля в части своевременного выявления некорректных, неполных или несанкционированных операций, недостатков в деятельности по обеспечению сохранности активов, ошибок при формировании отчетности по данным бухгалтерского учета филиала банка-нерезидента Республики Казахстан и регуляторной отчетности, нарушениях внутренних документов филиала банка-нерезидента Республики Казахстан, требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключения конфликтов интересов и внутренних злоупотреблений и мошенничества, в том числе в отношении лиц, связанных с филиалом банка-нерезидента Республики Казахстан особыми отношениями;

      7) осуществление мониторинга соблюдения филиалом банка-нерезидента Республики Казахстан требований внутреннего порядка рассмотрения обращений клиентов, возникающих в процессе предоставления банковских услуг.

      Соответствующий исполнительный орган банка-нерезидента Республики Казахстан отвечает за надлежащее исполнение обязанностей, делегированных коллегиальным органам или работникам банка-нерезидента Республики Казахстан, в том числе работникам филиала банка-нерезидента Республики Казахстан в рамках утвержденной организационной структуры банка-нерезидента Республики Казахстан и филиала банка-нерезидента Республики Казахстан.

      Правление банка отвечает за надлежащее исполнение обязанностей, делегированных коллегиальным органам или работникам банка в рамках утвержденной организационной структуры банка.

      Сноска. Пункт 33 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 14.03.2022 № 21 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      34. Совет директоров банка обеспечивает наличие подразделения (подразделений) по управлению рисками, курируемое и (или) возглавляемое главой риск-менеджмента, обладающим достаточными полномочиями, независимостью и ресурсами, осуществляющее взаимодействие с советом директоров. Подразделение (подразделения) по управлению рисками выполняет (выполняют), но, не ограничиваясь ими, следующие функции:

      1) разработку системы управления рисками, включающую политики и процедуры управления рисками, стратегию риск-аппетита и определение уровней риск-аппетита;

      2) выявление существенных текущих и потенциальных рисков, присущих деятельности банка, в том числе посредством надзорного стресс-тестирования для банков, вошедших в периметр надзорного стресс-тестирования, и внутреннего стресс-тестирования;

      3) оценку рисков и определение агрегированного (агрегированных) уровня (уровней) риск-аппетита;

      4) разработку для последующего вынесения на рассмотрение комитета по управлению рисками и утверждение советом директоров банка уровней риск-аппетита, мониторинг соблюдения уровней риск-аппетита;

      5) разработку систем раннего предупреждения и триггеров, направленных на выявление нарушений уровней риск-аппетита;

      6) предоставление управленческой отчетности правлению, комитету по управлению рисками и совету директоров банка.

      Положения подпункта 1), подпункта 4) настоящего пункта в части разработки и последующего вынесения на рассмотрение комитета по управлению рисками, утверждения советом директоров банка уровней риск-аппетита, а также подпункта 5) настоящего пункта не распространяются на филиал банка-нерезидента Республики Казахстан.

      Сноска. Пункт 34 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      35. Квалификация и профессиональный опыт главы риск-менеджмента соответствует выбранной бизнес модели, масштабам деятельности, видам и сложности операций, риск-профилю. Независимость главы риск-менеджмента определяется:

      1) вне зависимости от подчинения, глава риск-менеджмента назначается и освобождается от должности советом директоров банка;

      2) имеет беспрепятственный доступ к совету директоров банка, без участия правления;

      3) имеет доступ к любой информации, необходимой для выполнения им своих обязанностей;

      4) не совмещает должность главного операционного директора, финансового директора, другие аналогичные функции операционной деятельности банка (за исключением андеррайтинга, залоговой службы), руководителя подразделения внутреннего аудита.

      Взаимодействие между главой риск-менеджмента и советом директоров и (или) комитетом по вопросам управления рисками осуществляется на регулярной основе. Информация о принятом решении об освобождении главы риск-менеджмента от должности доводится до сведения уполномоченного органа. По запросу уполномоченного органа совет директоров банка предоставляет обоснование причины принятия такого решения.

      36. Выявление, измерение, мониторинг и контроль рисков осуществляются на постоянной основе на всех уровнях управления банком. Совершенствование системы управления рисками и внутреннего контроля осуществляется в соответствии с изменением риск-профиля банка, а также с учетом изменения внешней среды.

      Банк выявляет все существенные риски, присущие деятельности банка (в том числе риски по балансовым и внебалансовым операциям, по группам, портфелям и отдельным видам деятельности бизнес-подразделений). В целях эффективного управления существенными рисками совет директоров банка, комитет по вопросам управления рисками и глава риск-менеджмента осуществляют регулярную оценку рисков, присущих деятельности банка, а также поддержание актуальности риск-профиля банка. Процедура оценки рисков включает непрерывный анализ текущих рисков, а также выявление новых и потенциальных рисков. При оценке рисков банк учитывает степень концентрации существенных рисков.

      При выявлении и измерении рисков учитываются как количественные, так и качественные параметры. Банк также учитывает риски, трудно поддающиеся оценке, например, репутационные, юридические риски.

      Кроме выявления и измерения подверженности рискам подразделение по управлению рисками проводит оценку возможных способов снижения рисков и указывает на необходимость снижения уровня риска. В случаях, когда принимается решение о принятии риска, превышающего установленные уровни риск-аппетита, глава риск-менеджмента представляет отчет о таком исключении совету директоров с надлежащим анализом причин превышения и в дальнейшем осуществляет контроль за снижением уровня принятого риска в рамках системы управления рисками и установленного по нему уровню.

      Глава риск-менеджмента информирует совет директоров банка о наличии существенных расхождений между мнением подразделения по управлению рисками и решением правления банка относительно уровня рисков, принимаемых банком.

      Регулярное информирование по вопросам, связанным с рисками, включая политики и процедуры управления рисками, в рамках банка является ключевым фактором высокой культуры управления рисками. Культура управления рисками способствует полноценному обмену информацией о рисках и призывает к открытому обсуждению и критической оценке вопросов, связанных с принятием рисков работниками, правлением и советом директоров банка.

      Значимая информация по вопросам, связанным с рисками, требующая незамедлительного принятия решения или срочных мер, в срочном порядке доводится до сведения совета директоров банка, комитета по вопросам управления рисками и, при необходимости, правления банка, ответственных должностных лиц и руководителей подразделений, осуществляющих контроль, для принятия превентивных мер.

      Банк исключает создание закрытых групп в рамках отдельных подразделений, препятствующих эффективному обмену информацией о рисках, и приводящих к принятию решений уполномоченными органами банка без учета мнения (экспертизы) вовлеченных подразделений банка. Для преодоления проблем, связанных с обменом информацией, совет директоров, правление и подразделения банка, осуществляющие контроль, обеспечивает эффективность системы внутренних коммуникаций и при необходимости вносят соответствующие изменения.

      37. Банк обеспечивает наличие системы внутреннего контроля, которая соответствует текущей рыночной ситуации, стратегии, объему активов, уровню сложности операций банка. Система внутреннего контроля направлена на достижение следующих целей:

      1) обеспечение эффективности деятельности банка, включая эффективность управления рисками, активами и пассивами, обеспечение сохранности активов;

      2) обеспечение полноты, достоверности и своевременности финансовой, регуляторной и другой отчетности для внутренних и внешних пользователей;

      3) обеспечение информационной безопасности;

      4) обеспечение соблюдения банком требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних документов банка.

      В рамках внутреннего контроля проводятся проверки процессов банка по осуществлению деятельности на соответствие внутренним политикам и процедурам, а также требованиям гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах. Банк располагает достоверной внутренней и внешней информацией в целях управления рисками, принятия стратегических бизнес решений и определения достаточности собственного капитала и ликвидности. Совет директоров банка и соответствующие комитеты совета директоров банка принимают решения, связанные с принятием рисков, на основе качественных, актуальных и достоверных данных.

      Методы измерения и моделирования рисков используются в дополнение к качественному анализу и мониторингу рисков. Глава риск-менеджмента информирует совет директоров банка и комитет по вопросам управления рисками об используемых методах и потенциальных недостатках моделей по управлению рисками и аналитических подходов в банке.

Глава 5. Внутренний процесс оценки достаточности капитала

      38. Совет директоров банка утверждает внутренний документ банка, регламентирующий основные подходы и принципы ВПОДК и содержащий следующие разделы:

      1) описание организационной струткуры ВПОДК;

      2) описание стратегия риск-аппетита;

      3) организация управления кредитным, рыночными, операционным рисками в рамках ВПОДК;

      4) организация процедур стресс-тестирования;

      5) организация процедур управления рисками в рамках новых продуктов и видов деятельности;

      6) организация процедур самооценка внутреннего процесса оценки достаточности капитала.

      39. ВПОДК является составной частью управления банком и создается в целях:

      1) выявления, оценки, агрегирования и контроля существенных видов риска, присущих деятельности банка, с целью определения необходимого уровня капитала, достаточного для их покрытия, в том числе:

      кредитного риска;

      рыночного риска;

      операционного риска;

      а также иных рисков, которым подвержен банк;

      2) планирования капитала, исходя из стратегии банка, результатов всесторонней оценки существенных рисков, стресс-тестирования финансовой устойчивости банка по отношению к внутренним и внешним факторам риска, а также требований к достаточности собственного капитала банка, установленных статьей 42 Закона о банках.

      40. Описание организационной структуры ВПОДК содержит перечень участников ВПОДК с указанием ответственности коллегиальных органов банка и подразделений, участвующих в реализации процессов управления достаточностью капитала, в том числе:

      1) совет директоров банка отвечает за управление достаточностью капитала в целях управления рисками и определение уровня (уровней) риск-аппетита. Совет директоров банка утверждает отчет по соблюдению ВПОДК и ВПОДЛ, включающий информацию о поддержании необходимого уровня достаточности капитала, не позднее 30 апреля года, следующего за отчетным годом;

      2) комитет по вопросам управления рисками отвечает за разработку политик управления рисками и процедур в области управления капиталом в рамках уровня риск-аппетита, установленного советом директоров банка. Комитет по вопросам управления рисками периодически уведомляет совет директоров банка о существенных изменениях уровня капитала;

      3) подразделение (подразделения) лица, на которое (которых) возложены функции внутреннего контроля, осуществляет (осуществляют) проверку соблюдения процедур ВПОДК и доводит (доводят) результаты до сведения совета директоров банка;

      4) подразделение (подразделения), участвующее (участвующие) в процессе по управлению рисками:

      является (являются) ответственным (ответственными) за реализацию процесса управления достаточностью капитала;

      отвечает (отвечают) за подготовку отчета по соблюдению ВПОДК и ВПОДЛ в соответствии со Структурой отчета по соблюдению внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности согласно приложению к Правилам. Банк обеспечивает наличие подтверждающих документов к отчету по соблюдению ВПОДК и ВПОДЛ, которые включают, но не ограничиваясь, расчеты, применяемые модели, пояснительные записки, аналитические справки, результаты самооценки, оценку эффективности ВПОДК и результаты проверки соблюдения процедур ВПОДК;

      отвечает (отвечают) за подготовку проведения стресс-тестирования;

      5) подразделение, ответственное за разработку бюджета и планирование, осуществляет планирование инвестиций и разработку бюджета по всем направлениям деятельности банка;

      6) подразделение (подразделения) по управлению капиталом разрабатывает (разрабатывают) и реализует (реализуют) меры по увеличению уровня капитализации и разрабатывает (разрабатывают) совместно с заинтересованными подразделениями план финансирования капитала;

      7) подразделение внутреннего аудита проводит оценку эффективности ВПОДК.

      В рамках ВПОДК совет директоров банка несет ответственность за соблюдение утвержденной стратегии риск-аппетита, разработанной в соответствии с главой 3 Правил.

      Сноска. Пункт 40 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      41. Банк обеспечивает наличие эффективной системы управления кредитным риском, которая соответствует текущей рыночной ситуации, стратегии, объему активов, уровню сложности операций банка и обеспечивает эффективное выявление, измерение, мониторинг и контроль за кредитным риском банка с целью обеспечения достаточности собственного капитала для его покрытия, и включающей, но, не ограничиваясь, следующие компоненты:

      1) внутренний порядок совершения операций, которым присущ кредитный риск, и принятие соответствующих решений;

      2) процедуры кредитного администрирования;

      3) процедуры оценки кредитного риска;

      4) кредитный мониторинг;

      5) управление залоговым обеспечением;

      6) управление проблемными кредитами;

      7) оценка эффективности системы управления кредитным риском.

      42. В рамках системы управления кредитным риском банк руководствуется следующими принципами и требованиями:

      1) совет директоров и комитет по вопросам управления рисками банка обеспечивают:

      поддержание достаточного уровня провизий;

      осуществление контроля над процессом оценки кредитного риска, который обеспечивается следующим:

      принятием необходимых мер по обеспечению полноты и достоверности информации в целях принятия решений;

      соблюдением требований Гражданского кодекса Республики Казахстан, Кодекса Республики Казахстан "О налогах и других обязательных платежах в бюджет (Налоговый кодекс)" (далее – Налоговый кодекс), Закона о банках, Закона Республики Казахстан "О бухгалтерском учете и финансовой отчетности" (далее – Закон о бухгалтерском учете и финансовой отчетности), Закона Республики Казахстан "О кредитных бюро и формировании кредитных историй в Республике Казахстан", внутренних политик и процедур по управлению кредитным риском;

      принятием мер по обеспечению полной и достоверной управленческой, регуляторной и финансовой отчетности;

      наличием независимой от бизнес-подразделений процедуры оценки займов;

      утверждением адекватной системы классификации активов по уровню кредитного риска, основанной на использовании всей доступной информации в процессе оценки займов;

      наличием детально и в полном объеме регламентированных процедур взаимодействия между участниками процесса управления кредитным риском;

      построение эффективной системы внутреннего контроля, включающей оценку соответствия уровня провизий ожидаемым потерям в рамках утвержденной методики формирования провизий и внутреннего процесса оценки достаточности капитала;

      2) банк осуществляет кредитную деятельность и управление кредитным риском в рамках утвержденной кредитной политики, которая включает, но не ограничиваясь, следующее:

      основные направления кредитной деятельности банка;

      участников кредитного процесса и сферы их ответственности;

      внутренний порядок принятия кредитных решений, включая порядок рассмотрения и одобрения кредитов, в том числе в отношении кредитования лиц, связанных с банком особыми отношениями, лимиты кредитования в целях ограничения концентрации кредитного риска;

      процедуру анализа кредитоспособности заемщика.

      В случае, если совокупная сумма предоставленных займов и принятых условных обязательств физическому лицу превышает 0,01 (ноль целых одну сотую) процента от собственного капитала банка, размер которого выше 100 (ста) миллиардов тенге, или превышает 0,02 (ноль целых две сотых) процента от собственного капитала банка, размер которого до 100 (ста) миллиардов тенге, банк осуществляет анализ кредитоспособности на основе следующей информации и с учетом следующих факторов (но не ограничиваясь ими):

      наличие постоянного и достаточного дохода заемщика;

      наличие недвижимого и другого имущества;

      наличие ссудной задолженности, в том числе перед другими кредиторами;

      долговая нагрузка;

      платежная дисциплина (кредитная история) по займам;

      рейтинг заемщика в скоринговых системах банка (при наличии);

      наличие иной задолженности;

      наличие иных источников погашения задолженности перед банком;

      остатки и операции по банковским счетам;

      информация об образовании и занятости (сфере деятельности);

      социально-демографические характеристики;

      информация о целевом использовании денег;

      дополнительная информация о доходах заемщика.

      В случае, если совокупная сумма предоставленных займов и принятых условных обязательств физическому лицу не превышает 0,01 (ноль целых одну сотую) процента от собственного капитала банка, размер которого выше 100 (ста) миллиардов тенге, или не превышает 0,02 (ноль целых две сотых) процента от собственного капитала банка, размер которого до 100 (ста) миллиардов тенге, банк осуществляет анализ кредитоспособности на основе следующей информации и с учетом следующих факторов (но не ограничиваясь ими):

      наличие постоянного и достаточного дохода заемщика;

      наличие ссудной задолженности, в том числе перед другими кредиторами;

      долговая нагрузка;

      платежная дисциплина (кредитная история) по займам;

      рейтинг заемщика в скоринговых системах банка (при наличии);

      наличие иных источников погашения задолженности перед банком;

      остатки и операции по банковским счетам;

      информация об образовании и занятости;

      социально-демографические характеристики;

      информация о целевом использовании денег (при наличии).

      В случае, если совокупная сумма предоставленных займов и условных обязательств юридическому лицу превышает 0,1 (ноль целых одну десятую) процента от собственного капитала банка, размер которого выше 100 (ста) миллиардов тенге, или превышает 0,2 (ноль целых две десятых) процента от собственного капитала банка, размер которого до 100 (ста) миллиардов тенге, банк осуществляет анализ кредитоспособности на основе следующей информации и с учетом следующих факторов (но не ограничиваясь ими):

      анализ финансовой отчетности и основных финансовых коэффициентов заемщиков-юридических лиц (рентабельность, соотношение собственных и заемных средств, план поступления денежных средств (за исключением случаев выдачи займов финансовым организациям, размещения вкладов в финансовых организациях, открытия кредитной линии сроком менее 6 (шести) месяцев), уровня доходов.

      Принимаемая для анализа финансовая отчетность заемщика (за исключением случаев финансирования в виде овердрафтов, кредитных карт, кредитных линий сроком менее 6 (шести) месяцев) балансовая стоимость активов которого превышает 0,2 (ноль целых две десятых) процента от собственного капитала банка, соответствует следующим требованиям:

      наличие трех основных форм отчетности с расшифровками счетов по материальным (значимым) компонентам баланса (более 5 (пяти) процентов от валюты баланса) и (или) отчета о прибылях и убытках (более 5 (пяти) процентов от выручки). Данное требование не распространяется на акционерное общество "Фонд национального благосостояния "Самрук-Қазына", акционерное общество "Национальный управляющий холдинг "Байтерек", публичные компании, имеющие долгосрочный кредитный рейтинг по международной шкале агентств Standard & Poor's (Стандард энд Пурс), Moody's Investors Service (Мудис Инвесторс Сервис) или Fitch Ratings Inc. (Фич Рейтингс), юридические лица, которые включаются в консолидированную финансовую отчетность частных международных корпораций (акции или доли участия которых не листингуются на фондовой бирже либо международных фондовых биржах) или публичных международных корпораций, а также на случаи наличия аудированной финансовой отчетности, заверенной компаниями, соответствующими листинговым требованиям фондовой биржи;

      соответствие между всеми формами финансовой отчетности;

      наличие подписей ответственных (уполномоченных) лиц заемщика под предоставленной финансовой отчетностью.

      В случае наличия аудированной финансовой отчетности, соответствующей листинговым требованиям фондовой биржи, приоритетно используется аудированная финансовая отчетность для любых целей, а также не требуется ее сверка с налоговой декларацией. Сверка с налоговой декларацией финансовой отчетности не требуется для юридических лиц, которые включаются в консолидированную финансовую отчетность частных международных корпораций (акции или доли участия, которых не листингуются на фондовой бирже либо международных фондовых биржах) или публичных международных корпораций.

      С 1 января 2024 года требуется наличие налоговой декларации (в случае, когда сдача налоговой декларации требуется в соответствии с Налоговым кодексом) и отсутствие противоречия данных из налоговой декларации с данными из финансовой отчетности, используемой для оценки признаков обесценения и расчета денежных потоков в целях расчета провизий, за один и тот же период. Расхождения между показателями финансовой и налоговой отчетностей допускаются ввиду различий бухгалтерского и налогового учета. В иных случаях причины существенных расхождений данных между формами отчетности описываются в заключении ответственного подразделения банка по заемщику и рассматриваются уполномоченным коллегиальным органом банка.

      Банк устанавливает существенность расхождений во внутренних документах. В случае отсутствия установленных порогов существенными расхождениями являются (но не ограничиваясь) расхождения в размере более 30 (тридцати) процентов по показателям выручки, итогового финансового результата, рентабельности активов.

      В случае объективности финансовой отчетности банк использует финансовую отчетность в целях оценки признаков обесценения и расчета денежных потоков в целях расчета провизий.

      В случае отсутствия финансовой отчетности и (или) налоговой декларации (в случае, когда их сдача не требуется в соответствии с Налоговым кодексом и Законом о бухгалтерском учете и финансовой отчетности) запрашивается информация об активах заемщика и иных источниках дохода (выписки по банковским счетам, подтверждение наличия в собственности соответствующих активов).

      В рамках оценки признаков обесценения и категорий обесценения допускается использование финансовой отчетности заемщиков, созаемщиков, гарантов и поручителей в консолидированном виде.

      В целях расчета ожидаемых денежных потоков по займу допускается консолидация финансовой отчетности заемщика (в том числе со стороны банка) с отчетностью лиц (в том числе связанных с заемщиком), имеющих договорные обязательства с заемщиком по погашению его задолженности в случае наступления его неплатежеспособности, а также с отчетностью лиц, не имеющих таких договорных обязательств с заемщиком, если активы данного лица выступают обеспечением по обязательствам заемщика.

      В случае выдачи банком займа без соблюдения требований, установленных абзацами тридцать третьим, тридцать четвертым, тридцать пятым, тридцать шестым, тридцать восьмым, тридцать девятым, сорок первым, сорок вторым и сорок третьим настоящего подпункта, все обязательства заемщика относятся к обесцененным активам по международным стандартам финансовой отчетности (далее – МСФО);

      наличие ссудной задолженности, в том числе перед другими кредиторами;

      платежная дисциплина (кредитная история) по займам;

      уровень ликвидных активов;

      долговая нагрузка;

      наличие иных источников погашения задолженности перед банком;

      прогнозные свободные денежные потоки;

      оценка внешней среды заемщика (состояние экономики, отрасли, перспективы развития, диверсификация производства и рынков сбыта, и характеристики операционной деятельности заемщика, такие как рыночная доля заемщика на соответствующем рынке, позиционирование продукта заемщика, география операций, цикличность бизнеса, изменения в предпочтениях потребителей, изменение в технологии, барьеры вхождения в сектор экономики и другие факторы, влияющие на возможность компании получать доход и поддерживать цены);

      оценка качества управления (опыт, компетентность, деловая репутация);

      оценка собственников заемщика;

      наличие фактов вовлеченности в судебные разбирательства;

      включение в список неблагонадежных налогоплательщиков.

      В случае, если совокупная сумма предоставленных займов и условных обязательств юридическому лицу не превышает 0,1 (ноль целых одну десятую) процента от собственного капитала банка, размер которого выше 100 (ста) миллиардов тенге, или не превышает 0,2 (ноль целых две десятых) процента от собственного капитала банка, размер которого до 100 (ста) миллиардов тенге, банк осуществляет анализ кредитоспособности на основе следующей информации и с учетом следующих факторов (но не ограничиваясь ими):

      наличие постоянного и достаточного дохода заемщика;

      наличие ссудной задолженности, в том числе перед другими кредиторами;

      платежная дисциплина (кредитная история) по займам;

      долговая нагрузка;

      наличие иных источников погашения задолженности перед банком;

      перспективы развития соответствующей отрасли.

      В зависимости от отрасли кредитования и типа заемщика набор количественных и качественных показателей меняется.

      В отношении физических и юридических лиц кредитная политика определяет случаи (выдача банковских гарантий, аккредитивов, банковских гарантий, выпущенных под банковскую контргарантию, а также займов, обеспеченных высоколиквидными активами), при которых не применяется анализ кредитоспособности заемщика. Для банков, являющихся дочерними организациями банков-нерезидентов Республики Казахстан, имеющих долгосрочный кредитный рейтинг в иностранной валюте не ниже "A-" по международной шкале агентства Standard & Poor's (Стандард энд Пурс) или рейтинг аналогичного уровня одного из других рейтинговых агентств, допускается использование анализа кредитоспособности на уровне родительской организации заемщика или организации, включающей заемщика в консолидированную финансовую отчетность, проведенного родительским банком или аффилированным по отношению к банку лицом, при условии, что анализ осуществлен не позднее 12 (двенадцати) месяцев c даты обращения заемщика;

      внутренний порядок принятия кредитных решений в отношении реструктуризации займов, который основан на принципах обоснованности, целесообразности и независимости, и включает описание случаев и условий реструктуризации займов. Банк определяет случаи и виды реструктуризации в соответствии с требованиями постановления Правления Национального Банка Республики Казахстан от 22 декабря 2017 года № 269 "Об утверждении Правил создания провизий (резервов) в соответствии с международными стандартами финансовой отчетности и требованиями законодательства Республики Казахстан о бухгалтерском учете и финансовой отчетности", зарегистрированного в Реестре государственной регистрации нормативных правовых актов под № 16502 (далее – Постановление № 269).

      Банк принимает решение о реструктуризации займов по заемщикам с учетом наличия перспектив погашения займа после реструктуризации.

      Решение о проведении вынужденной реструктуризации займов, определяемой в соответствии с требованиями Постановления № 269, (по заемщикам и (или) группе взаимосвязанных заемщиков, общая задолженность, включая условные обязательства, которых превышает 1 (один) процент от собственного капитала банка, размер которого выше 100 (ста) миллиардов тенге, или 2 (два) процента от собственного капитала банка, размер которого до 100 (ста) миллиардов тенге) принимается правлением банка или уполномоченным коллегиальным органом банка, в состав которого входит председатель правления банка. Информация о принятых решениях на ежеквартальной основе направляется членам совета директоров банка;

      приемлемые методы управления кредитным риском, учитывающие (но, не ограничиваясь ими) следующие факторы:

      собственные знания и опыт в использовании метода;

      экономическую эффективность;

      тип заемщика и (или) контрагентов, их финансовое состояние;

      3) банк осуществляет кредитную деятельность в соответствии с внутренними документами, регламентирующими совершение операций, которым присущ кредитный риск, который включает, но не ограничиваясь, следующее:

      условия предоставления кредитов физическим и юридическим лицам (в том числе лицам, связанным с банком особыми отношениями и работникам банка) по каждому виду кредитования, включая требования к потенциальным заемщикам и (или) контрагентам;

      требования к информации заемщика и (или) контрагента, в том числе финансовой и иной информации, необходимой для принятия решения о выдаче кредита;

      внутренний порядок корпоративного кредитования, предусматривающий анализ сектора кредитования, кредитную историю заемщика, а также рейтинговую систему на основе количественных и качественных факторов, позволяющих обеспечивать детализированную оценку качества кредитов;

      методологию кредитного скоринга или анализа платежеспособности и кредитоспособности заемщика, основанного на количественных и качественных характеристиках, и внутренний порядок его использования;

      установление минимального допустимого уровня рейтинга (при наличии), при котором выдается кредит;

      внутренний порядок и процедуры одобрения, утверждения, анализа и мониторинга отклонений от кредитной политики, стандартов, процедур, лимитов;

      установление лимитов кредитования и (или) ставок вознаграждения по кредитам с учетом анализа заемщиков, в том числе с учетом, при наличии, рейтингов и (или) скоринговой оценки заемщиков. Лимиты кредитования, в том числе по беззалоговым кредитам, устанавливаются по валютам, отраслям, категориям заемщиков (контрагентов) (финансовые организации, корпоративное, розничное кредитование), продуктам, группам связанных сторон и на одного заемщика;

      внутренний порядок рассмотрения, одобрения заявлений о выдаче кредитов, принятия решений о выдаче (отказе в выдаче), в том числе в отношении кредитования лиц, связанных с банком особыми отношениями;

      внутренний порядок в отношении залогового обеспечения, определяющий:

      виды залога и критерии их приемлемости для отдельных продуктов банка, в том числе для принятия решения о возможности кредитования заемщика;

      требования к структуре залога в зависимости от вида залога и вида банковского продукта;

      лимиты по видам залога в зависимости от вида продуктов и структуры кредитного портфеля банка;

      определение ликвидного и высоколиквидного залога;

      долю ликвидного залога в общей структуре обеспечения, коэффициент, характеризующий отношение суммы займа к стоимости залога (наименьшая стоимость из оценки залога оценщиком и работниками подразделения залоговой службы (при наличии обоих) либо имеющаяся оценка);

      долю высоколиквидного залога в общей структуре обеспечения, коэффициент, характеризующий отношение суммы займа к стоимости залога (наименьшая стоимость из оценки залога оценщиком и работниками подразделения залоговой службы (при наличии обоих) либо имеющаяся оценка);

      требования к проведению осмотра залога в рамках принятия залога и выдачи займа, в том числе с определением требований к использованию специальных технических средств (допускается выборочный подход к проведению осмотра в рамках ипотечного кредитования, с обеспечением независимой выборки не менее 20 (двадцати) процентов от общего количества всех залогов);

      порядок мониторинга и работы с залоговым обеспечением с установлением требований в зависимости от вида залога;

      требования к переоценке залогового имущества;

      процедуры, обеспечивающие юридическую силу залогов, в том числе требования к регистрации залога в зависимости от вида залога и вида продукта банка;

      оперативную оценку достаточности залогового обеспечения, с учетом изменения показателей производственной деятельности заемщика, стоимости и сохранности обеспечения, в том числе, его подверженности иным обстоятельствам, существенно влияющим на его оценку;

      процедуры реализации залогового обеспечения в зависимости от залога и вида продукта банка, включая предельные сроки реализации и взыскания;

      объективность (адекватность) оценки стоимости залогового обеспечения со стороны оценщиков, за исключением случая, когда совокупная сумма предоставленных займов и условных обязательств заемщику не превышает 0,1 (ноль целых одну десятую) процента от собственного капитала банка и объектом оценки является недвижимость в городах республиканского значения и в городах, являющихся областными центрами;

      требования к установлению дисконтов по отношению к стоимости залога, определенной оценщиком в зависимости от различных параметров (некорректный подход к оценке, наличие аффилированности оценщика и заемщика, наличие аффилированности оценщика и банка, в том числе сотрудников залоговой службы) и ликвидности залогового обеспечения.

      Банк при принятии решения о выдаче займа, залогом по которому выступает недвижимое имущество и нематериальные активы (права недропользования), рассматривает результаты оценки. В случае, когда рыночная стоимость, определенная на дату последней оценки оценщиком, составляет более 100 000 (ста тысяч) месячных расчетных показателей, для прав недропользования более 500 000 (пяти ста тысяч) месячных расчетных показателей, банк обеспечивает (не реже 1 (одного) раза в год) проведение оценки залога оценщиком.

      Банк обеспечивает регистрацию залога вне зависимости от его вида в уполномоченном регистрирующем органе в случае наличия признаков значительного увеличения кредитного риска в соответствии с МСФО, а также требованиями Постановления № 269 по залогам, рыночная стоимость которых на дату последней оценки оценщиком составляет более 100 000 (ста тысяч) месячных расчетных показателей, по правам недропользования - более 500 000 (пяти ста тысяч) месячных расчетных показателей.

      Внутренний порядок оценки объективности (адекватности) оценки стоимости залогового обеспечения со стороны работников банка обеспечивает, но не ограничиваясь, использование корректных подходов к оценке, включая четкую формализацию требований к допустимым подходам к оценке при формировании внутренней оценки банка, а именно:

      в рамках данного подхода устанавливается порядок применения различных подходов оценки в зависимости вида залога;

      в случае применения экспертных оценок при оценке стоимости залога обеспечивается регламентированный процесс с указанием лимитов применения таких оценок;

      в рамках доходного подхода при отрицательных операционных денежных потоках или отрицательном значении EBITDA (прибыль до вычета расходов по выплате процентов, налогов, износа и начисленной амортизации) по объекту за последние 4 (четыре) квартала либо за завершившийся календарный год не допускается применение подхода на основе дисконтированных денежных потоков. Данное требование не распространяется на случаи:

      оценки компании в инвестиционной стадии, а также если на балансе оцениваемой компании имеются активы, в том числе контракты, способные генерировать денежный поток;

      оценки объектов, способных генерировать денежный поток при наличии подтверждающей информаций или рыночных данных.

      В рамках доходного подхода при расчете стоимости объекта используется ставка дисконтирования, соответствующая уровню риска объекта оценки, расчет которой устанавливается во внутренних документах банка.

      В рамках сравнительного подхода при расчете стоимости объекта используются информация об имеющихся на рынке наиболее актуальных сделках и (или) предложения о продаже объектов, сопоставимых с объектом оценки, а в случае их отсутствия применяются надлежащие корректировки.

      Внутренний порядок оценки объективности (адекватности) оценки стоимости залогового обеспечения, в том числе определенной оценщиком, со стороны подразделения залоговой службы банка, обеспечивает, но не ограничиваясь, четкую формализацию требований к перечню аналогов и критериям признания их сопоставимыми в разрезе:

      типа и (или) подтипа объекта;

      местоположения объекта;

      общей площади объекта;

      состояния помещений, внешнего состояния объекта оценки;

      целевого назначения объекта;

      иных технических характеристик объекта.

      Подразделение залоговой службы по каждому отчету оценщиков готовит заключение по результатам анализа объективности (адекватности) оценки стоимости залогового обеспечения на основании внутреннего порядка.

      Банк разрабатывает внутренний порядок анализа объективности (адекватности) оценки стоимости залогового обеспечения, определенной оценщиком, который обеспечивает, но не ограничиваясь:

      порядок применения подходов оценки в зависимости от вида залога;

      критерии и требования к корректности расчетов оценки;

      требования и ограничения в части использования допущений, корректировок и экспертных суждений;

      наличие детальных и обоснованных расчетов;

      наличие полной информации позволяющей идентифицировать объект залога;

      обязательное проведение осмотра и видео-, фотофиксации предмета залога;

      наличие полного пакета правоустанавливающих документов;

      выявление в отчетах об оценке причин и критериев, повлекших существенное (более 10 (десяти) процентов) различие в стоимостях обеспечения в соответствии с требованиями внутренних документов банка.

      При выявлении в отчетах об оценке существенного (более 10 (десяти) процентов) различия в стоимостях обеспечения банк вносит информацию по обстоятельствам, приведшим к разнице, в статистический журнал стоимости залогового обеспечения.

      Банк проводит анализ отчетов об оценке, информация по которым внесена в статистический журнал стоимости залогового обеспечения, для исключения возможности некорректной оценки залога.

      В рамках принятия решения о выдаче займа банк использует стоимость залога, определенную по итогам оценки объективности (адекватности) стоимости залога, определенной оценщиком с учетом всех параметров.

      Оценка принятых решений на предмет соответствия установленному внутреннему порядку проводится в соответствии с требованиями главы 11 Правил. В случае обнаружения отклонений от установленного внутреннего порядка, заинтересованные подразделения доводят информацию о выявленных отклонениях уполномоченному коллегиальному органу банка. В целях исключения существенных отклонений в деятельности банка уполномоченный коллегиальный орган банка устанавливает ограничения на объем (сумма займа) и (или) на количество отклонений и осуществляет контроль над соблюдением установленных ограничений.

      Банк обеспечивает:

      хранение во внутренних системах банка не менее 5 (пяти) лет после погашения займа и (или) внебалансового обязательства и (или) после того, как заемщик перестал являться клиентом банка данных по залоговому обеспечению на балансе банка, включая оценку его стоимости;

      своевременное обновление данных по залоговому обеспечению в соответствии с внутренними документами банка и автоматический перенос данных в модули, отвечающие за расчет риск-метрик (PD, LGD, EAD), провизий и капитала, а также в модули, отвечающие за автоматическое формирование управленческой, финансовой и регуляторной отчетности;

      автоматическое фиксирование и хранение данных о любых ручных корректировках данных по залоговому обеспечению, включая первичных данных до применения ручных корректировок, данных о лицах, ответственных за применение ручных корректировок.

      Данные по залоговому обеспечению, подлежащие хранению, включают (но не ограничиваясь):

      привязку к внутреннему уникальному идентификатору объекта оценки, бизнес-идентификационному номеру (далее – БИН) или индивидуальному идентификационному номеру (далее – ИИН) и внутренним уникальным идентификаторам (если они отличаются от БИН или ИИН) залогодателя, заемщика, созаемщиков и гарантов и четкое отображение идентификатора групп связанных заемщиков и всех БИН или ИИН связанных заемщиков;

      тип и подтип залогового обеспечения;

      кадастровый номер объекта оценки (если применимо);

      местонахождение объекта оценки (страна, регион, адрес);

      дата прекращения договора залога в системе банка;

      рыночную стоимость до применения дисконтов к залоговому обеспечению;

      дату проведения оценки (переоценки) залогового обеспечения;

      примененные дисконты за период не менее 5 (пяти) лет по каждому объекту оценки, в том числе по текущим объектам залога и недвижимости на балансе банка, а также по всем реализованным банком объектам оценки. Среди дисконтов обеспечивается хранение информации о вероятности взыскания и (или) вероятности реализации, ожидаемом сроке до продажи, примененных ставке дисконтирования и индексах, ожидаемых расходах на продажу, значениях дисконта в случае неприменения коэффициентов ликвидности в соответствии с Постановлением № 269;

      рыночную стоимость после учета всех дисконтов, в том числе в эквиваленте в национальной валюте;

      стоимость залогового обеспечения, используемая при расчете провизий;

      флаг обременения объекта оценки;

      очередность обременения объекта оценки;

      сведения о залогодателе, гаранте, поручителе, страховщике (юридическое или физическое лицо, наименование, уникальный идентификатор);

      дату подтверждения наличия обременения объекта оценки;

      старшинство прав требования банка по объекту оценки на уровне заемщика или займа;

      аллоцированную стоимость обеспечения для залогов на уровне заемщика и займа (с указанием доли залогового имущества на каждого заемщика со ссылкой на их уникальные идентификаторы);

      подход к оценке залогового обеспечения;

      используемую единицу площади;

      общую, используемую площадь объекта оценки (если применимо);

      долю площади, сдаваемой в аренду на дату оценки (если применимо);

      долю площади, потенциально доступной для сдачи в аренду (если применимо);

      4) наличие адекватной рейтинговой модели и (или) скоринговой системы.

      Совет директоров банка определяет ответственные подразделения за разработку рейтинговой модели и (или) скоринговой системы, их внедрение, применение и контроль их функционирования. Рейтинговая модель и (или) скоринговая система содержат описание каждого уровня кредитного риска и условия их присвоения. В процессе присвоения кредитного рейтинга заемщика и (или) скорингового балла банк учитывает финансовое состояние заемщика (заемщиков) и иную доступную информацию по заемщику.

      При присвоении кредитного рейтинга заемщика и (или) скорингового балла банк руководствуется актуальной доступной информацией о факторах, влияющих на будущую кредитоспособность и платежеспособность заемщика.

      Присвоенный юридическим лицам кредитный рейтинг подлежит периодическому мониторингу на предмет актуальности. Частота пересмотра увеличивается в случае наличия негативной информации, несущей риск ухудшения финансового состояния заемщика и (или) невозможности погашения обязательств перед банком и иной доступной информации;

      5) наличие адекватной системы классификации активов по уровню кредитного риска.

      В рамках системы классификации активов по уровню кредитного риска банк внедряет и использует комплексные процедуры и информационные системы (в случае отсутствия - программное обеспечение) для мониторинга качества кредитного портфеля. Процедуры и информационные системы включают критерии, которые идентифицируют и выявляют проблемные займы, обеспечивают надлежащий контроль.

      Система классификации активов по уровню кредитного риска обеспечивает предоставление информации для совета директоров, комитетов при совете директоров, правления, иных подразделений банка, участвующих в процессе управления кредитным риском и позволяет оценить уровень кредитного риска банка как в целом по балансу, так и в разрезе каждого актива.

      Система классификации активов по уровню кредитного риска основывается на детальном анализе всех активов (за исключением дебиторской задолженности по неосновной деятельности в сумме, не превышающей 2 (два) процента от собственного капитала банка), которым присущ кредитный риск.

      Детальный анализ активов включает оценку:

      вероятности дефолта по обязательствам заемщика и (или) контрагента (PD);

      размера убытков в случае дефолта заемщика и (или) контрагента (LGD);

      величины обязательств, подверженных дефолту (EAD);

      срока, в течение которого сохраняется позиция по риску;

      стоимости залогового обеспечения и возможность его реализации;

      бизнес-среды и экономических условий.

      Классификация активов (за исключением дебиторской задолженности по неосновной деятельности в сумме, не превышающей 2 (два) процента от собственного капитала банка), которым присущ кредитный риск, осуществляется на основе как минимум 5 (пяти) категорий и обеспечивает:

      надежную оценку достаточности капитала в рамках ВПОДК;

      необходимый уровень провизий на покрытие ожидаемых потерь.

      Активы, по которым имеется просроченная задолженность по основному долгу и (или) начисленному вознаграждению сроком более 90 (девяноста) календарных дней, классифицируются в наихудшие категории, в случае если нет веских и обоснованных оснований для классификации в более высокую категорию.

      Активы, по которым имеется просроченная задолженность по основному долгу и (или) начисленному вознаграждению сроком менее 90 (девяноста) календарных дней, классифицируются в наихудшую категорию, если имеются иные факторы неплатежеспособности заемщика, определенные внутренними документами;

      6) наличие политики управления проблемными активами.

      Совет директоров банка утверждает политику управления проблемными активами, которая содержит:

      определение проблемных активов;

      методы управления проблемными активами (реструктуризация, продажа, списание, изъятие залогового обеспечения, банкротство и другие методы);

      лимиты в отношении проблемных активов (в разрезе портфелей) и сроки реализации утвержденных методов управления проблемными активами для приведения в соответствие установленным лимитам при их нарушении;

      количественные и качественные параметры раннего реагирования на риск увеличения объема проблемных активов;

      список заинтересованных подразделений и внутренний порядок их взаимодействия при работе с проблемными активами;

      внутренний порядок предоставления управленческой отчетности совету директоров об уровне проблемных активов;

      процедуры оценки применяемых банком методов управления проблемными активами;

      7) наличие надежной методики формирования провизий.

      В целях обеспечения достаточности формируемых провизий для покрытия ожидаемых потерь банк ежегодно (либо чаще при необходимости) проводит анализ методики формирования провизий путем:

      определения соответствия провизий, рассчитанных согласно требованиям методики формирования провизий, фактическим суммам убытков;

      анализа текущих рыночных условий, изменений макроэкономических показателей;

      валидации методики формирования провизий.

      При формировании провизий по коллективным займам банк осуществляет анализ исторических данных, охватывающих необходимый период времени, и наиболее корректно отражающие кредитные потери банка. При этом исторические данные дополняются анализом текущей рыночной и экономической ситуации.

      В случае если методика формирования провизий указывает на отсутствие признаков повышения кредитного риска по займам, провизии по которым формируются на индивидуальной основе, такие займы подлежат оценке уровня кредитного риска на коллективной основе.

      Банк обеспечивает разработку (обновление) общей методологии моделей оценки вероятности дефолта, описывающей детальные требования, которым соответствует каждая модель оценки вероятности дефолта, включая требования к учету влияния прогнозной макроэкономической информации.

      Методология моделей оценки вероятности дефолта содержит, но не ограничиваясь, следующие требования к:

      определению кредитного обесценения;

      качеству, глубине и объему используемых данных;

      методологии формирования выборок для разработки и тестирования моделей;

      наличию отдельных блоков модели (в том числе требование по учету финансовых, качественных факторов, возможности государственной или поддержки на уровне группы) и их максимальному весу в определении финального PD;

      методологии калибровки модели на основе наблюдаемых уровней кредитного обесценения (калибровки модели на основании фактической статистики уровней кредитного обесценения);

      разработке и учету макро-сценариев, методологии расчета и применения матриц миграций;

      разработке валидной кредитной шкалы, совместимой с кредитными шкалами ведущих рейтинговых агентств;

      расчету разных типов PD (при первоначальном признании, двенадцатимесячный, на весь срок жизни (lifetime PD), в момент времени (PIT PD) и циклический (TTC PD);

      расчету модели PD по финансовым гарантиям;

      оценке годового PD путем использования годовых данных по наблюдаемому уровню дефолтов либо альтернативных подходов, основанных на достоверном статистическом анализе.

      В рамках разработки модели требуется:

      при применении скоринговой модели расчет скорингового балла по каждому из заемщиков выборки для разработки;

      при применении скоринговой модели калибровка модели, то есть перевод скорингового балла в значение PD с использованием моделей наблюдаемого исторического уровня кредитного обесценения по портфелю;

      разработка модели учета макроэкономической ситуации и перевода TTC PD в PIT PD;

      оценивать годовой PD путем либо использования годовых данных по наблюдаемому уровню дефолтов, либо альтернативных подходов, основанных на достоверном статистическом анализе;

      предусмотреть выбор актуального объема исторических данных по наблюдаемому уровню дефолтов при разработке модели и калибровку PIT значений на основе ожидаемых макропоказателей;

      установление минимальной границы PD для резидентов Республики Казахстан, соответствующей PD Республики Казахстан, за исключением статистических обоснованных случаев.

      Банк обеспечивает автоматический расчет во внутренних системах банка всех риск-метрик (PD, LGD, EAD), провизий, а также определение событий значительного увеличения кредитного риска, событий, являющихся объективными подтверждениями обесценения по МСФО, категорий обесценения.

      Банк обеспечивает хранение в системах не менее 5 (пяти) лет после погашения займа (или) внебалансового обязательства следующих данных (но не ограничиваясь):

      результаты прохождения или не прохождения SPPI теста;

      классификация финансового инструмента в соответствии с МСФО 9;

      события, являющиеся объективными подтверждениями обесценения (отдельное поле данных для каждого события по каждому заемщику и (или) обязательству);

      стадия обесценения заемщика;

      вероятности сценариев по методам "going-concern" и "gone-concern" для индивидуально-оцениваемых заемщиков;

      эффективная процентная ставка (первоначальная и актуальная процентные ставки);

      уровни дефолтов (по количеству заемщиков, обязательств и по сумме обязательств) в абсолютном и процентном выражениях;

      уровни возвратов (по сумме обязательств - отдельно с учетом выздоровлений и без учета выздоровлений) в абсолютном и процентном выражениях;

      уровни реструктуризаций (по количеству заемщиков, обязательств и по сумме обязательств - отдельно по реструктуризациям и отдельно по вынужденным реструктуризациям) в абсолютном и процентном выражениях;

      уровни выздоровлений (по количеству заемщиков, обязательств и по сумме обязательств) в абсолютном и процентном выражениях;

      уровни списаний (по сумме обязательств - отдельно по частичным и отдельно по полным списаниям) в абсолютном и процентном выражениях;

      значения PD (для каждого заемщика и (или) обязательства с момента выдачи и в течение всего срока действия займа и (или) внебалансового обязательства);

      значения двенадцатимесячного PD и lifetime PD на момент признания и на каждый месяц в течение срока займа и (или) внебалансового обязательства;

      значения LGD (включая значение LGD для каждого заемщика и (или) обязательства) с момента выдачи займа и (или) внебалансового обязательства (но не ранее даты внедрения МСФО 9) и на каждый месяц в течение срока действия займа и (или) внебалансового обязательства;

      значения EAD (включая значение EAD для каждого заемщика и (или) обязательства) с момента выдачи займа и (или) внебалансового обязательства (но не ранее даты внедрения МСФО 9) и на каждый месяц в течение срока действия займа и (или) внебалансового обязательства;

      кредитные убытки (включая значения ожидаемых кредитных убытков для каждого заемщика и (или) обязательства) с момента выдачи займа и (или) внебалансового обязательства (но не ранее даты внедрения МСФО 9) и на каждый месяц в течение срока действия займа и (или) внебалансового обязательства;

      значения коэффициентов риск-взвешивания (RWA) (включая значения RWA для каждого заемщика и (или) обязательства) с момента выдачи займа и (или) внебалансового обязательства (но не ранее даты внедрения МСФО 9) и на каждый месяц в течение срока действия займа и (или) внебалансового обязательства;

      коэффициенты кредитной конверсии;

      суммы балансовых и внебалансовых обязательств заемщика (за последние 5 (пять) лет);

      списанные займы заемщика (за последние 5 (пять) лет);

      итоговое значение провизий (на уровне заемщика и на уровне обязательства);

      привязка к БИН или ИИН и внутренним уникальным идентификаторам (если они отличаются от БИН или ИИН) заемщика и займа и (или) внебалансового обязательства;

      привязка к БИН или ИИН и внутренним уникальным идентификаторам (если они отличаются от БИН или ИИН) всех созаемщиков и гарантов;

      привязка к уникальному идентификатору группы связанных заемщиков в соответствии с внутренними документами банка;

      привязка к БИН или ИИН участников группы связанных заемщиков в соответствии с внутренними документами банка;

      финансовые показатели заемщиков, требуемые для определения стадии обесценения и расчета провизий;

      признак принадлежности субъекта к категории предпринимательства согласно Предпринимательскому кодексу Республики Казахстан;

      флаг принадлежности к списку лиц, связанных с банком особыми отношениями;

      флаг реструктуризации и (или) вынужденной реструктуризации;

      все даты проведения реструктуризаций по займу и заемщику по займам в данном банке.

      Системы банка фиксируют и сохраняют в системах факт события значительного увеличения кредитного риска и события, являющегося объективным подтверждением обесценения по МСФО для всех заемщиков, их балансовых и внебалансовых обязательств и портфелей банка;

      8) наличие процедуры валидации моделей оценки кредитного риска.

      В целях обеспечения адекватности оценки кредитного риска с применением моделей банк регламентирует процессы их валидации, проведения бэк-тестинга, допустимые уровни отклонений от запланированного уровня рисков. В случае отклонения от запланированного уровня рисков банк разрабатывает план корректирующих мер.

      Валидация осуществляется посредством одного или нескольких следующих методов:

      проверка дискриминационной способности модели;

      оценка прогнозной точности модели;

      анализ миграции рейтингов;

      сравнительный анализ рейтингов.

      Валидация осуществляется не реже 1 (одного) раза в 3 (три) года независимым подразделением банка либо с привлечением независимой третьей стороны. Частота проведения валидации зависит от текущей рыночной ситуации, стратегии, объема активов, уровня сложности операций банка, увеличивается в случае существенных изменений в экономике или во внутренних процессах кредитования банка. Результаты валидации предоставляются комитету по вопросам управления рисками.

      Внутренняя валидация скоринговых моделей проводится независимым подразделением банка не реже 1 (одного) раза в 1 (один) год.

      Внутренняя валидация скоринговых моделей проводится независимым подразделением банка при формализации во внутренних документах банка полного процесса валидации, включая, но не ограничиваясь, детально описанный процесс валидации параметров, используемых в расчете провизий (участники, периметр проверки, области проверки, критерии подготовки суждений, формат представления результатов, сроки).

      Независимое подразделение банка, ответственное за валидацию, формирует заключение по каждому проверенному параметру с описанием процесса проверки, раскрытием результатов и степени значимости.

      Результаты валидации с подробным обоснованием предоставляются комитету по вопросам управления рисками.

      По результатам рассмотрения результатов валидации комитет по вопросам управления рисками составляет протокол, включающий заключение по вопросу необходимости или отсутствия необходимости внесения изменений в модель.

      В рамках валидации модели требуется провести, в том числе:

      проверку соответствия модели регуляторным требованиям;

      бэк-тестинг модели для определения точности предсказаний модели (проверка точности модели на выборках, отличных от той, на которой модель разрабатывалась). Банк осуществляет проверку релевантности модели на основе наиболее поздних наблюдений;

      проверку глубины и качества данных, использованных при разработке моделей. В рамках проверки необходимо удостовериться эконометрическими тестами в достаточности выборки для последующего моделирования;

      проверку модели на соответствие другим моделям оценки риск-метрик;

      9) применение адекватных и обоснованных экспертных оценок при осуществлении оценки кредитного риска.

      В ситуациях, когда необходимо применение экспертных оценок, банк обеспечивает:

      регламентированный процесс применения экспертных оценок, с указанием лимитов применения таких оценок;

      достаточный уровень компетенции работников, проводящих экспертную оценку;

      единообразный подход в применении экспертных оценок. При одинаковых условиях экспертные оценки не имеют значительных отклонений;

      экспертная оценка осуществляется на основе обоснованных и задокументированных допущений, с применением должной осторожности.

      Применение банком экспертных оценок с учетом исторических данных дополняется анализом текущей рыночной и экономической ситуацией, в частности (по применимости):

      изменениями в процессах предоставления займов, стандартов и практик принятия решений, возвратов, списаний;

      изменениями внешних и внутренних экономических факторов, бизнес среды, с учетом динамики;

      изменениями уровня неработающих и реструктурированных займов;

      появлением новых сегментов рынка и продуктов;

      изменениями концентрации кредитного риска;

      10) наличие необходимых инструментов, включая совокупность инструментов хранения данных, обеспечивающую полную и достоверную информацию о займах (включая дебиторскую задолженность и условные обязательства), а также иных операциях, которым присущ кредитный риск, которые позволяют корректно оценить уровень кредитного риска.

      Банк осуществляет кредитное администрирование в соответствии с процедурами, которые включают, но не ограничиваются следующим:

      проверка соответствия представленных кредитных документов условиям предоставления кредитов;

      проверка соответствия кредитных договоров принятым решениям;

      формирование и ведение кредитного досье.

      Допускается формирование кредитного досье (части кредитного досье) в электронном виде. Кредитное досье содержит (включая, но не ограничиваясь):

      документы по идентификации заемщика:

      к данной группе относятся документы, удостоверяющие личность физического лица, документы, связанные с образованием юридического лица (с раскрытием конечных собственников-физических лиц, владеющих прямо или косвенно десятью и более процентами акций или долей участия, за исключением случаев, установленных пунктом 3 статьи 8-1 Закона о банках), подтверждением его правосубъектности, а также документы, подтверждающие полномочия лиц, действующих от имени заемщика и уполномоченные подписывать кредитную и залоговую документацию от имени заемщика.

      Документация, относящаяся к определению целевого использования (за исключением овердрафтов, потребительских кредитов без подтверждения целевого использования совокупной суммой менее 0,2 (ноль целых два десятых) процента от собственного капитала банка и кредитов на цели пополнения оборотных средств совокупной суммой менее 0,2 (ноль целых два десятых) процента от собственного капитала банка, синдицированных займов с участием банков-нерезидентов Республики Казахстан):

      к данной группе относятся документы и информация по сделке, в целях совершения которой запрашивается финансирование (включая первоначальные цели финансирования в случае реструктуризации и (или) рефинансирования), в том числе по крупным заемщикам:

      документы, подтверждающие цель использования займа, в том числе для юридических лиц - договоры поставки, купли-продажи, внешнеторговые контракты;

      для юридического лица, сумма займов и условных обязательств по которому превышает, для банков, размер собственного капитала которых превышает 100 (сто) миллиардов тенге - 0,1 (ноль целых одна десятая) процента от собственного капитала банка, для банков, размер собственного капитала которых не превышает 100 (сто) миллиардов тенге - 0,2 (ноль целых две десятые) процента от собственного капитала банка - технико-экономическое обоснование выдачи займа, характеризующее сроки окупаемости и уровень рентабельности кредитуемой сделки, либо бизнес-план заемщика, который отражает информацию об описании деятельности с указанием целей использования займа, рынки сбыта и маркетинговую стратегию заемщика, оценку рисков и управления ими, детализированный по годам финансовый план (финансовые показатели реализации бизнес-плана по годам, источники и объем финансирования бизнес-плана и погашения займа), смету доходов (расходов) (для займов, связанных с инвестиционными целями, стартап проектов или займов, основным источником погашения которых планируются поступления от реализации товаров и (или) услуг, приобретенных за счет кредитных средств).

      Для целей настоящего пункта:

      под кредитом на пополнение оборотных средств понимается кредит, предоставленный для финансирования текущих производственных процессов;

      под потребительским кредитом понимается кредит, предоставленный физическому лицу или индивидуальному предпринимателю без образования юридического лица и соответствующий следующим критериям:

      выдача кредита не связана с целью финансирования предпринимательской деятельности и предполагается, что кредит не будет использован заемщиком для осуществления предпринимательской деятельности;

      кредит планируется направить на приобретение товаров длительного пользования (жилой недвижимости, автомобилей, бытовой техники, мебели и иное) и (или) оплату различных услуг (образовательных, туристических, медицинских, ремонтно-строительных и иное) и (или) прочие покупки и цели (рефинансирование займа в другом банке (в случае если ранее полученный заем связан с потребительскими целями), мобильные телефоны, продукты питания и иное);

      получатель кредита имеет постоянный источник дохода (заработная плата, пенсия, пособия, дивиденды от ценных бумаг, доходы от сдачи в аренду недвижимости и другие доходы), объективно позволяющий ему обслуживать обязательства перед банком по полученному кредиту, подтвержденный в порядке, определенном внутренними документами банка.

      Документы необходимые для анализа финансового состояния клиента и качества обеспечения:

      к данной группе документов относятся все документы, на основании которых проводится анализ финансового состояния заемщика и отражающие основные экономические показатели деятельности заемщика, а также документы, подтверждающие наличие, качество, размер принимаемого обеспечения, которые включают (но не ограничиваясь):

      документы, подтверждающие полномочия лица, уполномоченного подписывать залоговую документацию;

      отчет оценщика об оценке недвижимого имущества;

      заключение подразделения залоговой службы по адекватности оценки залога оценщиком в соответствии с требованиями Правил и внутренними документами банка;

      документы, подтверждающие права на объект залога;

      копию договора о залоге, содержащего отметку о его регистрации в уполномоченных регистрирующих органах.

      Документация, необходимая для проведения кредитного мониторинга. К данной группе относится документация, формируемая подразделениями банка в ходе ведения займа или необходимая для подтверждения периодического кредитного мониторинга, а также процедуры актуализации сведений о заемщиках (контрагентах) для целей управления кредитным риском;

      11) наличие и функционирование системы управленческой информации.

      Банк разрабатывает формы управленческой отчетности, которые, включают, но не ограничиваясь, следующую информацию:

      о кредитном портфеле и его качестве, представленную в том числе в динамике его изменений;

      о размере (уровне) подверженности кредитному риску, в том числе включая оценку приближения совокупной подверженности к установленным в банке лимитам по различным видам кредитов (предлимитный подход);

      о подверженности кредитному риску в отношении группы связанных заемщиков и динамике ее изменения;

      о концентрации кредитного риска крупнейших заемщиков (контрагентов) и заемщиков (контрагентов), связанных с банком особыми отношениями, в том числе с акционерами банка, и динамике его изменения;

      о внутренних рейтингах заемщиков (контрагентов) и динамике их изменения, о мониторинге качества кредитов по рейтингам заемщиков (контрагентов) и его периодичность;

      о размере провизий и оценке уровня адекватности провизий;

      о реструктурируемых, рефинансируемых и проблемных кредитах;

      о мониторинге и контроле за соблюдением лимитов;

      об отклонениях от политики и лимитов.

      Сноска. Пункт 42 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (порядок введения в действие см. п.5).

      43. Совет директоров обеспечивает наличие системы управления рыночным риском, которая соответствует текущей рыночной ситуации, стратегии развития, объему активов и уровню сложности операций банка и обеспечивает эффективное выявление, измерение, мониторинг и контроль за рыночным риском банка, а также определяет стратегию хеджирования рыночного риска с целью обеспечения достаточности собственного капитала для его покрытия.

      Система управления рыночным риском интегрирована во внутренние процессы управления рисками банка, а ее результаты составляют неотъемлемую часть процесса мониторинга и контроля уровня и профиля ее рыночного риска, а также процесса принятия решений при осуществлении текущей деятельности банка. Результаты оценки рыночного риска учитываются в процессе разработки стратегии развития банка.

      Управление рыночным риском осуществляется на основе управления позицией активов и обязательств, формирования стоимости финансовых инструментов с обеспечением положительной процентной маржи и ожидаемой доходности, управления открытой валютной позицией, постоянного мониторинга рыночных рисков и контроля установленных уровней риск-аппетита на соответствующие операции.

      Система управления рыночным риском включает управление портфелями ценных бумаг и контроль за открытыми позициями по валютам, процентным ставкам и производным финансовым инструментам.

      44. В процессе управления рыночным риском банк определяет:

      1) организационную структуру банка, вовлеченную в процесс управления рыночным риском, включая внутренний порядок подчиненности и отчетности;

      2) структуру торговой и банковской книги, а также процедуры разделения инструментов на инструменты торговой и банковской книги.

      Торговая книга – это часть финансового портфеля банка, в которой представлены финансовые инструменты, приобретаемые и продаваемые для поддержания торговых операций, получения дохода в виде разницы между ценой покупки и продажи, хеджирования операций банка от различных видов риска. Позиции торговой книги регулярно переоцениваются. Все остальные операции относятся к банковской книге;

      3) активы (обязательства), чувствительные к изменению процентных ставок;

      4) способы, методы и модели оценки рыночного риска;

      5) ориентированность на риск, подходы банка к установлению и мониторингу уровней риск-аппетита и методы минимизации риска.

      45. Функционирование системы управления рыночным риском осуществляется на основе следующих основных компонентов, но не ограничиваясь ими:

      1) утверждение и периодический анализ стратегии инвестиционной деятельности банка, формирование оптимальной структуры активов и пассивов с учетом определенного риск-профиля банка, уровня достаточности собственного капитала банка и уровня ликвидности для покрытия существенного рыночного риска.

      Стратегия инвестиционной деятельности отвечает следующим основным принципам:

      содержание соответствует общей стратегии банка по целям, направлениям и срокам реализации;

      наличие взаимосвязи между тактическими и стратегическими процессами управления инвестиционной деятельностью банка;

      максимальное получение прибыли, обеспечение роста качественного инвестиционного портфеля, поддержание достаточного уровня ликвидных активов в общей структуре активов банка;

      формирование структуры активов и пассивов с учетом исполнения требований, методов и процедур по управлению рыночным риском;

      2) утверждение процедуры по выявлению, оценке, мониторингу, контролю рыночных рисков, учитывающей все направления деятельности банка, которым присущ рыночный риск (банковская и торговая книги, балансовые и внебалансовые операции), а также методов хеджирования указанных рисков.

      Банк разрабатывает процесс управления рыночным риском, который включает, но не ограничиваясь, следующее:

      участников процесса управления рыночным риском, их полномочия и ответственность с четким определением структуры подотчетности, а также внутренний порядок обмена информацией;

      перечень иностранных валют, финансовых инструментов, с которыми разрешено осуществлять операции, с указанием целей их использования, а также внутренние требования и критерии к финансовым инструментам, в том числе к объему, составу и условиям;

      внутренний порядок и процедуры выявления, измерения, мониторинга и контроля за уровнем рыночного риска.

      Процедуры выявления, измерения, мониторинга и контроля за рыночным риском:

      охватывают все виды активов, обязательств, внебалансовые позиции;

      охватывают все виды рыночного риска и их источники;

      позволяют проводить на регулярной основе оценку и мониторинг изменений факторов, влияющих на уровень рыночного риска, включая ставки, цены и другие рыночные условия;

      позволяют своевременно идентифицировать рыночный риск и принимать меры в ответ на неблагоприятные изменения рыночных условий.

      В целях оценки принятого уровня рыночного риска банк использует модели, соответствующие стратегии развития, объему активов и уровню сложности операций банка.

      В отношении банковской книги банк отдельно проводит выявление, измерение (оценку), мониторинг и контроль процентного риска.

      Для количественной оценки процентного риска банковской книги банк использует как минимум два взаимодополняющих метода в целях мониторинга его уровня и управления:

      количественную оценку изменения экономической стоимости банка (economic value of equity, EVE), то есть расчет величины, на которую изменится чистая стоимость денежных потоков, генерируемых требованиями и обязательствами, отраженными на балансовых и внебалансовых счетах банка;

      количественную оценку изменения чистого процентного дохода (net interest income, NII), то есть расчет величины, на которую изменится ожидаемый чистый процентный доход банка в соответствии со сценариями процентного шока (параллельный сдвиг ставок вверх и (или) вниз).

      Методы оценки процентного риска, используемые банком, охватывают все существенные источники процентного риска, присущие проводимым банком операциям (сделкам), чувствительным к изменению процентных ставок. В отношении номинированных в иностранной валюте финансовых инструментов, чувствительных к изменению процентных ставок, совокупный объем которых превышает 5 (пять) процентов от объема активов (обязательств), банк проводит измерение процентного риска отдельно по каждой из иностранных валют. Принятые в рамках методологии оценки процентного риска допущения документируются в соответствующих внутренних документах банка.

      Банк на периодической основе проводит анализ чувствительности для каждого типа рыночного риска, присущего деятельности банка. Анализ чувствительности показывает воздействие на прибыль (убытки) и собственный капитал банка возможных изменений переменных факторов риска.

      Банк на периодической основе осуществляет бэк-тестинг моделей оценки рыночного риска. Банк проводит бэк-тестинг на предмет проверки надежности и эффективности моделей оценки рыночного риска и, при необходимости, совершенствуют их. Результаты бэк-тестинга с предложениями при необходимости по совершенствованию процедур управления рыночным риском направляются комитету по вопросам управления рисками и совету директоров банка.

      Банк проводит регулярный мониторинг уровня рыночного риска в целях предупреждения возможности превышения установленных уровней риск-аппетита. Периодичность мониторинга рыночного риска определяется банком исходя из степени его существенности для соответствующего направления деятельности банка.

      Полученная в процессе мониторинга рыночного риска информация о существенном изменении уровня риска своевременно доводится до совета директоров, комитета по управлению рисками банка для принятия необходимых решений.

      В целях минимизации рыночного риска банк устанавливает:

      уровни риск-аппетита по валютному, ценовому и процентному рискам в соответствии с главой 3 Правил;

      постоянный контроль за соблюдением установленных уровней риск-аппетита;

      процедуры незамедлительного информирования совета директоров, комитета по вопросам управления рисками, правления банка и других заинтересованных структурных подразделений о достижении предельных значений и (или) нарушениях установленных уровней риск-аппетита;

      меры по снижению рыночного риска, принимаемые при достижении уровней риск-аппетита;

      3) процедуры управления рыночным риском при:

      изменении структуры финансовых инструментов, их количественных и стоимостных показателей;

      разработке и внедрении новых технологий и условий осуществления банковских операций и других сделок, иных финансовых инноваций и технологий;

      при выходе на новые рынки;

      4) методы и критерии хеджирования рисков, включая установление критериев эффективности (оптимальности) и стоимости хеджирования.

      Банк разрабатывает и реализует стратегию хеджирования для каждого вида рыночного риска, которая содержит:

      хеджируемые статьи;

      описание используемых инструментов хеджирования (использование инструментов биржевого, внебиржевого рынка с учетом оценки надежности контрагента, сроков инструментов хеджирования);

      внутренний порядок определения необходимого уровня ликвидности для покрытия инструментов хеджирования;

      описание процедуры и методов оценки эффективности хеджирования.

      Хеджирование считается эффективным, если изменение справедливой стоимости или денежного потока по объекту хеджирования в полной мере компенсируются изменением справедливой стоимости или денежного потока по инструменту хеджирования. Хеджирование осуществляется в отношении конкретного идентифицируемого риска, а не общих рисков банка;

      5) внутренний порядок и процедуры мониторинга доходности банка от использования финансовых инструментов;

      6) процедуры осуществления стресс-тестирования в целях оценки рыночного риска, включая внутренний порядок использования их результатов в рамках осуществления процесса управления рисками.

      Банк проводит стресс-тестирования рыночных рисков на периодической основе в целях выявления уровня потенциальных рыночных рисков, присущих деятельности банка, оценки способности банка противостоять изменениям.

      Периодичность стресс-тестирования, процедуры и методы проведения устанавливаются в соответствующих внутренних документах банка. Периодичность проведения стресс-тестирования определятся исходя из уровня подверженности банка рыночному риску, волатильности рынков капитала и иных внешних факторов. Периодичность проведения стресс-тестирования увеличивается в случаях существенного изменения внешних факторов.

      При проведении стресс-тестирования используются следующие сценарии:

      исторические;

      предусматривающие изменение курсов иностранных валют и (или) драгоценных металлов по открытым позициям банка;

      предусматривающие изменение рыночной стоимости финансовых инструментов;

      предусматривающие изменение общего уровня процентных ставок, сценарии роста или снижения доходности финансовых инструментов, чувствительных к изменению процентных ставок;

      предусматривающие изменение доходности;

      предусматривающие изменение соотношений между процентными ставками по привлекаемым и размещаемым банком ресурсам;

      предусматривающие изменение степени волатильности рыночных процентных ставок;

      предусматривающие резкие ухудшения ключевых рыночных, финансовых и (или) иных факторов и условий деятельности банка.

      Банк использует методологию, сценарии стресс-тестирования, соответствующие структуре ее бизнеса и профилю принимаемых рисков.

      Результаты стресс-тестирования представляются совету директоров, комитету по вопросам управления рисками и правлению банка, заинтересованным структурным подразделениям банка на периодической основе. Если результаты стресс-тестирования свидетельствуют об уязвимости банка к отдельным факторам риска, банк применяет меры по снижению уровня принятого риска;

      7) система индикаторов раннего обнаружения подверженности рыночному риску, в том числе основанная на предлимитном подходе;

      8) процедуры внесения изменений во внутренние документы и процедуры банка в случаях изменения рыночных условий, влияющих на уровень подверженности банка рыночному риску;

      9) утверждение внутреннего порядка системы качественной, детализированной, периодической управленческой информации, позволяющей своевременно и в полном объеме оценивать уровень подверженности рыночному риску, приближение к установленным уровням риск-аппетита и своевременно реагировать на изменения.

      Банк обеспечивает наличие эффективной системы управленческой информации, предназначенной для предоставления совету директоров банка, комитету по вопросам управления рисками и заинтересованным структурным подразделениям банка информации о подверженности банка рыночному риску.

      Управленческая информация содержит, но не ограничиваясь, следующее:

      сведения о текущем состоянии процентных ставок, курсов валют, рыночных котировок и их динамики;

      сведения о существенных открытых позициях в разрезе валют и финансовых инструментов;

      сведения об уровне процентного риска по агрегированным позициям по финансовым инструментам, чувствительным к изменению процентных ставок;

      сведения о процентном риске банковского портфеля, заполняемые в соответствии с абзацами седьмым, восьмым и девятым подпункта 1) пункта 8 Структуры отчета по соблюдению внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности согласно приложению к Правилам;

      сведения о соответствии позиций по финансовым инструментам, чувствительным к изменению процентных ставок, установленным лимитам;

      сведения об индикаторах раннего предупреждения о рыночном риске;

      экспертные оценки об изменении процентных ставок, курсов валют, индексов цен в перспективе;

      результаты измерения рыночных рисков;

      10) наличие внутреннего порядка принятия мер по снижению рыночного риска;

      11) наличие процедур проведения оценки справедливой стоимости финансовых инструментов, основанной на рыночной информации.

      Сноска. Пункт 45 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      46. Совет директоров обеспечивает наличие системы управления операционным риском, полностью интегрированной в общий процесс управления рисками банка на всех уровнях организационной структуры банка и во вновь создаваемые продукты, виды деятельности, процессы и системы и обеспечивает эффективное выявление, измерение, мониторинг и контроль за операционным риском банка с целью обеспечения достаточности собственного капитала для его покрытия. Система управления операционным риском включает, но, не ограничиваясь, следующее:

      1) подробно описанное взаимодействие между всеми участниками, вовлеченных в процесс управления операционным риском, включая внутренний порядок подотчетности.

      Банк определяет участников процесса управления операционным риском на основе 3 (трех) линий защиты.

      Первая линия защиты обеспечивается самими структурными подразделениями банка. Это означает, что руководители структурных подразделений несут ответственность за выявление, измерение, мониторинг и контроль за операционным риском, присущим их деятельности, в том числе, связанным с персоналом, продуктами, процессами и системами. Исходя из текущей рыночной ситуации, стратегии, объема активов, уровня сложности операций банка, для обеспечения эффективного функционирования системы управления операционным риском в первой линии защиты в структурных подразделениях банка назначаются риск-координаторы по операционному риску, определяется внутренний порядок их взаимодействия с подразделениями по управлению операционным риском и внутреннему аудиту.

      Вторая линия защиты обеспечивается независимым подразделением по управлению операционным риском.

      Третья линия защиты обеспечивается подразделением внутреннего аудита посредством независимой оценки эффективности системы управления операционным риском банка;

      2) описание инструментов измерения операционного риска;

      3) внутренний порядок установления уровня риск аппетита операционного риска;

      4) внутренний порядок обмена информацией и база внутренних событий операционного риска;

      5) систему классификации событий операционного риска для обеспечения точности при выявлении риска;

      6) осуществление анализа операционного риска и соответствующего пересмотра политики управления операционным риском в случае существенного изменения уровня и видов операционного риска банка.

      47. В целях построения эффективной системы управления операционным риском совет директоров несет ответственность за:

      1) утверждение политики управления операционным риском, которая включает, но, не ограничиваясь, следующие компоненты:

      цели и задачи управления операционным риском;

      основные принципы управления операционным риском;

      классификацию типов событий операционного риска;

      уровень риск-аппетита операционного риска банка;

      определение участников процесса управления операционным риском на основе 3 (трех) линий защиты, их полномочия, ответственность с четким определением структуры подотчетности;

      определение внутреннего порядка и процедур выявления, измерения, мониторинга и контроля за операционным риском, в том числе:

      определение ключевых индикаторов операционного риска;

      определение процедур и механизмов управления операционным риском;

      внутренний порядок обмена информацией между участниками процесса управления операционным риском по 3 (трем) линиям защиты, включая виды, формы и сроки представления информации;

      процедуры одобрения, утверждения, анализа и мониторинга отклонений от политики, процедур, лимитов;

      внутренний порядок и процедуры одобрения новых продуктов, видов деятельности, процессов и систем и (или) внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы;

      требования по внесению изменений во внутренние документы и процедуры в случаях обнаружения недостатков в управлении операционным риском и (или) возникновения условий, влияющих на уровень подверженности банка операционному риску;

      2) формирование риск культуры управления операционным риском;

      3) регулярный анализ системы управления операционным риском в целях обеспечения своевременного выявления и управления операционным риском, вызванным изменениями внешних факторов, а также операционными рисками, связанными с новыми продуктами, видами деятельности, процессами или системами, включая изменения уровня и видов риска;

      4) обеспечение надлежащих условий для применения наилучшей практики управления операционным риском;

      5) утверждение и контроль над уровнями риск-аппетита в отношении операционного риска с регулярным пересмотром. В процессе анализа актуальности уровней риск-аппетита учитываются изменения внешних факторов, существенное увеличение объема операций банка, в том числе по отдельным видам деятельности, результаты аудиторских проверок системы внутреннего контроля (при наличии), эффективность системы управления операционным риском или снижения риска, объем понесенных убытков, а также частота, масштабы и характер нарушений установленных уровней риск-аппетита.

      48. Банк выявляет, измеряет, осуществляет мониторинг и контроль за операционным риском посредством следующего (но, не ограничиваясь ими):

      1) использования результатов аудиторских проверок.

      Результаты аудиторских проверок являются дополнительным источником информации в процессе управления операционным риском банка;

      2) осуществления сбора и анализа внутренних данных о событиях операционного риска.

      Сбор и анализ внутренних данных о событиях операционного риска (ведение базы данных по событиям операционного риска) – процесс, позволяющий оценить подверженность операционному риску и эффективность внутреннего контроля на основе информации об операционных убытках.

      Анализ случаев возникновения убытков дает представление о причинах крупных убытков и информацию о том, являются ли сбои в системе контроля эпизодическими или системными;

      3) осуществления анализа внешних событий по операционным рискам.

      В состав внешних данных о событиях операционного риска входят (при наличии) совокупные операционные убытки, сроки, данные о покрытии убытков, а также соответствующая эпизодическая информация о случаях возникновения убытков в других банках;

      4) проведения самооценки операционного риска.

      Инструмент, посредством которого банк выявляет и оценивает операционные риски, присущие процессам банка и оценивает их влияние на процессы и эффективность действующих процедур контроля за выявленными операционными рисками;

      5) описания (регламентации) бизнес-процессов.

      Описание (регламентация) бизнес-процессов – процесс, в рамках которого структурными подразделениями, составляющими первую линию защиты, определяются основные этапы бизнес-процессов, виды деятельности, организационные функции, способствующий выявлению операционных рисков, взаимозависимостей между рисками, недостатков контроля и управления рисками;

      6) применения ключевых индикаторов операционного риска.

      Ключевые индикаторы операционного риска представляют собой значения (величины) и (или) статистические данные, дающие представление о профиле операционном риске, которым подвержен банк. Ключевые индикаторы операционного риска используются для мониторинга изменений уровня операционного риска в банке, что, в свою очередь, обеспечивает выявление недостатков в процессах, организации, сбоев и потенциальных убытков;

      7) сценарный анализ операционного риска.

      Сценарный анализ операционного риска представляет собой процесс сопоставления внешних событий об убытках с внутренними процессами банка и получения экспертного заключения руководителей структурных подразделений и подразделения по управлению рисками о недостатках в системе контроля или рисках, не выявленных ранее для выявления потенциальных случаев возникновения операционного риска и оценки возможных последствий.

      Комитет по вопросам управления рисками обеспечивает наличие процесса регулярного мониторинга уровня операционного риска.

      49. Банк обеспечивает наличие системы управленческой информации, включающей установление внутреннего порядка, определяющего состав и частоту отчетности по управлению операционным риском, представляемую различным получателям, ответственных лиц (подразделений) банка за подготовку и доведение информации до соответствующих получателей. Установленный внутренний порядок представления отчетности позволяет осуществлять превентивное управление операционным риском. Управленческая отчетность об операционном риске содержит:

      1) информацию о нарушениях установленных уровней риск-аппетита банка по операционному риску;

      2) сведения о существенных внутренних событиях операционного риска и убытков в разбивке по классификации операционного риска о размере ущерба с указанием причин, типов событий, последствий;

      3) сведения о существенных внешних событиях операционного риска для принятия решений;

      4) информацию о принимаемых корректирующих мерах по существенным событиям возникновения операционного риска и (или) анализ эффективности принятых мер;

      5) результаты самооценки операционного риска;

      6) результаты мониторинга ключевых индикаторов риска;

      7) результаты сценарного анализа;

      8) информацию о карте операционного риска.

      Управленческая отчетность содержит полную, достоверную, своевременную информацию. Периодичность отчетности отражает степень подверженности банка рискам, а также темпы и характер изменений в его деятельности.

      Процессы формирования управленческой отчетности об операционном риске периодически подвергаются анализу с целью постоянного совершенствования управления операционным риском и дальнейшего развития принципов, процедур и процессов управления операционным риском.

      50. В целях выявления потенциальных рисков, возникающих в стрессовых ситуациях, банк на периодической основе (но не реже 1 (одного) раза в полгода) проводит стресс-тестирование для выявления источников потенциальной угрозы достаточности капитала. Стресс-тестирование проводится банком путем использования следующих методов (но не ограничиваясь ими):

      1) сценарный анализ;

      2) анализ чувствительности.

      Процесс проведения стресс-тестирования включает следующее:

      стресс-тестирование позволяет банку анализировать влияние стресс-сценариев на уровень достаточности капитала, оценивать уровень возникновения риска при изменении внутренней и внешней среды;

      степень и частота проведения стресс-тестирования соответствует выбранной бизнес-модели, масштабу деятельности, видам и сложности операций, а также роли банка в финансовой системе. Банк располагает возможностью увеличения частоты проведения стресс-тестирований в ухудшающихся рыночных условиях или по требованию руководства банка;

      совет директоров банка принимает активное участие в процессе стресс-тестирования в части утверждения процедур проведения стресс-тестирований, сценариев (в том числе рассматривает консервативные сценарии также в периоды экономического роста), оценки результатов и в результате принятия мер по минимизации выявленного в ходе стресс-тестирования риска капитала.

      Банк при осуществлении стресс-тестирования использует, но не ограничиваясь, следующие сценарии стресс-тестирования:

      общеэкономический сценарий, который основывается на оценке влияния снижения экономической конъюнктуры страны, включая спад экономического роста в целом и по отдельным отраслям экономики;

      сценарий, специфичный для бизнеса банка, который основывается на оценке влияния локальных стрессовых факторов, в том числе связанных с особенностями кредитной деятельности банка и структурой его кредитного портфеля;

      сценарий, учитывающий вероятность возникновения чрезвычайных ситуаций.

      Банк разрабатывает сценарии стресс-тестирования на основе консервативных, но потенциально реализуемых негативных изменений внешних и внутренних показателей, влияющих на снижение уровня достаточности капитала.

      Совет директоров банка утверждает сценарии стресс-тестирования и принятые допущения, а также результаты стресс-тестирования. Обоснованность выбора сценариев и соответствующих предположений банка документируется и рассматривается вместе с результатами стресс-теста.

      При определении стрессовых сценариев и чувствительности банк использует широкий круг информации, включая исторические и гипотетические стрессовые ситуации, в том числе находящиеся вне пределов обычного диапазона рисков и прогнозов.

      Помимо возможности применения применяемых регулятором сценариев стрессовых ситуаций, банк стремится использовать наиболее применимые стрессовые ситуации, которые соответствуют его индивидуальным характеристикам, но не ограничиваясь ими.

      Совет директоров банка регулярно пересматривает сценарии стресс-тестирования на предмет значительных изменений. При необходимости изменения сценариев стресс-тестирования проводится промежуточная оценка.

      При разработке сценариев и допущений стресс-тестирования банк руководствуется следующим:

      сценарии включают все существенные риски, которым потенциально подвержен банк;

      при стресс-тестировании банк рассматривает взаимосвязь различных видов рисков;

      банк придерживается консервативного подхода при определении допущений стресс-тестирования. Основываясь на типе и степени тяжести сценария, банк учитывает уместность ряда допущений по отношению к его деятельности;

      подходы и модели стресс-тестирования являются статистически и эконометрически обоснованными;

      внутренние модели банков по отдельным видам рисков адаптируются под цели стресс-тестирования;

      банк рассматривает краткосрочные и затяжные, а также идиосинкразические и рыночные сценарии, вне зависимости от того насколько высок уровень достаточности капитала на текущий момент, в том числе:

      отсутствие доступности рынков капитала;

      снижение стоимости энергоресурсов;

      ослабление курса национальной валюты;

      кризис рынка недвижимости;

      изменение ставок;

      изменение валового внутреннего продукта;

      кризис сельскохозяйственного сектора;

      рост инфляционных ожиданий;

      повышение уровня безработицы и снижение доходов населения;

      снижение рыночной стоимости активов.

      Результаты стресс-теста и прогнозируемые риски, а также последующие действия по минимизации негативного влияния сообщаются и обсуждаются с советом директоров банка и подразделениями, участвующими в процессе управления риском ликвидности. Совет директоров банка интегрирует результаты процесса стресс-тестирования в процесс стратегического и бюджетного планирования банка. Результаты стресс-тестирования используются при установлении внутренних лимитов.

      Совет директоров банка учитывает результаты стресс-тестирования в процесс поддержания достаточности капитала в случае непредвиденных обстоятельств, в том числе в целях устранения недостатков процесса.

      Сноска. Пункт 50 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      51. Банк обеспечивает наличие процедур разработки, одобрения и внедрения новых продуктов, видов деятельности, процессов и систем или внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы, обеспечивающих:

      1) оценку рисков, присущих новым продуктам, видам деятельности, процессам и системам или в случае внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы;

      2) осуществление анализа затрат и выгод от внедрения;

      3) оценку изменений уровней риск-аппетита банка и внесение соответствующих изменений;

      4) наличие необходимых механизмов контроля, процесса управления рисками;

      5) наличие информации об уровне остаточных рисков;

      6) наличие процедур и методов для выявления, измерения, мониторинга и контроля рисков, присущих новым продуктам, видам деятельности, процессам и системам или в случае внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы;

      7) оценку возможностей банка по осуществлению инвестиций в человеческие ресурсы и технологическую инфраструктуру банка перед внедрением новых продуктов, видов деятельности, процессов и систем или в случае внесения значительных изменений в действующие продукты, виды деятельности, процессы и системы.

      52. Ежегодно совет директоров банка проводит оценку достаточности капитала на основе результатов, выявленных в рамках внутреннего процесса оценки достаточности собственного капитала и иной информации, доступной совету директоров банка.

      Внутренний процесс оценки достаточности капитала подлежит непрерывному обзору, как количественных, так и качественных показателей, включая применение его результатов, подходов к стресс-тестированию, выявление рисков и процесс сбора информации, валидацию моделей оценки рисков. Обзор проводится в рамках 3 (трех) линий защиты, исходя из их роли в ВПОДК. Обзор способствует своевременному внесению изменений при изменении внутренних и внешних факторов.

Глава 6. Внутренний процесс оценки достаточности ликвидности

      53. Совет директоров утверждает внутренний документ банка, регламентирующий основные подходы и принципы ВПОДЛ и содержащий следующие разделы:

      1) описание организационной структуры ВПОДЛ;

      2) описание стратегии риск-аппетита;

      3) организация управления риском ликвидности и фондированием, включая ежедневный риск ликвидности и разрывы ликвидности;

      4) описание процесса интеграции управления риском ликвидности в процесс утверждения новых продуктов и видов деятельности;

      5) обзор стратегии фондирования и плана финансирования на случай непредвиденных обстоятельств с ликвидностью;

      6) организация управления буферами ликвидности и залоговым обеспечением;

      7) организация процедур стресс-тестирования;

      8) организация процедур самооценки внутреннего процесса оценки достаточности ликвидности.

      54. Описание организационной структуры ВПОДЛ содержит перечень участников ВПОДЛ с указанием ответственности коллегиальных органов банка и подразделений, участвующих в реализации процессов управления ликвидности и риском ликвидности, в том числе:

      1) совет директоров банка отвечает за управление риском ликвидности и определение уровня риск-аппетита. Совет директоров банка утверждает отчет по соблюдению ВПОДК и ВПОДЛ не позднее 30 апреля года, следующего за отчетным годом;

      2) комитет по вопросам управления рисками отвечает за разработку политик и процедур в области управления ликвидностью в рамках уровня риск-аппетита, установленного советом директоров. Помимо этого, комитет по вопросам управления рисками периодически уведомляет совет директоров банка о соблюдении риск-аппетита и существенных изменениях уровня ликвидности;

      3) подразделение (подразделения) лица, на которые (которых) возложены функции внутреннего контроля, осуществляет (осуществляют) проверку соблюдения процедур ВПОДЛ и доводит (доводят) результаты до сведения совета директоров банка;

      4) подразделение (подразделения), участвующее (участвующие) в процессе по управлению рисками:

      является (являются) ответственным (ответственными) за реализацию процесса управления риском ликвидности;

      отвечает (отвечают) за подготовку отчета по соблюдению ВПОДК и ВПОДЛ в соответствии со Структурой отчета по соблюдению внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности согласно приложению к Правилам. Банк обеспечивает наличие подтверждающих документов, которые включают, но не ограничиваясь, расчеты, применяемые модели, пояснительные записки, аналитические справки, результаты самооценки и оценку эффективности ВПОДЛ;

      отвечает (отвечают) за подготовку проведения стресс-тестирования;

      5) подразделение (подразделения) по управлению ликвидностью разрабатывает (разрабатывают) и реализует (реализуют) меры по оперативному управлению ликвидностью и совместно с подразделением по управлению рисками, разрабатывает план финансирования на случай непредвиденных обстоятельств;

      6) подразделение внутреннего аудита проводит оценку эффективности ВПОДЛ.

      Сноска. Пункт 54 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      55. В рамках ВПОДЛ совет директоров банка несет ответственность за соблюдение утвержденной стратегии риск-аппетита.

      56. Банк разрабатывает эффективный процесс по выявлению, оценке, мониторингу и контролю риска ликвидности, который включает детальное прогнозирование денежных потоков по активам, обязательствам и внебалансовым инструментам на разных временных интервалах.

      Банк оценивает все балансовые и внебалансовые статьи, влияющие на уровень риска ликвидности. Банк оценивает уровень ликвидности на рынке для покрытия потребности банка в привлечении фондирования в целях регулирования риска ликвидности.

      При управлении риском ликвидности банк учитывает снижение стоимости активов и влияния их продажи во время стрессов на уровень ликвидности, доходности и капитал.

      Банк учитывает взаимодействие между риском ликвидности и другими видами рисков, которым он подвергается.

      Измерение ликвидности включает в себя оценку притоков и оттоков денежных средств банка для определения потенциального дефицита ликвидных активов в будущем. Банк измеряет и прогнозирует предполагаемые денежные потоки по активам и обязательствам, включая внебалансовые требования и обязательств, на разных временных горизонтах при нормальных условиях и в ряде сценариев, с различной степенью стресса.

      К таким временным горизонтам относятся:

      потребность в ликвидности и возможности финансирования на внутридневной основе;

      потребность в ликвидности и возможности финансирования на короткие и среднесрочные горизонты до 1 (одного) года;

      долгосрочная ликвидность более 1 (одного) года.

      Банк разрабатывает индикаторы раннего предупреждения, выявляющие повышение риска ликвидности и риски ограниченного фондирования. Разработанные индикаторы выявляют негативную тенденцию уровня ликвидности, фондирования банка и отражают реальную оценку в целях принятия незамедлительных мер по смягчению воздействия возникающих рисков на финансовое положение банка.

      Банк определяет триггеры качественных и количественных индикаторов раннего предупреждения.

      Качественные или количественные индикаторы раннего предупреждения по своему характеру включают, но, не ограничиваясь, следующее:

      быстрый рост активов, в особенности финансируемых за счет обязательств с возможностью досрочного изъятия, либо по которым не установлен срок погашения;

      увеличение концентрации в отдельных активах или обязательствах;

      увеличение разрывов в валютах;

      снижение средневзвешенного срока погашения обязательств;

      приближение к значениям внутренних лимитов банка и (или) пруденциальных нормативов, определенным как допустимые, но требующие отдельных корректирующих мер в действующих процедурах системы управления рисками с целью снижения уровня риска;

      негативные тенденции или повышенный риск, связанный с деятельностью банка;

      значительное снижение доходов банка, ухудшение качества активов и общего финансового состояния банка;

      негативную информацию, в том числе в средствах массовой информации, связанную с банком;

      понижение кредитного рейтинга банка;

      снижение котировок акций или рост стоимости долга банка;

      рост стоимости корпоративного или розничного фондирования;

      увеличение требований контрагентов по предоставлению дополнительного обеспечения и (или) отказы по новым сделкам без обеспечения и по пролонгации сроков;

      закрытие или уменьшение установленного размера предоставленных кредитных линий для банка;

      увеличение оттока розничных депозитов;

      увеличение оттока срочных корпоративных депозитов;

      трудности в привлечении долгосрочного финансирования.

      Банк активно управляет позицией внутридневной ликвидности и сопутствующими рисками в целях своевременного исполнения обязательств по платежам и расчетам, как в нормальных, так и в стрессовых ситуациях, тем самым содействуя бесперебойному функционированию платежных и расчетных систем.

      Банк управляет внутридневным риском ликвидности посредством процедур, которые включают, но не ограничиваются следующим:

      отслеживание дневных позиций ликвидности с учетом ожидаемых денежных притоков и оттоков, прогнозирование размера потенциального дефицита финансирования, возникающие в разные периоды операционного дня;

      определение ключевых клиентов, выступающих в качестве основных источников поступающих или исходящих потоков ликвидности, прогнозирование притоков и оттоков посредством налаживания постоянной связи и информированности о ближайших будущих крупных поступлениях и изъятиях;

      определение ключевых периодов, дат и обстоятельств, при которых потоки ликвидности и возможные кредитные потребности особенно высоки;

      понимание потребностей бизнес-подразделений;

      контроль внутридневной позиции ликвидности по отношению к ожидаемым выплатам в целях определения размера необходимой дополнительной внутридневной ликвидности или необходимости ограничения оттока ликвидности для покрытия приоритетных платежей;

      наличие надежных источников фондирования в целях получения достаточного уровня требуемой внутридневной ликвидности в короткие сроки;

      управление активами банка, которые используются в качестве залога в случае необходимости получения дневных заемных средств;

      наличие достаточного размера таких активов, оперативных механизмов для залога;

      мониторинг за оттоками средств ключевых клиентов в соответствии с внутридневными потребностями;

      меры реагирования банка в случае непредвиденного возникновения разрывов в дневных потоках ликвидности, включая меры по обеспечению непрерывности деятельности.

      Банк обеспечивает наличие эффективной системы управленческой информации, предназначенной для предоставления совету директоров банка, комитету по вопросам управления рисками и другим заинтересованным структурным подразделениям банка информации о подверженности банка риску ликвидности и состоянии ликвидности банка.

      Банк разрабатывает систему управленческой отчетности, которая:

      охватывает все источники риска ликвидности, включая риски по условным обязательствам, а также риски, связанные с возникновением событий, которые влекут за собой досрочное погашение обязательств и потребность в определенном объеме ликвидности по соответствующим источникам;

      обеспечивает представление информации по позициям ликвидности в разрезе различных временных горизонтов;

      обеспечивает измерение риска для мониторинга позиций по ликвидности, как в нормальных, так и в стрессовых условиях, по видам валют, в которых у банка есть значительные позиции, как на индивидуальной, так и на агрегированной основе;

      позволяет осуществлять мониторинг и анализ динамики необремененных высоколиквидных активов, с целью их продажи или использования в качестве залога для привлечения средств при наступлении стрессовых ситуаций;

      позволяет осуществлять мониторинг и анализ информации о факторах, влияющих на уровень запаса ликвидных активов;

      обеспечивает оценку и прогнозирование будущих денежных потоков в разрезе различных временных горизонтов, в том числе с учетом результатов стресс-тестирования по различным сценариям;

      предусматривает обеспечение более детальной и актуальной информацией на более частой основе в периоды стресса.

      Система управленческой отчетности включает, но, не ограничиваясь, установление внутреннего порядка, определяющего:

      критерии, состав, внутренний порядок и частоту отчетности по управлению риском ликвидности, представляемую различным получателям (например, ежедневная отчетность предоставляется лицам, ответственным за управление риском ликвидности, регулярная – правлению, комитету по вопросам управления рисками и совету директоров, с повышенной частотой – в периоды стрессовых ситуаций);

      сравнение текущего уровня риска ликвидности с установленными лимитами, выявление негативных факторов, приводящих к негативным тенденциям уровня ликвидности, а также способы ограничения нарушений;

      сообщения о нарушениях лимитов риска ликвидности с указанием пороговых значений, причин нарушений и предложений по выравниванию сложившейся ситуации;

      ответственных лиц (подразделений) за подготовку и доведение информации до соответствующих получателей.

      Информационные системы обеспечивают функционирование системы управления риском ликвидности, в том числе контроль за соблюдением установленных лимитов. Информационные системы соответствует сложности бизнеса банка, профилю рисков, сферами деятельности, объему активов и роли банка в финансовой системе.

      57. Описание процесса интеграции управления риском ликвидности в процесс утверждения новых продуктов и видов деятельности.

      Банк учитывает затраты, выгоды и риски ликвидности в процессе утверждения новых продуктов для всех важных видов деятельности.

      ВПОДЛ банка учитывает измерение затрат, выгод и рисков ликвидности, присущих всем направлениям деятельности банка (в том числе деятельность, связанную с условными рисками, которые не оказывают непосредственный эффект в настоящий момент, но имеют возможность реализоваться в будущем). Это распределение затрат, выгод и рисков ликвидности включает факторы, связанные с ожидаемыми сроками погашения активов и обязательств, их характеристиками риска ликвидности на рынке и любыми другими соответствующими факторами, включая выгоды от доступа к относительно стабильным источникам фондирования.

      58. Обзор стратегии фондирования и плана финансирования на случай непредвиденных обстоятельств с ликвидностью (далее – план финансирования). Банк диверсифицирует источники фондирования и устанавливает внутренние лимиты на концентрацию, учитывая, следующие факторы (но, не ограничиваясь ими):

      1) виды источников фондирования в разрезе продуктов, инструментов, рынков;

      2) срочность фондирования;

      3) характеристики эмитента, контрагента или кредитора, в том числе сектор экономики, географическое расположение;

      4) валюту источников фондирования.

      Цели диверсификации являются частью планов финансирования (до и более года) и учитываются в процессе составления стратегического и бюджетного планирования.

      Совет директоров, комитет по вопросам управления рисками и правление банка информированы о характеристиках и диверсификации источников фондирования и периодически пересматривают стратегию фондирования в целях незамедлительного реагирования на изменения внутренней и внешней среды.

      Важным компонентом обеспечения диверсификации фондирования является обеспечение доступа к финансовым рынкам, которое имеет решающее значения в эффективности и возможности привлечения средств вкладчиков и контрагентов. Обеспечение доступа к соответствующим рынкам учитывает, но, не ограничиваясь, следующее:

      поддержание присутствия на финансовых рынках, выбранных в целях фондирования;

      возможность укрепления присутствия на выбранных рынках финансирования;

      выявление, установление, поддержание взаимоотношений с текущими и потенциальными кредиторами, предоставляющими денежные средства;

      повышение капитализации банка в целях обеспечения готовности кредиторов поддерживать отношение с банком.

      Банк определяет альтернативные источники фондирования, повышающие способность банка противостоять стрессовым ситуациям и кризисам ликвидности. В зависимости от характера, тяжести и продолжительности кризиса ликвидности потенциальные источники финансирования включают, но, не ограничиваясь, следующее:

      рост депозитов;

      пролонгация сроков погашения обязательств;

      эмиссия краткосрочных и долгосрочных долговых инструментов;

      внутригрупповые переводы средств, продажа дочерних компаний или направлений бизнеса;

      секьюритизация активов;

      продажа имеющихся высоколиквидных активов или заключение сделок репо;

      сдерживание увеличения объемов по основным направлениям деятельности (например, замедление выдачи кредитов).

      Совет директоров банка, комитет по вопросам управления рисками и правление периодически оценивают и контролируют способность по оперативному привлечению средств из каждого источника фондирования в целях оценки эффективности при обеспечении ликвидности в перспективе.

      Совет директоров банка утверждает план финансирования, в котором четко определен процесс устранения дефицита ликвидности в чрезвычайных ситуациях. План финансирования соответствует масштабу деятельности банка, профилю рисков, видам и сложности операций, объему активов и роли банка в финансовой системе. План финансирования включает четкое описание диверсифицированного набора адекватных, доступных, реализуемых потенциальных мер по обеспечению непредвиденных расходов для сохранения ликвидности и сокращения дефицита денежных средств в различных неблагоприятных ситуациях.

      План финансирования содержит:

      четко определенные и доступные источники финансирования на случай непредвиденных обстоятельств, с оценкой возможного размера средств, которые привлекаются из этих источников;

      время, необходимое для привлечения дополнительных средств от каждого из источников финансирования непредвиденных обстоятельств;

      четкие операционные процедуры, регламентирующие:

      формирование состава лиц (органов, подразделений) банка, ответственных за разработку и внедрение плана финансирования, с указанием полномочий и сфер их ответственности с целью обеспечения внутренней координации и коммуникации;

      подробный алгоритм действий и их приоритезацию в отношении того какие действия необходимо предпринять, кто ответственен за их принятие, когда и каким образом реализуются эти действия;

      несколько вариантов реализации разных стрессовых ситуаций.

      В целях обеспечения операционной надежности план финансирования подвергается регулярному тестированию и обновлению.

      59. Банк располагает постоянным запасом необремененных высоколиквидных активов, которые можно в кратчайшие сроки использовать без значительных потерь и дисконтов при различных стрессовых сценариях, включая события, влекущие за собой потерю доступа или снижение объемов ликвидных средств, предоставляемых кредиторами, в том числе под обеспечение, а также размещаемых вкладчиками.

      Необходимый запас ликвидности сопоставим с установленным риск аппетитом банка по риску ликвидности. Для этого требуется определение необходимого размера запаса необремененных высоколиквидных активов к оценкам потребностей в ликвидности в условиях стресса. Оценка потребности в ликвидности в текущих условиях и в периоды стресса включает:

      как договорные, так и недоговорные денежные оттоки (притоки);

      безусловное требование вкладчиков по изъятию средств;

      и учитывает неспособность получить необеспеченное финансирование, а также потерю или снижение доступа к ликвидным средствам.

      Необходимый запас ликвидности в основном формируется из наиболее высококачественных ликвидных активов, таких как:

      денежные средства;

      ликвидные государственные ценные бумаги;

      финансовые инструменты, возможные к реализации в периоды наиболее негативных сценариев стресса и менее негативных в виде необремененных ликвидных активов, реализуемых или использующихся в качестве обеспечения без значительных потерь или дисконта.

      Общие характеристики определения высоколиквидных активов включают:

      прозрачность его структуры и характеристики риска;

      легкость и определенность оценки;

      существование ликвидного рынка для данного актива во всех сценариях стресса;

      доступные объемы рынка для актива, включая запасы банка относительно нормального рыночного оборота;

      отсутствие правовых, нормативных или операционных препятствий для использования этих активов в целях получения финансирования в любое время для удовлетворения потребностей в ликвидности.

      Эффективное управление залоговым обеспечением производится посредством следующих, но, не ограничиваясь ими, процедур, определяющих:

      оценку потребностей банка в активах, которые необходимо использовать в качестве залога, включая активы, которые в настоящее время переданы в залог, с учетом сроков их высвобождения;

      оценку соответствия каждого вида того или иного актива для использования в качестве залогового обеспечения по отношению к каждому типу основных контрагентов и рынков обеспеченного финансирования;

      диверсификацию активов, которые необходимо использовать в качестве залога, в разрезе эмитента, объема относительно возможностей финансового рынка и контрагентов, чувствительности цен во избежание чрезмерной концентрации, а также с учетом различных сценариев рыночного стресса;

      мониторинг залогового обеспечения в разрезе эмитентов, географического расположения, валют, в целях осуществления оценки того как оперативно мобилизуются активы в случае необходимости.

      60. Система стресс-тестирования включает анализ используемых видов стресс-тестирования, сценарии стресс-тестирования, применимых допущений, методологической базы для проверки устойчивости показателя достаточности ликвидности в случае изменения рыночных условий и мер управления.

      Банк на периодической основе проводит стресс-тестирование по различным факторам краткосрочных и долгосрочных сценариев, ориентированных как на специфику банка, так и на масштабные рыночные стрессы и совмещение обоих сценариев с целью анализа и количественной оценки их воздействия на уровень ликвидности, на денежные потоки банка, прибыльность и платежеспособность.

      Результаты проведенных стресс-тестирований рассматриваются советом директоров банка. По результатам рассмотрения принимаются меры по устранению или смягчению последствий для ограничения воздействий на банк, создания необходимого запаса ликвидности и корректировки уровня ликвидности.

      Результаты стресс-тестирований играют ключевую роль в формировании плана финансирования банка и в определении стратегии и ВПОДЛ.

      Процесс проведения стресс-тестирования включает следующее:

      банк анализирует влияние стресс-сценариев на позицию ликвидности, оценивает уровень возникновения риска ликвидности при изменении внутренней и внешней среды, в разные временные периоды (краткосрочный, долгосрочный), в том числе на внутридневной основе;

      степень и частота проведения стресс-тестирования соответствует выбранной бизнес-модели, масштабу деятельности, видам и сложности операций, а также роли банка в финансовой системе. Банк располагает возможностью увеличения частоты проведения стресс-тестирований в ухудшающихся рыночных условиях или по требованию совета директоров банка или комитета по вопросам управления рисками;

      совет директоров банка принимает участие в процессе стресс-тестирования в части утверждения процедур проведения стресс-тестирований, сценариев (в том числе рассматривает консервативные сценарии стресс-сценариев даже в периоды профицита ликвидности), оценки результатов и в результате принятия мер по минимизации выявленного в ходе стресс-тестирования риска ликвидности;

      банк учитывает в стресс-тестировании вероятную поведенческую реакцию других участников рынка на события рыночного стресса и степень, в которой общий результат усиливает движение рынка и усугубляет рыночную нагрузку.

      При разработке сценариев и допущений стресс-тестирования банк руководствуется следующим:

      сценарии включают все основные риски фондирования и ликвидности на рынке, которым потенциально подвержен банк;

      банк рассматривает краткосрочные и затяжные, а также идиосинкразические и рыночные сценарии, вне зависимости от того насколько высок уровень ликвидности на текущий момент, в том числе:

      одновременное отсутствие ликвидности на нескольких ранее высоколиквидных рынках;

      серьезные трудности к доступу обеспеченного и необеспеченного фондирования;

      ограничения конвертируемости валюты;

      серьезные операционные или расчетные сбои, влияющие на одну или несколько основных платежных или расчетных систем;

      банк учитывает взаимосвязь между сокращением ликвидности на рынке и ограничениями фондирования;

      при стресс-тестировании банк рассматривает взаимосвязь различных видов рисков;

      банк учитывает потребности в ликвидности во многих валютах и нескольких основных платежных и расчетных системах;

      банк придерживается консервативного подхода при определении допущений стресс-тестирования. Основываясь на типе и степени тяжести сценария, банк учитывает уместность ряда допущений по отношению к его деятельности, которые включают, но, не ограничиваясь, следующее:

      сужение ликвидности в масштабах всего рынка;

      отток розничного и корпоративного фондирования;

      отсутствие доступа к новым обеспеченным и необеспеченным источникам фондирования;

      возникновение потребности в существенных дисконтах для продажи активов и (или) осуществления репо;

      дефолт контрагентов, в том числе на межбанковском рынке;

      вероятность установления дополнительной маржи и залога;

      вероятность изменения сроков финансирования;

      ликвидность, направленная на исполнение условных обязательств по внебалансовым инструментам и операциям, включая кредитные линии;

      планируемое изменение в объеме активов;

      невозобновляемость межбанковских вкладов;

      отсутствие возможности использования кредитных линий, предоставленных банку;

      влияние триггеров существенного снижения кредитного рейтинга;

      конвертация средств клиентов банка;

      снижение способности реализовывать ликвидные активы с учетом правовых, нормативных, операционных и временных ограничений;

      ограниченный доступ к средствам уполномоченного органа, компаний квазигосударственного сектора;

      ограниченная операционная способность банка реализовать активы;

      существенное снижение кредитного рейтинга банка;

      появление негативной информации о банке, влияющей на уровень доверия к банку.

      Стресс-сценарии анализируются банком на регулярной основе в целях подтверждения их актуальности. В анализах учитываются изменения в рыночных условиях, изменения характера, объема активов или сложности бизнес-модели и деятельности банка, фактический опыт в ситуациях стресса.

      Совет директоров банка утверждает сценарии стресс-тестирования и принятые допущения, а также результаты стресс-тестирования. Обоснованность выбора сценариев и соответствующих предположений банка документируется и рассматривается вместе с результатами стресс-теста.

      Результаты стресс-теста и прогнозируемые риски, а также последующие действия по минимизации негативного влияния сообщаются и обсуждаются с советом директоров банка и подразделениями, участвующими в процессе управления риском ликвидности. Совет директоров банка интегрирует результаты процесса стресс-тестирования в процесс стратегического и бюджетного планирования банка. Результаты стресс-тестирования используются при установлении внутренних лимитов.

      Совет директоров банка включает результаты стресс-тестирования в оценку и планирование плана финансирования, в том числе в целях корректирования недостатков в плане.

      61. Банк ежегодно проводит самооценку ВПОДЛ на выявление слабых сторон процесса в части следующего:

      1) политики управления ликвидностью;

      2) организации процесса;

      3) процедур, систем и контролирующих действий;

      4) уровня ликвидности и доступности фондирования.

      По результатам самооценки и при выявлении несоответствий и (или) слабых сторон процесса банк составляет план мероприятий, содержащий информацию о корректирующих действиях, подлежащих реализации, в том числе информацию об ответственных сторонах, ожидаемых сроках выполнения, о необходимых ресурсах.

Глава 7. Управление непрерывностью деятельности

      62. Совет директоров банка обеспечивает наличие системы управления непрерывностью деятельности банка, которая соответствует текущей рыночной ситуации, стратегии, объему активов, уровню сложности операций банка.

      Банк управляет непрерывностью деятельности посредством процедур, но, не ограничиваясь ими, перечисленных в пунктах 63-71 Правил.

      63. Банк осуществляет по методу, определенному во внутреннем документе банка, анализ влияния на деятельность, посредством которого осуществляется оценка:

      1) воздействий, повреждений или потерь на персонал, помещения, технологии или информацию банка;

      2) нарушений требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

      3) потери репутации.

      Анализ влияния на деятельность банка проводится для определения временных рамок восстановления критичных видов деятельности, а также выявления ресурсов, необходимых для возобновления и продолжения ключевой деятельности в случае непредвиденных обстоятельств (критичных ресурсов).

      Для проведения анализа влияния на деятельность банка:

      оценивает объем возможных потерь в связи с простоем предоставления критичных продуктов и услуг во времени;

      устанавливает максимально приемлемый период простоя каждого вида деятельности путем идентификации:

      максимального периода времени, в пределах которого деятельность возобновляется;

      периода времени, в пределах которого возобновляется нормальный уровень осуществления деятельности;

      выявляет виды и уровни выполнения деятельности, активы или иные ресурсы, которые необходимо непрерывно поддерживать в минимальном работоспособном состоянии и (или) восстанавливать в установленные сроки для предоставления критичных продуктов и услуг;

      определяет объем ресурсов, минимально необходимых для восстановления и дальнейшего осуществления критичных видов деятельности в аварийном режиме;

      устанавливает целевое время восстановления каждого из критичных видов деятельности. Целевое время восстановления меньше максимально допустимого времени простоя соответствующего продукта или услуги;

      устанавливает целевую точку восстановления между последним резервированием данных и началом простоя критичного вида деятельности;

      ранжирует критичные виды деятельности по целевому времени восстановления, выделяя приоритетные;

      выявляет поставщиков, контрагентов, прочих заинтересованных сторон, от которых зависят критичные виды деятельности банка и как указанные лица оказывают помощь банку при наступлении непредвиденных обстоятельств.

      64. Банк идентифицирует критичные виды деятельности. Идентифицированная в процессе анализа влияния на деятельность банка, потеря которой оказывает в краткосрочный период времени максимальное негативное воздействие на банк и подлежит восстановлению в кратчайшие сроки, является критичным видом деятельности.

      65. Банк определяет ресурсы, необходимые для поддержания критичных видов деятельности, которые включают, но не ограничиваются следующим:

      1) персонал.

      При определении персонала, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

      необходимое количество работников;

      необходимые навыки и компетенции;

      2) помещения.

      При определении помещений, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

      основные и альтернативные площадки;

      помещения, требующие повышенной защиты;

      3) технологии.

      При определении технологий, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

      информационно-технологические услуги, поддерживающие критичные виды деятельности;

      телекоммуникационные услуги, поддерживающие критичные виды деятельности;

      прочие технологии, поддерживающие критичные виды деятельности, в том числе охрана периметра, технологии инкассации;

      4) информация.

      При определении информации, как ресурса, необходимого для поддержания критичных видов деятельности банк определяет:

      информацию, необходимую для выполнения критичных видов деятельности, включая внутренние документы банка;

      объем информации, требующей восстановления (целевая точка восстановления);

      методы хранения, защиты и восстановления информации;

      5) поставщики, внешние услуги и снабжение.

      Банк определяет поставщиков, внешние услуги и снабжение, от которых зависит выполнение критичных видов деятельности;

      6) финансовые ресурсы.

      Банк определяет объем финансовых ресурсов, потенциально доступный для исполнения плана (планов) обеспечения непрерывности и восстановления деятельности банка в случае возникновения непредвиденных обстоятельств.

      66. Банк осуществляет анализ рисков непредвиденных обстоятельств, который позволяет оценить угрозы и уязвимость в критичных видах деятельности и используемых ими ресурсах. В качестве угроз, которые оказывают негативное воздействие на ресурсы, банк рассматривает, но, не ограничиваясь, следующее:

      1) недоступность работников;

      2) недоступность технологий, в том числе информационных и коммуникационных технологий (компьютерные вирусы, отказ компьютерных аппаратных средств, потеря связи);

      3) недоступность снабжения (воды, электричества);

      4) отсутствие доступа к зданиям (помещениям);

      5) недоступность ключевых поставщиков, контрагентов;

      6) недоступность ключевой информации;

      7) недоступность финансовых ресурсов.

      67. Банк определяет меры управления рисками непредвиденных обстоятельств, которые охватывают (но, не ограничиваясь) следующие ключевые ресурсы:

      1) персонал;

      2) помещения;

      3) технологии;

      4) информацию;

      5) поставщиков, контрагентов и каналы снабжения.

      При выборе мер управления рисками непредвиденных обстоятельств банк учитывает результаты анализа влияния на деятельность банка и определяет, в том числе внутренний порядок взаимодействия с внешними поставщиками, участвующими в восстановительных работах, с внешними контрагентами (вкладчиками, кредиторами), акционерами банка, с уполномоченным органом и иными органами власти, а также со средствами массовой информации и другими заинтересованными сторонами.

      При выборе мер управления рисками непредвиденных обстоятельств банк учитывает, но не ограничивается следующими факторами:

      максимально приемлемый период простоя критичного вида деятельности;

      затраты на реализацию плана (планов) обеспечения непрерывности и восстановления деятельности;

      последствия непринятия мер;

      реалистичность рисков и величину потерь от их реализации;

      согласованность с установленными целями системы управления непрерывностью деятельности;

      согласованность с политикой и процедурами по управлению непрерывностью деятельности банка.

      Банк определяет меры по поддержанию ключевых знаний и компетенций для обеспечения непрерывности своей деятельности. Меры включают, но, не ограничиваясь, следующее:

      регламентирование внутреннего порядка осуществления критичных видов деятельности;

      ведение списка дополнительных компетенций персонала, не использующихся в повседневной деятельности, для перераспределения функций в условиях нехватки работников;

      обучение персонала профессиональным навыкам, включая проведение кросс-функциональных тренингов.

      Банк определяет меры по снижению влияния на предоставление критичных продуктов и услуг в связи с отсутствием основных помещений. Эти меры включают, но, не ограничиваясь, следующее:

      предоставление альтернативных помещений;

      перевод персонала в другие помещения банка;

      использование рабочих мест работников, выполняющих некритичную работу;

      работа на дому или в удаленных помещениях.

      При выборе альтернативного помещения банк учитывает, но, не ограничиваясь, следующие особенности:

      защищенность помещения;

      доступ к помещению;

      близость от основного помещения;

      наличие необходимых коммуникаций.

      Банк определяет меры по поддержанию работоспособности информационно-технологических и коммуникационных услуг, необходимых для обеспечения непрерывности деятельности.

      Банк определяет меры по обеспечению целостности, доступности и конфиденциальности информации, необходимой для обеспечения непрерывности деятельности в случае критичного события.

      Банк определяет перечень используемых ресурсов (включая материальное снабжение, финансовые ресурсы) и мероприятия по обеспечению их наличия, в том числе от внешних поставщиков и контрагентов и иных заинтересованных лиц в случае критичного события, который включает:

      хранение дополнительных ресурсов, в том числе технологического и телекоммуникационного оборудования, в складских помещениях;

      соглашения с поставщиком о срочной доставке (замене) ресурсов на складе;

      наличие альтернативных поставщиков ресурсов.

      68. Банк обеспечивает разработку и наличие плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности. План (планы) по обеспечению непрерывности и (или) восстановлению деятельности отвечает (отвечают) следующим принципам:

      1) понятен ответственным лицам;

      2) доступен для использования ответственными лицами;

      3) имеет цели и область применения, соответствующие политике управления непрерывностью деятельности, включая:

      список критичных видов деятельности банка, а также максимальное допустимое время простоя, в том числе требующих восстановления;

      целевое время восстановления критичных видов деятельности, в том числе для информационных технологий и телекоммуникаций;

      меры по минимизации риска потери репутации;

      4) согласовывается с действиями внешних организаций;

      5) содержит описание функций и ответственности персонала, участвующего в обеспечении непрерывности и восстановления деятельности;

      6) имеет схему активации, в том числе:

      процедуру принятия решения об активации, включая список работников, ответственных за подтверждение активации и условия, при которых требуется активация плана;

      список работников, информируемых об активации плана;

      7) содержит схему аварийных внешних и внутренних коммуникаций, уделяя внимание:

      коммуникациям внутри команды работников, участвующих в восстановлении и аварийном предоставлении критичных продуктов и услуг;

      коммуникациям с внешними организациями, участвующими в обеспечении непрерывности деятельности;

      коммуникациям с уполномоченным органом;

      коммуникациям со средствами массой информации и клиентами;

      коммуникациям с контрагентами и прочими заинтересованными сторонами в ходе восстановительных работ;

      методам коммуникации;

      8) содержит требования к минимальному объему ресурсов и поставщиков, необходимых в различные моменты времени для восстановления и аварийного предоставления критичных видов деятельности;

      9) содержит последовательность действий по восстановлению и непрерывному предоставлению критичных видов деятельности, в том числе:

      схему вовлечения сторонних организаций в процесс восстановления;

      схему вовлечения контрагентов и заинтересованных лиц банка в процесс восстановления деятельности банка;

      последовательность и места восстановления критичных видов деятельности банка;

      сроки и места восстановления критичных информационно-технологических услуг, а также последовательность действий по их восстановлению, в том числе восстановление сетевой инфраструктуры в новом здании, восстановление базовой функциональности, приложений и баз данных, синхронизации, резервного копирования, телекоммуникаций;

      сроки и места мобилизации необходимых ресурсов;

      10) содержит всю необходимую детализацию, в том числе расположение резервных помещений, маршруты следования, контакты уполномоченного органа и иных органов власти, организаций, участвующих в восстановлении деятельности банка, а также способы связи с ними;

      11) содержит метод документирования ключевой информации о ходе работ, принятых решениях и принятых мерах;

      12) имеет схему:

      отмены аварийного режима работы, включая критерии, позволяющие принять решение о завершении работы в аварийном режиме;

      перехода к режиму повседневного функционирования;

      восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств;

      13) имеет единственного владельца плана, ответственного за поддержание и пересмотр.

      69. Банк тестирует план (планы) по обеспечению непрерывности и (или) восстановлению деятельности, в целях определения того, что:

      1) критичные виды деятельности защищены вне зависимости от серьезности критичного события;

      2) данные планы обеспечивают деятельность банка в условиях непредвиденных обстоятельств и переход в режим повседневного функционирования.

      70. Банк:

      1) осуществляет тестирование и в случае значительных изменений в деятельности банка;

      2) осуществляет тестирование, как отдельных элементов системы управления непрерывностью деятельности, так и в совокупности, в целях проверки надежности системы в целом;

      3) осуществляет планирование тестирования таким образом, чтобы минимизировать влияние критичных событий, которые возникают в ходе проведения испытаний;

      4) определяет цели и задачи каждого тестирования;

      5) определяет группу наблюдателей (контролеров тестирования) из числа работников банка, ответственных за разработку плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности, работников, осуществляющих внутренний контроль, и в случае необходимости, независимых специалистов из организаций, специализирующихся на оказании консультационных услуг в сфере обеспечения непрерывности деятельности и информационной безопасности банка. Группа наблюдателей (контролеров тестирования) осуществляет:

      контроль выполнения каждого теста;

      оценку результатов тестирования;

      составление протокола о проведении тестов, его результатах и отзывах, включая необходимые корректирующие действия;

      согласование протокола с руководителями подразделений банка, задействованных в тестировании плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности;

      6) составляет и согласовывает отчет по итогам проведения тестирования на основании согласованного протокола проверки, который в том числе включает анализ результатов тестирования, предложения по устранению выявленных недостатков и совершенствованию планов и других элементов системы управления непрерывностью деятельности банка.

      Отчет по итогам проведения тестирования с предложениями при необходимости по совершенствованию плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности направляется комитету по вопросам управления рисками для рассмотрения и совету директоров банка – для утверждения.

      71. Совет директоров банка обеспечивает наличие системы управленческой информации, включающей, но не ограничивающейся информацией о статусе внедрения процедур и процессов по управлению непрерывностью деятельности, выявленных фактах нарушений внутренних процедур и политик, происшествиях, результатах проверок и планов по повышению устойчивости банка и способности восстанавливать определенные операции.

Глава 8. Управление рисками информационных технологий

      72. Совет директоров банка обеспечивает наличие системы управления рисками информационных технологий, которая соответствует внешней операционной среде, стратегии, организационной структуре, объему активов, характеру и уровню сложности операций банка и обеспечивает минимизацию рисков информационных технологий.

      73. Система управления рисками информационных технологий включает, но, не ограничиваясь, следующее:

      1) политику управления рисками информационных технологий;

      2) процедуры управления рисками информационных технологий;

      3) систему управленческой информации;

      4) оценку эффективности системы управления рисками информационных технологий подразделением внутреннего аудита.

      74. Банк определяет следующих участников системы управления рисками информационных технологий (но, не ограничиваясь ими):

      1) подразделение по управлению рисками банка;

      2) подразделение по информационным технологиям.

      75. Банк создает структурное подразделение по управлению рисками, в функции которого входит управление рисками информационных технологий, включая:

      1) разработка, внедрение и развитие системы управления рисками информационных технологий;

      2) участие в разработке и согласовании планов мероприятий по реализации стратегии банка в части обеспечения доступности информационно-коммуникационных технологий;

      3) участие в оценке рисков информационных технологий;

      4) мониторинг уровня рисков информационных технологий;

      5) взаимодействие и консультирование структурных подразделений банка по вопросам управления рисками информационных технологий;

      6) планирование проведения и анализ результатов оценки рисков информационных технологий, проводимой подразделением информационных технологий;

      7) разработка и формирование реестра рисков, включающего риски информационных технологий;

      8) предоставление отчетности о реализации существенных рисков информационных технологий и мониторинг исполнения мероприятий по устранению их последствий комитету по управлению рисками;

      9) предоставление отчетности или иной информации по управлению рисками информационных технологий совету директоров;

      10) использование результатов внутреннего аудита в части рисков информационных технологий.

      76. Банк создает структурное подразделение по информационным технологиям, в функции которого входит:

      1) проведение оценки рисков информационных технологий;

      2) разработка мер по обработке рисков информационных технологий и предоставление отчетности по их реализации в подразделение по управлению рисками;

      3) подготовка и предоставление отчетности о реализации существенных рисков информационных технологий в подразделение рисков банка, а также об устранении их последствий;

      4) разработка планов мероприятий по реализации стратегии банка в части обеспечения доступности информационно-коммуникационных технологий для критичных бизнес-процессов.

      Банк обеспечивает независимость структурного подразделения по управлению рисками от структурного подразделения по информационным технологиям.

      77. Подразделение по управлению рисками разрабатывает внутренний документ, определяющий порядок управления рисками информационных технологий, который включает, но, не ограничиваясь, следующее:

      1) процедуры идентификации рисков информационных технологий;

      2) процедуры определения внутренних и (или) внешних факторов, влияющих на реализацию каждого из рисков информационных технологий;

      3) процедуры оценки вероятности и последствий всех выявленных рисков информационных технологий, применяя качественные и (или) количественные методы оценки, в том числе на основании данных об их реализации;

      4) процедуры сбора и хранения сведений о реализации существенных рисков информационных технологий;

      5) процедуры формирования реестра рисков, включающего риски информационных технологий;

      6) процедуры разработки мер обработки рисков информационных технологий;

      7) процедуры мониторинга исполнения мер по обработке рисков информационных технологий.

      78. Подразделение по информационным технологиям разрабатывает план мероприятий по реализации стратегии банка в части обеспечения доступности информационно-коммуникационных технологий для критичных бизнес-процессов, который раскрывает, но, не ограничиваясь, следующее:

      1) определение потребностей в ресурсах, в том числе определение бюджета, связанного с развитием информационно-коммуникационных технологий;

      2) описание требуемых мероприятий в области информационно-коммуникационных технологий с указанием сроков и ответственных за их реализацию.

      Банк обеспечивает наличие системы управленческой информации, включающей, но, не ограничиваясь, установление внутреннего порядка, определяющего критерии, состав и частоту отчетности по управлению рисками информационных технологий банка, ответственных лиц (подразделений) за подготовку и доведение информации до соответствующих получателей.

Глава 9. Управление рисками информационной безопасности

      79. Совет директоров банка обеспечивает наличие системы управления рисками информационной безопасности, которая соответствует внешней операционной среде, стратегии банка, организационной структуре, объему активов, характеру и уровню сложности операций банка и направлена на минимизацию рисков информационной безопасности.

      80. Система управления рисками информационной безопасности включает, но, не ограничиваясь, следующее:

      1) политику управления рисками информационной безопасности;

      2) процедуры управления рисками информационной безопасности;

      3) систему управленческой информации;

      4) оценку эффективности системы управления рисками информационной безопасности подразделением внутреннего аудита.

      81. Банк определяет следующих участников системы управления рисками информационной безопасности (но, не ограничиваясь ими):

      1) подразделение по управлению рисками банка;

      2) подразделение по информационной безопасности;

      3) подразделение по информационным технологиям;

      4) подразделения-владельцы защищаемой информации.

      82. Банк создает структурное подразделение по управлению рисками, в функции которого входит управление рисками информационной безопасности:

      1) разработка, внедрение и развитие системы управления рисками информационной безопасности;

      2) участие в разработке и согласовании планов мероприятий по реализации стратегии банка в части обеспечения информационной безопасности;

      3) создание и руководство рабочей группой по формированию перечня критичных информационных активов банка, включающей как минимум подразделения-владельцев защищаемой информации;

      4) участие в оценке рисков информационной безопасности;

      5) мониторинг уровня рисков информационной безопасности;

      6) взаимодействие и консультирование структурных подразделений банка по вопросам управления рисками информационной безопасности;

      7) планирование проведения и анализ результатов оценки рисков информационной безопасности, проводимых подразделением по информационной безопасности;

      8) разработка и формирование реестра рисков, включающего риски информационной безопасности;

      9) предоставление отчетности о реализации существенных рисков информационной безопасности и мониторинг исполнения мероприятий по устранению их последствий комитету по управлению рисками;

      10) предоставление отчетности или иной информации по управлению рисками информационной безопасности совету директоров банка;

      11) использование результатов внутреннего аудита в части рисков информационной безопасности.

      83. Банк создает структурное подразделение по информационной безопасности, в функции которого входит:

      1) проведение оценки рисков информационной безопасности;

      2) разработка мер по обработке рисков информационной безопасности и предоставление отчетности по их реализации в подразделение по управлению рисками;

      3) подготовка и предоставление отчетности о реализации существенных рисков информационной безопасности в подразделение рисков банка, а также об устранении их последствий;

      4) разработка планов мероприятий по реализации стратегии банка в части обеспечения информационной безопасности.

      Банк обеспечивает независимость структурного подразделения по управлению рисками от структурного подразделения по информационной безопасности.

      84. Подразделение по управлению рисками разрабатывает внутренний документ, определяющий порядок управления рисками информационной безопасности, который включает, но, не ограничиваясь, следующее:

      1) процедуры идентификации и классификации информационных активов, с целью выявления критичных информационных активов;

      2) процедуры идентификации уязвимостей критичных информационных активов;

      3) процедуры идентификации потенциальных угроз в отношении критичных информационных активов;

      4) процедуры идентификации существующих мер управления рисками информационной безопасности;

      5) процедуры оценки вероятности и последствий нарушения конфиденциальности, целостности и доступности информационных активов, применяя качественные и (или) количественные методы оценки, в том числе на основании данных об их реализации;

      6) процедуры сбора и хранения сведений о реализации существенных рисков информационной безопасности;

      7) процедуры формирования реестра рисков, включающего риски информационной безопасности;

      8) процедуры мониторинга исполнения мер по обработке рисков информационной безопасности.

      85. Подразделение по информационной безопасности разрабатывает план мероприятий по реализации стратегии банка в части обеспечения информационной безопасности, который раскрывает, но, не ограничиваясь, следующее:

      1) определение потребностей в ресурсах, в том числе определение бюджета, связанного с реализацией мер, направленных на управление рисками информационной безопасности;

      2) описание требуемых мероприятий в области информационной безопасности с указанием сроков и ответственных исполнителей за их реализацию.

      86. Подразделения-владельцы защищаемой информации, в рамках управления рисками информационной безопасности осуществляют:

      1) предоставление описания защищаемой информации в подразделение по управлению рисками;

      2) формирование перечня критичных информационных активов банка в составе рабочей группы по формированию перечня критичных информационных активов банка под руководством подразделения по управлению рисками.

      87. Банк обеспечивает наличие системы управленческой информации, включающей, но не ограничивающейся установлением внутреннего порядка, определяющего критерии, состав и частоту отчетности по управлению рисками информационной безопасности банка, ответственных лиц (подразделений) за подготовку и доведение информации до соответствующих получателей.

Глава 10. Управление комплаенс-риском

      88. Совет директоров банка контролирует процедуру управления комплаенс-риском банка, создает подразделение по комплаенс-контролю в банке, назначает и освобождает от должности главного комплаенс-контролера, утверждает политику управления комплаенс-риском.

      Подразделение по комплаенс-контролю организует процедуры для соблюдения требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, законодательства иностранных государств, оказывающих влияние на деятельность банка, а также внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке, и предоставляет полную и достоверную информацию совету директоров о наличии комплаенс-риска.

      Комитет по вопросам управления рисками отвечает за разработку политики управления комплаенс-риском, подлежащей утверждению советом директоров и содержащей основные принципы управления комплаенс-риском, в том числе принципы создания комплаенс-культуры в банке, на основании которых выявляются и управляется комплаенс-риск на всех уровнях структуры банка.

      89. Подразделение по комплаенс-контролю является ответственным за разработку политики управления комплаенс-риском, обеспечение управления комплаенс-риском и координацию деятельности банка по управлению комплаенс-риском. Политика управления комплаенс-риском филиала банка-нерезидента Республики Казахстан разрабатывается подразделением по комплаенс-контролю банка-нерезидента Республики Казахстан, филиал которого открыт на территории Республики Казахстан.

      Подразделение по комплаенс-контролю является структурным подразделением банка, независимым от какой-либо деятельности структурных подразделений банка, составляющих первую линию защиты.

      Независимость подразделения по комплаенс-контролю обеспечивается следующими факторами:

      подразделение по комплаенс-контролю имеет статус самостоятельного структурного подразделения;

      работники подразделения по комплаенс-контролю не занимают должности по совместительству в иных структурных подразделениях банка;

      руководитель и работники подразделения по комплаенс-контролю не оказываются в ситуации, когда возможен конфликт интересов между их обязанностями по управлению комплаенс-риском и любыми другими возложенными на них обязанностями;

      работники подразделения по комплаенс-контролю в рамках своей компетенции имеют доступ и при необходимости требуют любую информацию у структурных подразделений банка, дочерних организаций банка, а также привлекают работников банка и его дочерних организаций для содействия выполнению функции комплаенс-контроля.

      Сноска. Пункт 89 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 24.02.2021 № 43 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      90. Подразделение по комплаенс-контролю осуществляет, но, не ограничиваясь, следующие функции:

      1) разработку внутреннего порядка, способов и процедур выявления, измерения, мониторинга и контроля за комплаенс-риском банка на консолидированной основе;

      2) разработку, внедрение и обеспечение наличия правил внутреннего контроля для целей противодействия ОД/ФТ;

      3) формирование комплаенс-программы (плана), которая включает в том числе:

      проверку соблюдения подразделениями банка политики управления комплаенс-риском с учетом требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах;

      проверку соблюдения банком требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, регламентирующего вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка в целях определения степени подверженности банка комплаенс-риску;

      обучение персонала по вопросам управления комплаенс-риском;

      4) содействие правлению банка в управлении комплаенс-риском банка;

      5) консультирование руководства и работников банка о нормах гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, правилах, политиках, имеющих отношение к управлению комплаенс-риском, включая информирование об изменениях, за исключением случаев, когда такую функцию выполняет юридическое подразделение банка;

      6) контроль организации в банке работы по ознакомлению работников банка с требованиями внутренних документов банка, регламентирующих порядок оказания банком услуг и проведения операций на финансовом рынке;

      7) координацию деятельности дочерних организаций банка по вопросам управления комплаенс-риском, в том числе риском ОД/ФТ;

      8) обязательное участие в процессе внедрения новых банковских продуктов и услуг;

      9) обеспечение организации в банке мероприятий по выявлению, оценке и контролю конфликтов интересов;

      10) разработку самостоятельно или совместно со структурными подразделениями и должностными лицами банка рекомендаций по устранению выявленных нарушений и недостатков в работе банка, связанных с управлением комплаенс-риском и представление соответствующей информации совету директоров банка;

      11) разработку и ведение системы отчетности по комплаенс-риску и предоставление на периодической основе информации по вопросам управления комплаенс-риском банка совету директоров банка;

      12) разработку внутреннего порядка взаимодействия и координации работы управлению комплаенс-риском со структурными подразделениями банка, в том числе с подразделением внутреннего аудита;

      13) координацию работы по сбору количественных и качественных показателей для оценки риска вовлеченности банка рискам ОД/ФТ и передачу информации в уполномоченный орган ежегодно не позднее 5 февраля года, следующего за отчетным годом.

      Отдельные функции управления комплаенс-риском в соответствии с внутренними документами банка делегируются при необходимости иным структурным подразделениям банка, при условии отсутствия конфликта интересов.

      Положения подпунктов 1) и 8) настоящего пункта не распространяются на филиал банка-нерезидента Республики Казахстан.

      Сноска. Пункт 90 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 14.03.2022 № 21 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      91. Независимость главного комплаенс-контролера определяется:

      1) вне зависимости от подчинения, главный комплаенс-контролер назначается и освобождается от должности советом директоров банка;

      2) имеет беспрепятственный доступ к совету директоров банка, без участия правления банка;

      3) имеет доступ к любой информации, необходимой для выполнения им своих обязанностей;

      4) не совмещает должность главного операционного директора, финансового директора, другие аналогичные функции операционной деятельности банка, руководителя подразделения внутреннего аудита.

      Допускается совмещение функции главного комплаенс-контролера и руководителя подразделения по комплаенс-контролю.

      Взаимодействие между главным комплаенс-контролером и советом директоров и (или) комитетом по вопросам управления рисками осуществляется на регулярной основе.

      Информация о назначении и освобождении главного комплаенс-контролера от должности доводится до сведения уполномоченного органа.

      По запросу уполномоченного органа совет директоров банка предоставляет обоснование причины принятия такого решения.

      92. Банк выявляет, измеряет, осуществляет мониторинг и контроль за комплаенс-риском и разрабатывает процедуры управления комплаенс-риском, которые включают, но, не ограничиваясь, следующее:

      1) разработку внутренних руководств (инструкций) для работников банка по вопросам управления комплаенс-риском, в том числе риском ОД/ФТ, посредством подготовки внутренних документов;

      2) мониторинг соблюдения банком и его работниками политик и процедур управления комплаенс-риском;

      3) сбор данных о событиях комплаенс-риска;

      4) анализ жалоб (заявлений) клиентов на наличие комплаенс-риска;

      5) разработку и анализ количественных и качественных показателей, характеризующих степень подверженности банка комплаенс-риску;

      6) проведение расследований (проверок) самостоятельно или совместно со структурными подразделениями и (или) должностными лицами банка фактов нарушения работниками банка законодательства Республики Казахстан, регламентирующего вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательства иностранных государств, оказывающего влияние на деятельность банка, согласно порядку, определенному внутренним документом банка;

      7) предоставление консультаций по запросам относительно соответствия конкретной операции (сделки) банка или ее части законодательству Республики Казахстан, регламентирующему вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательству иностранных государств, оказывающему влияние на деятельность банка.

      93. При разработке процедур выявления, измерения мониторинга и контроля за комплаенс-риском банк учитывает, но, не ограничиваясь, следующими факторами:

      1) объем активов, характер и сложность бизнеса банка;

      2) доступность данных для использования в качестве исходной информации;

      3) состояние информационных систем и их возможности;

      4) квалификацию и опыт персонала, вовлеченного в процесс управления комплаенс-риском.

      94. Банк обеспечивает наличие системы управления комплаенс-риском, которая учитывает:

      1) стратегию банка и виды деятельности;

      2) объем активов, характер и сложность бизнеса банка;

      3) сложность организационной структуры банка;

      4) уровень и виды рисков, присущих деятельности банка;

      5) эффективность примененных банком в прошлом процедур управления комплаенс-риском;

      6) потенциальные внутренние организационные изменения и (или) изменения рыночных условий;

      7) законодательство Республики Казахстан, регламентирующее вопросы оказания банком услуг и проведения операций на финансовом рынке, а также законодательство иностранных государств, оказывающее влияние на деятельность банка.

      95. Система управления комплаенс-риском включает, но, не ограничиваясь, следующее:

      1) политику и процедуры управления комплаенс-риском;

      2) политику и процедуры управления риском ОД/ФТ, в том числе включающую программу принятия и обслуживания клиентов (customer acceptance policy). Банк при разработке и реализации процедур принятия решения о приеме клиента на обслуживание учитывает присущие факторы риска;

      3) оценку эффективности системы управления комплаенс-риском подразделением внутреннего аудита.

      Система управления комплаенс-риском основывается на 3 (трех) линиях защиты:

      работники банка;

      подразделение по комплаенс-контролю;

      подразделение внутреннего аудита.

      96. Политика и процедуры управления комплаенс-риском включают, но, не ограничиваясь, следующее:

      1) цели и задачи управления комплаенс-риском;

      2) принципы управления комплаенс-риском, в том числе принципы создания комплаенс-культуры в банке (культуры соблюдения банком и его работниками требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, законодательства иностранных государств, оказывающих влияние на деятельность банка и внутренних документов банка, регламентирующих процедуры оказания банком услуг и проведения операций на финансовом рынке);

      3) внутренний порядок, способы и процедуры управления комплаенс-риском, в том числе основанных на риск-ориентированном подходе;

      4) внутренний порядок, способы и процедуры управления рисками преднамеренного или непреднамеренного вовлечения банка и (или) его дочерних организаций в процессы ОД/ФТ, или иную преступную деятельность (риск ОД/ФТ);

      5) участников системы управления комплаенс-риском на основе 3 (трех) линий защиты, их полномочия, ответственность с четким определением структуры подотчетности;

      6) полномочия и ответственность главного комплаенс-контролера, руководителя подразделения по комплаенс-контролю;

      7) требования к профессиональным качествам работников подразделения по комплаенс-контролю;

      8) процедуры контроля и координации деятельности дочерних организаций банка по вопросам управления комплаенс-риском;

      9) внутренний порядок взаимодействия и обмена информацией между участниками системы управления комплаенс-риском.

      97. Политика и процедуры управления риском ОД/ФТ включают, но, не ограничиваясь, следующее:

      1) разработку и исполнение внутренних документов, регламентирующих порядок управления риском ОД/ФТ, осуществления финансового мониторинга и внутреннего контроля в целях противодействия ОД/ФТ;

      2) методику оценки рисков ОД/ФТ в соответствии с правилами банка по внутреннему контролю для целей противодействия ОД/ФТ;

      3) внутренний порядок организации управления рисками банка в разрезе его структурных подразделений и (или) работников в части ОД/ФТ;

      4) наличие программы принятия и обслуживания клиентов (customer acceptance policy);

      5) банк при разработке и реализации процедур принятия решения о приеме клиента на обслуживание учитывает факторы риска, в том числе выявленные и размещенные на интернет-ресурсе уполномоченного органа.

      Внутренние процедуры и порядок отказа от установления и прекращения деловых отношений с клиентом разрабатываются с учетом факторов риска, размещенных на интернет-ресурсе уполномоченного органа. Информация о фактах отказа в установлении и прекращения деловых отношений направляется в уполномоченный орган ежеквартально, не позднее 5 (пятого) числа месяца следующего за отчетным кварталом;

      6) наличие автоматизированной информационной системы и процедур, которые позволяют выявлять операции, подлежащие финансовому мониторингу, а также позволяют своевременно направлять соответствующие сведения и информацию в уполномоченный орган по финансовому мониторингу.

      Сноска. Пункт 97 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 14.03.2022 № 21 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 11. Внутренний контроль

      98. Банк обеспечивает наличие системы внутреннего контроля, которая соответствует текущей рыночной ситуации, стратегии, объему активов, уровню сложности операций банка. Внутренний контроль – процесс, встроенный в повседневную деятельность, осуществляемую уполномоченными коллегиальными органами банка, структурными подразделениями и всеми работниками банка при исполнении своих обязанностей, и направленный на выполнение следующих целей:

      1) обеспечение эффективности деятельности банка, включая эффективность управления банковскими рисками, активами и пассивами, обеспечение сохранности активов;

      2) обеспечение полноты, достоверности и своевременности финансовой, регуляторной и другой отчетности для внутренних и внешних пользователей, а также информационной безопасности;

      3) обеспечение соблюдения банком требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, внутренних документов банка;

      4) недопущение вовлечения банка и его работников, клиентов банка в осуществление противоправной деятельности, в том числе мошенничества, обмана, ОД/ФТ, незаконного производства, оборота и (или) транзита наркотиков, в осуществление операций на территории Республики Казахстан, связанных с проведением операций, имеющих высокий риск ОД/ФТ, в осуществление операций на территории Республики Казахстан, связанных с дальнейшим приобретением необеспеченных цифровых активов на биржах цифровых активов, не являющихся участниками Международного финансового центра "Астана", оказывающими услуги по управлению платформой цифровых активов, в осуществление платежей и (или) переводов денег в пользу электронного казино и интернет-казино, а также в осуществление платежей и (или) переводов денег физическими лицами, не достигшими возраста двадцати одного года, в пользу организатора игорного бизнеса.

      В отношении клиентов банка, являющихся держателями десяти и более платежных карточек, выпущенных данным банком, и (или) резидентами стран с высоким риском ОД/ФТ на основе фактора незаконного производства, оборота и (или) транзита наркотиков, а также в случае наличия подозрений о том, что деловые отношения используются клиентом в целях незаконного производства, оборота и (или) транзита наркотиков, банк осуществляет оценку риска ОД/ФТ. В случае присвоения таким клиентам высокого уровня риска ОД/ФТ банк применяет усиленные меры надлежащей проверки таких клиентов и отвечает за:

      обеспечение проведения проверки источника происхождения средств клиентов банка;

      принятие мер, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, при выявлении подозрительных операций;

      осуществление мониторинга и изучение операций с деньгами клиентов банка;

      принятие мер в отношении нерезидентов Республики Казахстан по установлению цели и характера деловых отношений путем затребования документов, подтверждающих обоснованность нахождения в Республике Казахстан (трудового договора, договора обучения, вида на жительство иностранца в Республике Казахстан и других документов);

      обновление сведений о клиенте (его представителе) в соответствии с требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

      направление информации в уполномоченный орган по финансовому мониторингу по клиентам банка, являющимся держателями десяти и более платежных карточек, выпущенных данным банком;

      прекращение деловых отношений с клиентами банка в случаях, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

      В отношении участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, банк осуществляет оценку риска ОД/ФТ. При присвоении участнику Международного финансового центра "Астана", оказывающему услуги по управлению платформой цифровых активов, высокого уровня риска ОД/ФТ банк применяет усиленные меры надлежащей проверки клиентов, а также при проведении банковских операций отвечает за:

      проведение оценки степени подверженности услуг (продуктов), предоставляемых участнику Международного финансового центра "Астана", оказывающему услуги по управлению платформой цифровых активов, рискам ОД/ФТ;

      проведение процедур по надлежащей проверке при установлении деловых отношений, которые включают помимо мер по надлежащей проверке, предусмотренных для клиентов, дополнительно меры по получению и фиксированию сведений о репутации и характере деятельности участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, применении в отношении него мер со стороны Комитета Международного финансового центра "Астана" по регулированию финансовых услуг;

      прекращение деловых отношений с участником Международного финансового центра "Астана", оказывающим услуги по управлению платформой цифровых активов, в случаях, выявления банком фактов использования участником Международного финансового центра "Астана", оказывающим услуги по управлению платформой цифровых активов, счетов, находящихся в банке-ширме;

      отказ в установлении или прекращение деловых отношений с участником Международного финансового центра "Астана", оказывающим услуги по управлению платформой цифровых активов, учредители которого зарегистрированы на территории иностранного государства:

      включенного в перечень государств (территорий), не выполняющих либо недостаточно выполняющих рекомендации Группы разработки финансовых мер борьбы с отмыванием денег (ФAТФ), составляемый уполномоченным органом по финансовому мониторингу;

      в отношении которого применяются международные санкции в соответствии с резолюциями Совета Безопасности Организации Объединенных Наций;

      включенного в перечень офшорных зон в соответствии с постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 24 февраля 2020 года № 8 "Об установлении Перечня офшорных зон для целей банковской и страховой деятельности, деятельности профессиональных участников рынка ценных бумаг и иных лицензируемых видов деятельности на рынке ценных бумаг, деятельности акционерных инвестиционных фондов и деятельности организаций, осуществляющих микрофинансовую деятельность", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 20095;

      определенного банком в качестве представляющего высокий риск ОД/ФТ на основе других факторов (сведений об уровне коррупции, незаконного производства, оборота и (или) транзита наркотиков, сведений о поддержке международного терроризма и другое).

      осуществление мониторинга и изучение операций с деньгами участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, а также предотвращение незаконного вывода средств за рубеж, в том числе в офшорные зоны;

      принятие мер, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, при выявлении подозрительных операций с деньгами и (или) иным имуществом (далее – подозрительные операции);

      прекращение деловых отношений с участником Международного финансового центра "Астана", оказывающим услуги по управлению платформой цифровых активов, в случаях, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

      обеспечение проведения проверки источника происхождения средств участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, при пополнении банковского счета;

      обеспечение хранения записи транзакций по операциям с деньгами и предоставление информации в уполномоченный орган по финансовому мониторингу;

      обеспечение хранения не менее пяти лет документов, данных и (или) сведений, полученных и собранных в рамках надлежащей проверки участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов;

      осуществление проверки принадлежности и (или) причастности участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, и его бенефициарного собственника к публичному должностному лицу, его супруге (супругу) и близким родственникам в случаях, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, или финансированию терроризма;

      представление в уполномоченный орган по финансовому мониторингу необходимой информации при выявлении подозрительных операций в сроки, установленные требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, или финансированию терроризма.

      В отношении клиентов банка, осуществляющих операции с участником Международного финансового центра "Астана", оказывающим услуги по управлению платформой цифровых активов, банк при проведении разовых банковских операций в сумме, не превышающей 1 000 (одну тысячу) долларов США в эквиваленте по рыночному курсу обмена валют на дату проведения банковской операции, применяет упрощенные меры надлежащей проверки клиентов, за исключением случаев совершения клиентами подозрительных операций.

      В отношении клиентов банка, осуществляющих операции с участником Международного финансового центра "Астана", оказывающим услуги по управлению платформой цифровых активов, банк при проведении разовых банковских операций в сумме, равной или превышающей 1 000 (одну тысячу) долларов США в эквиваленте по рыночному курсу обмена валют на дату проведения банковской операции, применяет усиленные меры надлежащей проверки клиентов и отвечает за:

      обеспечение проведения проверки источника происхождения средств клиентов банка при осуществлении перевода в пользу участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов;

      принятие мер, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, при выявлении подозрительных операций;

      осуществление мониторинга и изучение операций с деньгами клиентов банка, а также предотвращение незаконного вывода средств за рубеж, в том числе в офшорные зоны;

      прекращение деловых отношений с клиентами банка в случаях, установленных требованиями законодательства Республики Казахстан о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

      При открытии банковского счета для обслуживания операций клиентов участник Международного финансового центра "Астана", оказывающий услуги по управлению платформой цифровых активов, представляет следующие документы:

      лицензия участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, на оказание финансовой услуги по управлению платформой цифровых активов, выданная Комитетом Международного финансового центра "Астана" по регулированию финансовых услуг;

      выписка из реестра, подтверждающая регистрацию в качестве участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов;

      бизнес-план и бизнес-модель участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов;

      политика по противодействию ОД/ФТ участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов;

      приказ о назначении руководителя участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов;

      информация об исполнительном органе участника Международного финансового центра "Астана", оказывающего услуги по управлению платформой цифровых активов, и его руководителе (документ, удостоверяющий его личность, подтверждение данных о месте жительства, рекомендательные письма, сведения об отсутствии неснятой или непогашенной судимости).

      Эффективный внутренний контроль обеспечивается путем формирования надлежащего управленческого контроля и культуры контроля (контрольной среды).

      Управленческий контроль и культура контроля (контрольная среда) характеризуют общее отношение, осведомленность и практические действия совета директоров банка и правления банка, направленные на создание и эффективное функционирование системы внутреннего контроля.

      Сноска. Пункт 98 - в редакции постановления Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2023 № 99 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      99. Управленческий контроль и культура контроля (контрольная среда) формируются советом директоров и правлением банка на основе следования этическим принципам, стандартам профессиональной деятельности и корпоративного управления, что в совокупности с их законодательно установленными обязанностями и ответственностью обеспечивают адекватный контроль со стороны органов управления банка, включая контроль за:

      1) организацией деятельности банка, включая разработку и реализацию стратегии банка, внутренних документов банка;

      2) функционированием системы управления банковскими рисками и оценку банковских рисков;

      3) распределением полномочий при совершении банковских операций и других сделок;

      4) управлением информационными потоками (получение и передача информации) и обеспечение информационной безопасности;

      5) созданием и функционированием системы внутреннего контроля.

      100. Банк обеспечивает наличие и функционирование системы внутреннего контроля банка, которая включает, но не ограничивается следующим:

      1) принципы организации системы внутреннего контроля;

      2) требования к профессиональным качествам работников;

      3) внутренний порядок и процедуры осуществления внутреннего контроля;

      4) определение участников системы внутреннего контроля на основе трех линий защиты, их полномочия, ответственность с четким определением структуры подотчетности;

      5) внутренний порядок взаимодействия и обмена информацией между участниками системы внутреннего контроля по трем линиям защиты;

      6) внутренний порядок внесения изменений во внутренние документы банка в случаях обнаружения недостатков в процессе осуществления внутреннего контроля.

      Система внутреннего контроля банка основывается на следующих принципах:

      участие в процессе внутреннего контроля всех структурных подразделений и работников банка и организации внутреннего контроля как повседневной деятельности на всех уровнях управления;

      охват внутренним контролем всех направлений деятельности и бизнес-процессов и регламентации процедур внутреннего контроля по всем направлениям и бизнес-процессам банка;

      осуществление внутреннего контроля на постоянной основе (непрерывность).

      101. Банк определяет участников системы внутреннего контроля на основе трех линий защиты:

      1) первая линия защиты обеспечивается самими структурными подразделениями банка. Руководители структурных подразделений несут ответственность за организацию и осуществление внутреннего контроля в структурном подразделении;

      2) вторая линия защиты обеспечивается подразделениями по управлению рисками, комплаенс-контролем, юридическим подразделением, подразделением по работе с персоналом, подразделением (лицами), выполняющим (выполняющими) функции финансового контроля и иными структурными подразделениями банка, осуществляющими контрольные функции;

      3) третья линия защиты обеспечивается подразделением внутреннего аудита посредством независимой оценки эффективности системы внутреннего контроля.

      102. Банк разрабатывает процедуры осуществления внутреннего контроля, основанные на следующих взаимосвязанных элементах:

      1) контроль за управлением рисками;

      2) контрольные действия и разделение полномочий;

      3) информация и взаимодействие;

      4) мониторинг и исправление недостатков.

      103. Система внутреннего контроля обеспечивает контроль над своевременным выявлением и оценкой на постоянной основе рисков, присущих банку, и принятием своевременных мер по минимизации существенных рисков в соответствии с внутренними документами банка. Система внутреннего контроля обеспечивает, но не ограничивается следующим:

      1) рассмотрение и учет в ходе оценки рисков внутренних факторов (сложность организационной структуры банка, характер его деятельности, качественные характеристики персонала, организационные изменения, текучесть кадров), а также внешних факторов (изменения экономических условий и ситуации в банковской сфере, технологические новшества), которые негативно сказываются на достижении поставленных банком целей;

      2) осуществление оценки рисков по отдельным направлениям деятельности банка;

      3) проведение банком новых операций и услуг при условии наличия их регламентации во внутренних документах банка;

      4) обеспечение своевременного информирования лиц (подразделений, органов банка), определенных в соответствующих внутренних документах банка, о факторах, влияющих на уровень подверженности банка рискам.

      Система внутреннего контроля подвергается корректировке по мере выявления любых новых или неконтролируемых существенных рисков, в том числе связанных с внедрением новых услуг и продуктов.

      104. Контрольные действия включают, но не ограничиваются следующим:

      1) контроль, осуществляемый советом директоров банка, комитетами совета директоров и правлением банка в целях выявления и устранения недостатков внутреннего контроля, нарушений, ошибок;

      2) контроль, осуществляемый руководителями структурных подразделений;

      3) контроль физического наличия и доступа к материальным ценностям, обеспечения охраны помещений для хранения материальных ценностей;

      4) проверку соблюдения установленных лимитов;

      5) систему согласования и делегирования прав и полномочий;

      6) проверку своевременного и корректного отражения операций и сделок банка в бухгалтерском учете и отчетности;

      7) проверку соблюдения политик и процедур банка при совершении операций и сделок.

      Контрольные действия в рамках разделения обязанностей способствуют минимизации конфликта интересов и условий его возникновения, совершения противоправных действий, а также недопущение предоставления одному и тому же структурному подразделению и (или) работнику возможности:

      совершать банковские операции и другие сделки и одновременно осуществлять их отражение в учете;

      санкционировать выплату денег и осуществлять их фактическую выплату с учетом лимитов, установленных внутренними документами банка;

      проводить операции по счетам клиентов банка и счетам, отражающим собственную финансово-хозяйственную деятельность банка;

      оценивать достоверность и полноту документов, представляемых при выдаче кредита, и осуществлять мониторинг возврата кредита;

      совершать действия в любых других сферах деятельности, в которых возникает конфликт интересов.

      В зависимости от операций банка применяются следующие методы контроля:

      двойной контроль (принцип "четырех глаз" и "совместного доступа").

      Принцип "четырех глаз" требует, чтобы работа одного работника была проверена (одобрена) другим работником с целью вовлечения второго работника в проверку правильности расчета, санкционирования и документирования операции.

      Принцип "совместного доступа" предполагает процедуру, при которой 2 (два) или более работников в одинаковой мере ответственны за физическую защиту ценностей и документов. Ответственность устанавливается соответствующим внутренним документом банка и доводится до сведения всех работников;

      анализ операций.

      Предварительный анализ операции на предмет предупреждения неправильной или несанкционированной операции.

      Последующий анализ после ее совершения с целью вскрытия факта проведения несанкционированной операции.

      Для обеспечения эффективности последующего анализа необходимо, чтобы лицо, осуществляющее последующий анализ было независимо от работников, проводящих эту операцию;

      отчеты о результатах операций для обеспечения руководства банка информацией о показателях работы банка, финансовых условиях и отклонениях от бюджета;

      обучение персонала банка приемам контроля и выявления ошибок;

      обеспечение защиты данных;

      обеспечение защиты от ошибок персонала;

      проверка на наличие ошибок в целях их своевременного обнаружения.

      105. С позиции внутреннего контроля обеспечивается наличие достоверной и подробной информации финансового, операционного характера и сведений о соблюдении установленных требований гражданского, налогового, банковского законодательства Республики Казахстан, законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, законодательства Республики Казахстан о валютном регулировании и валютном контроле, о платежах и платежных системах, о пенсионном обеспечении, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о кредитных бюро и формировании кредитных историй, о коллекторской деятельности, об обязательном гарантировании депозитов, о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, об акционерных обществах, а также поступающей внешней рыночной информации о событиях и условиях, имеющих отношение к принятию решений. Сбор, анализ информации и передача ее по назначению предполагает обеспечение:

      1) совета директоров банка, правления банка и лиц (подразделений, органов банка), определенных в соответствующих внутренних документах, информацией для принятия решений и исполнения своих обязанностей;

      2) наличия информационных потоков, обеспечивающих целостность, безопасность и доступность информации внутри и вне банка;

      3) адекватного контроля за управлением информационными потоками и информационной безопасностью банка.

      Внутренний контроль функционирования информационных систем и технических средств предусматривает контроль информационно-технологических систем, проводимый с целью обеспечения их защищенности, бесперебойной и непрерывной работы.

      С позиции внутреннего контроля обеспечивается обязательный учет всех операций и сделок банка.

      Контроль обеспечения своевременности, достоверности и достаточности финансовой информации банка требует проверки следующего (но, не ограничиваясь ими):

      информационных систем, обеспечивающих ведение бухгалтерского учета в банке на предмет соответствия законодательству Республики Казахстан в области бухгалтерского учета и финансовой отчетности и МСФО;

      наличия в банке внутренних документов по вопросам ведения бухгалтерского учета;

      обеспечения хронологической и своевременной регистрации операций и событий в бухгалтерском учете;

      обеспечения возможности формирования финансовой отчетности по состоянию на конец каждого операционного дня;

      соответствия синтетического (итогового) учета аналитическому (детальному) учету;

      осуществления регулярных проверок бухгалтерских записей работниками, которые не вовлечены в процесс санкционирования или отражения операций в финансовой отчетности;

      осуществления бухгалтерских записей на основании первичных документов и обеспечения надлежащего оформления и сохранности первичных документов.

      106. Мониторинг системы внутреннего контроля банка на постоянной основе осуществляется первой и второй линией защиты, а также правлением банка.

      Существенные недостатки внутреннего контроля доводятся до сведения совета директоров банка.

      Подразделение внутреннего аудита проводит оценку эффективности внутреннего контроля.

      Комитет по вопросам управления рисками осуществляет контроль над функционированием системы внутреннего контроля.

      107. Управленческая отчетность банка по внутреннему контролю включает в себя информацию о существенных нарушениях и недостатках, выявленных в процессе осуществления внутреннего контроля, а также о результатах принятых решений или мер по их устранению.

Глава 12. Внутренний аудит

      108. Банк обеспечивает функционирование внутреннего аудита учитывающего стратегию, организационную структуру, объем активов, характер и уровень сложности операций банка. Подразделение внутреннего аудита имеет четко определенные полномочия, независимо в своей деятельности, подотчетно совету директоров банка. Подразделение внутреннего аудита располагает достаточными ресурсами и полномочиями для выполнения объективно и качественно своих функций и обязанностей.

      Руководитель и работники подразделения внутреннего аудита не занимают иную должность, не являются членами коллегиального органа банка и не совмещают обязанности в банке и (или) дочерних организациях.

      Подразделение внутреннего аудита руководствуется в своей деятельности международными стандартами внутреннего аудита.

      109. Совет директоров банка и комитет по вопросам внутреннего аудита способствуют повышению эффективности работы подразделения внутреннего аудита посредством:

      1) обеспечения неограниченного доступа работников подразделения внутреннего аудита к любым документам, информации и объектам банка, включая доступ к системам, записям и протоколам заседаний коллегиальных органов банка;

      2) установления требований к проведению подразделением внутреннего аудита независимой оценки эффективности системы внутреннего контроля, системы управления рисками, корпоративного управления по всем направлениям деятельности банка;

      3) установления требования к внутренним аудиторам соблюдать кодекс этики и требования банковского законодательства Республики Казахстан, законодательства Республики Казахстан об акционерных обществах;

      4) установления требований для работников подразделения внутреннего аудита по наличию достаточных знаний о банковской деятельности и методах внутреннего аудита, навыков сбора необходимой и достаточной информации, умения проводить анализ и оценку для выполнения своих должностных обязанностей;

      5) установления требований для правления банка своевременно и эффективно реализовывать план мероприятий по устранению нарушений и недостатков, выявленных в результате аудиторской проверки;

      6) требования проводить периодическую оценку эффективности системы управления рисками банка, внутреннего порядка ведения бухгалтерского учета, составления и обеспечения целостности финансовой и регуляторной отчетности, системы управления комплаенс-рисками, системы внутреннего контроля.

      Подразделение внутреннего аудита осуществляет независимую, всестороннюю оценку эффективности систем корпоративного управления, внутреннего контроля, управления рисками.

      Подразделение внутреннего аудита использует риск-ориентированный подход при разработке своих планов и действий, формирует независимое, обоснованное мнение относительно рисков, присущих деятельности банка, проводит соответствующие оценки внутренних процессов.

      110. Эффективная деятельность подразделения внутреннего аудита основана на следующих принципах:

      1) независимость и объективность, которые достигаются посредством следующего:

      проведение аудита в любых подразделениях банка и по любым направлениям деятельности на основе риск-ориентированного подхода;

      отсутствие вовлеченности подразделения внутреннего аудита в разработку, внедрение и применение мер внутреннего контроля;

      отсутствие конфликта интересов в деятельности работников подразделения внутреннего аудита;

      осуществление ротации выполняемых обязанностей между работниками подразделения внутреннего аудита при возможности проведения таковой без ущерба для компетентности и профессионализма работников;

      отсутствие связи между вознаграждением работников подразделения внутреннего аудита и финансовых результатов деятельности структурных подразделений банка. Премиальная часть вознаграждения руководителя и работников подразделения внутреннего аудита устанавливается таким образом, чтобы исключить возникновение конфликта интересов и не ставить под сомнение независимость и объективность подразделения внутреннего аудита;

      предоставление отчетов подразделения внутреннего аудита на рассмотрение совету директоров и комитету по вопросам внутреннего аудита, на ознакомление без права корректировки таких отчетов – правлению банка;

      подотчетность руководителя подразделения внутреннего аудита напрямую совету директоров банка, который назначает на должность, контролирует его деятельность и, при необходимости, принимает решение об освобождении от должности;

      информация о принятии решения об освобождении руководителя подразделения внутреннего аудита от должности доводится до сведения уполномоченного органа. При получении запроса уполномоченного органа, банк предоставляет объяснение причин принятия такого решения;

      2) профессиональная компетентность и профессиональная осмотрительность, которые отвечают следующим характеристикам:

      умение работников подразделения внутреннего аудита собирать и воспринимать информацию, проверять и оценивать выявленные факты и взаимодействовать с работниками подразделения внутреннего аудита;

      ответственность руководителя подразделения внутреннего аудита за комплектацию штата работников, и постоянный контроль и оценка требуемого уровня навыков;

      уровень квалификации и навыков работников подразделения внутреннего аудита и (или) привлекаемых сторонних экспертов, соответствующих требованиям профессиональной компетентности, и способность осуществлять внутренний аудит проверяемых направлений деятельности банка на должном уровне;

      повышение квалификации в целях соответствия изменениям внутренней и внешней среды;

      3) профессиональная этика, которая отвечает следующим принципам:

      добросовестное выполнение должностных обязанностей работниками подразделения внутреннего аудита, их ответственность, порядочность и честность;

      соблюдение конфиденциальности информации, получаемой в ходе выполнения должностных обязанностей;

      исключение возникновения конфликта интересов. Работники подразделения внутреннего аудита, принятые из числа работников банка, не допускаются в течение последующих 12 (двенадцати) месяцев со дня перевода их в подразделение внутреннего аудита к проведению аудита подразделения, в котором они работали;

      работники подразделения внутреннего аудита выполняют требования внутренних документов, банковского законодательства Республики Казахстан, законодательства Республики Казахстан об акционерных обществах.

      111. Банк утверждает положение о подразделении внутреннего аудита в целях обеспечения эффективности деятельности. Положение включает, но не ограничивается следующим:

      1) статус подразделения внутреннего аудита в банке, полномочия, обязанности и внутренний порядок взаимодействия с другими подразделениями банка;

      2) задачи и сферу деятельности подразделения внутреннего аудита;

      3) обязанности подразделения внутреннего аудита информировать совет директоров, правление и иные заинтересованные подразделения банка о результатах проведенной работы;

      4) условия, при которых подразделение внутреннего аудита предоставляет консультации;

      5) ответственность и подотчетность руководителя подразделения внутреннего аудита;

      6) требования руководствоваться международными стандартами внутреннего аудита;

      7) процедуры взаимодействия подразделения внутреннего аудита с внешним аудитором банка;

      8) полномочия подразделения внутреннего аудита в процессе деятельности (в том числе проверка любого подразделения и вида деятельности банка и его дочерних организаций, неограниченный доступ к документам банка, данным, материальным объектам, управленческой отчетности, записям и протоколам всех заседаний и совещаний, принятым решениям).

      112. Сфера деятельности подразделения внутреннего аудита включает оценку:

      1) эффективности системы управления рисками и внутреннего контроля;

      2) эффективности политик и процедур банка;

      3) надежности системы бухгалтерского учета и информации;

      4) достоверности, эффективности и целостности систем управленческой отчетности (включая актуальность, точность, полноту, доступность, конфиденциальность и всесторонний характер данных);

      5) сохранности активов и капитала.

      113. Деятельность подразделения внутреннего аудита надлежащим образом покрывает все вопросы регулирования деятельности банка (на основе риск-ориентированного подхода), в частности:

      1) управление рисками, в том числе:

      оценка организации процесса управления рисками, включая обязанности структурных подразделений;

      оценка соответствия деятельности банка стратегии риск-аппетита и процедурам определения риск-аппетита;

      оценка эффективности внутреннего порядка информирования и распространения вопросов и решений, принятых в рамках управления рисками;

      оценка эффективности систем управления рисками, включая выявление, оценку, мониторинг и контроль, реагирование, отчетность по рискам, возникающим в деятельности банка;

      оценка процесса формирования данных в информационных системах, используемых в рамках управления рискам, на предмет обеспечения точности, достоверности и полноты;

      оценка процесса утверждения и применения моделей оценки рисков, включая проверку последовательности подходов, актуальности, независимости и достоверности источников данных, используемых в этих моделях.

      Если в ходе проведения проверок подразделением внутреннего аудита выявлены существенные факты принятия решений правлением банка при наличии отрицательного заключения подразделения (подразделений) по управлению рисками, такие факты доводятся подразделением внутреннего аудита до совета директоров банка;

      2) система внутреннего контроля, в том числе:

      проверка организации системы внутреннего контроля;

      оценка процессов и процедур внутреннего контроля;

      оценка управленческой информации по внутреннему контролю на достоверность, полноту и своевременность;

      3) достаточность капитала и ликвидности, в том числе:

      оценка эффективности внутренних процессов оценки достаточности капитала и ликвидности, адекватностью соотношения капитала, ликвидности и рисков, принимаемых банком, соблюдением обязательных нормативов;

      оценка процессов стресс-тестирования уровня капитала и ликвидности с учетом периодичности проведения стресс-тестов, задач тестирования, реалистичности сценариев и принимаемых допущений, достоверность процессов;

      4) регуляторная и управленческая отчетность.

      Подразделение внутреннего аудита оценивает эффективность процессов управления рисками и подготовки отчетности для руководства банка и уполномоченного органа;

      5) комплаенс.

      Оценка эффективности процессов и процедур управления комплаенс-риском и риском ОД/ФТ;

      6) деятельность финансового блока:

      оценка процесса формирования исходных финансовых данных на предмет обеспечения их адекватности, точности и полноты, и последующей передачи ключевых данных, в том числе финансовых результатов, оценки финансовых инструментов и снижения их стоимости;

      оценка процесса утверждения и применения моделей ценообразования, включая проверку последовательности подходов, актуальности, независимости и достоверности источников данных, используемых в этих моделях;

      оценка действующих механизмов контроля для предотвращения и выявления нарушений правил осуществления операций;

      оценка процедур банка по измерению и мониторингу банковских позиций по ликвидности, валюте и процентной ставке на предмет соответствия риск-профилю банка, внешней среде и минимальным регуляторным требованиям;

      выборочное тестирование транзакций банка на предмет их соответствия политикам, процедурам в ходе проверки и оценка эффективности мер внутреннего контроля в отношении данных транзакций;

      оценка эффективности процессов ведения бухгалтерского учета, в том числе контрольных процедур.

      114. По результатам аудиторских проверок формируется отчет о результатах внутреннего аудита, который содержит, но не ограничивается следующим:

      1) общую информацию, включая цели, объем, сроки проведения аудиторской проверки, сведения о составе проверяющей группы;

      2) перечень выявленных в ходе проверки нарушений и недостатков с указанием причин, вызвавших нарушения и недостатки, и их влияние на деятельность банка;

      3) рекомендации по устранению выявленных нарушений и недостатков;

      4) список лиц, которым направляется аудиторский отчет.

      Отчет о результатах внутреннего аудита направляется правлению банка на ознакомление, выявленные существенные факты и сделанные выводы направляются на рассмотрение комитета по вопросам аудита и совета директоров банка.

      115. Руководитель подразделения внутреннего аудита отвечает за подготовку ежегодного плана аудиторских проверок на основе риск-ориентированного подхода, который содержит, но не ограничивается следующим:

      1) цели и масштаб аудита;

      2) направления, подлежащие аудиту;

      3) сроки проведения аудита;

      4) необходимые кадровые и иные ресурсы.

      Ежегодный план аудиторских проверок основывается на оценке рисков и при необходимости пересматривается в течение года.

Глава 13. Аутсорсинг

      116. В случае привлечения внешних подрядчиков на аутсорсинг для выполнения отдельных операций и (или) осуществления бизнес-процессов совет директоров банка обеспечивает наличие эффективных принципов и практик управления рисками, возникающими в результате привлечения внешних подрядчиков. Мероприятия по привлечению внешних подрядчиков включают:

      1) процедуры определения того, какие функции передаются на аутсорсинг и каким образом;

      2) процессы осуществления проверки благонадежности финансового состояния компании при выборе потенциальных контрагентов;

      3) надежные принципы заключения контрактов с внешними подрядчиками, учитывающие структуру их собственности, условий конфиденциальности и предусматривающие права на расторжение контрактов;

      4) программы управления и мониторинга рисков, связанных с заключением таких контрактов, учитывающие финансовое положение источника услуг;

      5) создание условий для осуществления эффективного контроля в банке и в организации, оказывающей услуги;

      6) разработку эффективных планов на случай возникновения непредвиденных обстоятельств;

      7) выполнение комплексных контрактов и (или) договоров об оказании услуг с четким распределением обязанностей между организацией, оказывающей услуги и банком.

Глава 14. Управление залоговым обеспечением

      Сноска. Правила дополнены главой 14 в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие с 01.07.2023).

      117. Банк обеспечивает функционирование подразделения залоговой службы, учитывающего стратегию, организационную структуру, объем активов, характер и уровень сложность бизнеса банка. Подразделение залоговой службы имеет четко определенные полномочия. Ресурсы подразделения залоговой службы определяются банком с учетом необходимости выполнения своих функций и обязанностей объективно и качественно.

      Руководитель и работники подразделения залоговой службы не занимают должности в иных структурных подразделениях банка, когда возможен конфликт интересов между их обязанностями по оценке залогов и любыми другими возложенными на них обязанностями.

      Подразделение залоговой службы руководствуется в своей деятельности требованиям законодательства Республики Казахстан, стандартами оценки и (или) международными стандартами оценки.

      118. Внутренние документы банка способствуют повышению эффективности работы подразделения залоговой службы посредством установления:

      1) требований к проведению подразделением залоговой службы внутренней оценки залога в рамках принятия решений о выдаче займа и управления кредитным риском;

      2) требований для работников подразделения залоговой службы по наличию достаточных знаний об оценочной деятельности и методах проведения оценки, навыков сбора необходимой и достаточной информации, умения проводить анализ и оценку для выполнения своих должностных обязанностей;

      3) требований проводить периодическую оценку эффективности залоговой службы.

      119. Эффективная деятельность подразделения залоговой службы основывается на следующих принципах:

      1) отсутствие конфликта интересов в деятельности работников подразделения залоговой службы;

      2) отсутствие связи между вознаграждением работников подразделения залоговой службы и финансовых результатов деятельности иных отдельных структурных подразделений банка. Премиальная часть вознаграждения руководителя и работников подразделения залоговой службы устанавливается таким образом, чтобы исключить возникновение конфликта интересов и не ставить под сомнение объективность деятельности подразделения залоговой службы;

      3) профессиональная компетентность работников подразделения залоговой службы (наличие у руководителя подразделения залоговой службы свидетельства о присвоении квалификации "оценщик", выданного палатой оценщиков, и членства в одной из палат оценщиков в соответствии с Законом Республики Казахстан "Об оценочной деятельности в Республике Казахстан").

      120. Банк утверждает положение о подразделении залоговой службы в целях обеспечения эффективности деятельности. Положение включает, но не ограничиваясь, следующее:

      1) статус подразделения залоговой службы в банке, полномочия, обязанности и внутренний порядок взаимодействия с иными подразделениями банка;

      2) задачи и сферу деятельности подразделения залоговой службы;

      3) ответственность и подотчетность подразделения залоговой службы;

      4) требования о соблюдении национальных стандартов оценки;

      5) требования о ведении статистического журнала стоимости залогового обеспечения.

      Приложение
к Правилам формирования
системы управления рисками
и внутреннего контроля для
банков второго уровня,
филиалов банков–нерезидентов
Республики Казахстан

      Структура отчета по соблюдению внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности

      Сноска. Правила дополнены приложением в соответствии с постановлением Правления Агентства РК по регулированию и развитию финансового рынка от 29.12.2022 № 119 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      Глава 1. Общие основания внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности

      1. Общие основания внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности включают, но не ограничиваясь, следующие разделы:

      1) общая система внутреннего процесса оценки достаточности капитала (далее - ВПОДК) и внутреннего процесса оценки достаточности ликвидности (далее - ВПОДЛ);

      2) информация о структуре риск-аппетита;

      3) информация о стресс-тестировании;

      4) информационные системы.

      2. Раздел "Общая система ВПОДК и ВПОДЛ" включает, но не ограничиваясь, следующие подразделы:

      1) действующая бизнес-модель.

      Информация о действующей бизнес-модели содержит, но не ограничиваясь, следующее описание:

      выбранной бизнес-модели с указанием своих основных направлений деятельности, географических территорий, филиалов и продуктов;

      данных, позволяющих оценить способность банка создавать прибыль, с разбивкой по основным показателям доходности, в том числе коэффициентов, рассчитанных банком (коэффициент рентабельности капитала, коэффициент рентабельности активов);

      данных по динамике достаточности регуляторного капитала;

      данных по динамике активов и пассивов, в том числе структуры фондирования;

      данных о соблюдении минимальных нормативных требований в отношении показателей достаточности капитала и ликвидности;

      2) стратегия и бюджет.

      Информация о стратегии и бюджете содержит, но не ограничиваясь, следующее описание:

      стратегии развития, в том числе целей банка и срока их достижения;

      связей между ВПОДК и ВПОДЛ и стратегией банка;

      3) система руководства и управления рисками.

      Информация о системе руководства и управления рисками содержит, но не ограничиваясь, следующее описание:

      организационной структуры и взаимодействия между структурными подразделениями по вопросам ВПОДК и ВПОДЛ, включая систему уполномоченных коллегиальных органов банка, правила и процедуры управления рисками;

      уровня компетенции членов комитета управления рисками, включая их общие управленческие навыки, знания и опыт;

      регулярных собраний уполномоченных коллегиальных органов банка по вопросам ВПОДК и ВПОДЛ;

      сведений об управленческой отчетности, формируемой в рамках ВПОДК и ВПОДЛ, которые заполняются в соответствии с Таблицей 1 приложения к Структуре отчета по соблюдению внутреннего процесса оценки достаточности капитала и внутреннего процесса оценки достаточности ликвидности (далее - Структура).

      3. Раздел "Информация о структуре риск-аппетита" содержит, но не ограничиваясь, следующее описание:

      общей системы управления риск-аппетитами, включая наличие уполномоченных коллегиальных органов банка, ответственных за реализацию процессов, контролирующих мероприятий и информационных систем;

      принимаемых рисков, при которых осуществляется деятельность банка в рамках реализации общей стратегии банка;

      риск-профиля деятельности банка;

      уровней риск-аппетита;

      результатов оценки приемлемости установленного риск-аппетита в текущий период времени и насколько он будет приемлем в будущем;

      Сведения о лимитах по уровням риск-аппетита заполняются в соответствии с Таблицей 2 приложения к Структуре.

      4. Раздел "Информация о стресс-тестировании" содержит, но не ограничиваясь, следующее описание:

      процедур проведения стресс-тестирований и утвержденных сценариев стресс-тестирования;

      результатов стресс-тестирования на риск-метрики, показатели по стратегии и бюджету, риск-аппетит, иные показатели, утвержденные банком;

      интеграции результатов стресс-тестирования в систему управления рисками и контроля;

      взаимодействия (интеграции) между стресс-тестами платежеспособности и ликвидности, в том числе стресс-тестов, специфичных для ВПОДК и ВПОДЛ.

      5. Раздел "Информационные системы" содержит, но не ограничиваясь, следующее описание:

      информационных систем, используемых для управления рисками банка, в том числе используемых для мониторинга качества кредитного портфеля, а также обеспечивающих функционирование системы управления риском ликвидности;

      информационных систем, используемых в целях обеспечения полной, достоверной и своевременной финансовой, регуляторной и управленческой информации;

      процессов сбора, хранения и агрегирования данных по рискам на различных уровнях;

      потока данных и структуры данных, используемых для ВПОДК и ВПОДЛ, в том числе с описанием применяемых проверок данных.

      Глава 2. Информация о ВПОДК

      6. Информация о ВПОДК включает, но не ограничиваясь, следующие разделы:

      1) общая система ВПОДК;

      2) выявление, оценка, контроль и мониторинг рисков;

      3) внутренний (экономический) капитал и распределение внутреннего (экономического) капитала;

      4) стресс-тестирование;

      5) самооценка.

      7. Раздел "Общая система ВПОДК" содержит, но не ограничиваясь, следующие подразделы:

      цели и области применения ВПОДК;

      сведения о процессах ВПОДК, которые заполняются в соответствии с Таблицей 3 приложения к Структуре;

      перечня рисков, предусмотренных ВПОДК, с обоснованием возможных различий между рисками, охваченными ВПОДК, и риск аппетитом.

      8. Раздел "Выявление, оценка, контроль и мониторинг рисков" содержит, но не ограничиваясь, следующие подразделы:

      1) выявление и оценка существенных рисков.

      Информация о выявлении существенных рисков содержит, но не ограничиваясь, следующее описание:

      методологии выявления рисков, распределения по видам рисков, которым подвержен или может быть подвержен банк в будущем в ходе ведения бизнеса и реализации стратегии, определение существенности;

      методологии оценки рисков, в том числе с использованием количественных и качественных методов;

      функций и обязанностей подразделений в рамках процесса выявления существенных рисков.

      Сведения о структуре рисков банка заполняются в соответствии с Таблицей 4 приложения к Структуре.

      Сведения о процентном риске банковского портфеля содержат, но не ограничиваясь, следующее:

      Сведения о текущей стоимости банковской книги банка, заполняемые в соответствии с Таблицей 5 приложения к Структуре;

      Сведения о чистом процентном доходе, заполняемые в соответствии с Таблицей 6 приложения к Структуре;

      2) осуществление контроля и мониторинга существенных рисков.

      Информация об осуществлении контроля и мониторинга существенных рисков содержит, но не ограничиваясь, следующее описание:

      процессов контроля и мониторинга существенных рисков с указанием функций и обязанностей подразделений банка;

      используемых инструментов контроля, мониторинга и смягчения рисков;

      объемов принимаемых рисков с указанием установленных лимитов по рискам.

      9. Раздел "Внутренний (экономический) капитал и распределение внутреннего (экономического) капитала" содержит, но не ограничиваясь, следующие подразделы:

      1) внутренний (экономический) капитал.

      Информация о внутреннем (экономическом) капитале содержит, но не ограничиваясь, следующее:

      описание методологии расчета, моделей оценки внутреннего (экономического) капитала по всем существенным рискам;

      описание данных, используемых для оценки внутреннего (экономического) капитала;

      сумму необходимого внутреннего (экономического) капитала.

      Сведения об оценке внутреннего (экономического) и регуляторного собственного капитала заполняются в соответствии с Таблицей 7 приложения к Структуре;

      2) распределение капитала.

      Информация о распределении капитала содержит, но не ограничиваясь, следующее описание:

      методологии и допущений, используемых для распределения внутреннего (экономического) капитала по каждому существенному виду риска;

      применения результатов стресс-тестирования.

      10. Раздел "Стресс-тестирование" содержит, но не ограничиваясь, следующие подразделы:

      1) сценарии стресс-тестирования.

      Информация о сценариях стресс-тестирования содержит, но не ограничиваясь, следующее:

      описание методов и сценариев стресс-тестирования в разрезе существенных рисков, их периодичность, методологию и используемые допущения;

      обоснование причины выбора рассматриваемого сценария для проведения стресс-тестирования;

      список основных финансовых и экономических факторов, учитываемых в рамках стресс-тестирования;

      источники информации о финансовых и экономических факторах.

      Сведения о сценариях стресс-тестирования заполняются в соответствии с Таблицей 8 приложения к Структуре;

      2) количественный и качественный анализ.

      Информация о количественном и качественном анализе содержит, но не ограничиваясь, следующее описание:

      моделей и обоснованности использования выбранных моделей;

      основных результатов внутренней оценки достаточности капитала при стрессовых ситуациях с указанием воздействия на финансовое состояние банка, в том числе с оценкой размеров и достаточности внутреннего (экономического) и регуляторного капитала;

      влияния результатов сценария на бизнес-модель, стратегию и существенные риски банка в рамках ВПОДК;

      подхода интеграции результатов стресс-тестирования в процесс установления внутренних лимитов.

      11. Раздел "Самооценка" содержит, но не ограничиваясь, следующие подразделы:

      1) запланированные мероприятия отчетного периода.

      Банк описывает мероприятия, запланированные на отчетный год, в том числе мероприятия, позволяющие соблюдать необходимый уровень внутреннего (экономического) капитала, и соответствующие результаты принятых мер;

      2) общая оценка.

      Банк проводит анализ и оценку всего процесса, включая внутренние правила, контролирующие мероприятия, ресурсы, системы измерения и отчетности;

      3) выявление областей, требующих улучшения.

      Банк описывает области, требующие улучшения, а также описывает результаты предыдущей оценки, включая завершенные или реализуемые корректирующие действия;

      4) корректирующие действия.

      Банк описывает запланированные действия по улучшению выявленных в ходе самооценки областей.

      Глава 3 Информация о ВПОДЛ

      12. Информация о ВПОДЛ включает, но не ограничиваясь, следующие разделы:

      1) общая система ВПОДЛ;

      2) выявление, оценка, мониторинг и контроль риска ликвидности;

      3) стратегия фондирования и план финансирования на случай непредвиденных обстоятельств;

      4) управление буфером ликвидности и залоговым обеспечением;

      5) стресс-тестирование;

      6) самооценка.

      13. Раздел "Общая система ВПОДЛ" содержит, но не ограничиваясь, следующие подразделы:

      цели и области применения ВПОДЛ;

      сведения о процессах ВПОДЛ, которые заполняются в соответствии с Таблицей 9 приложения к Структуре.

      14. Раздел "Выявление, оценка, мониторинг и контроль риска ликвидности" содержит, но не ограничиваясь, следующие подразделы:

      1) выявление и оценка риска ликвидности.

      Информация о выявлении и оценке риска ликвидности содержит, но не ограничиваясь, следующее описание:

      методологии выявления риска ликвидности;

      методологии оценки рисков, в том числе с использованием количественных и качественных методов;

      процесса прогнозирование денежных потоков по активам, обязательствам и внебалансовым инструментам на разных временных горизонтах;

      описание функций и обязанностей подразделений в рамках процесса выявления и оценки рисков ликвидности;

      2) мониторинг и контроль.

      Информация о мониторинге и контроле риска ликвидности содержит, но не ограничиваясь, следующее описание:

      процессов контроля и мониторинга рисков ликвидности на разных временных горизонтах с указанием функций и обязанностей подразделений банка;

      индикаторов раннего предупреждения;

      используемых инструментов контроля, мониторинга и смягчения риска ликвидности на разных временных горизонтах;

      процедур управления внутридневным риском ликвидности;

      объемов принимаемых рисков с указанием установленных лимитов по риску ликвидности.

      15. Раздел "Стратегия фондирования и план финансирования на случай непредвиденных обстоятельств" содержит, но не ограничиваясь, следующие подразделы:

      1) стратегия фондирования.

      Информация о стратегии фондирования содержит, но не ограничиваясь, следующее описание:

      видов источников фондирования в разрезе продуктов, инструментов, рынков;

      основных факторов, влияющих на возможность по привлечению фондирования;

      альтернативных источников фондирования;

      оценки своих возможностей по привлечению фондирования, в том числе с указанием:

      количественного обзора привлеченных средств;

      основных рынков и используемых продуктов;

      обзора запланированных оттоков денежных средств с указанием сроков погашения обязательства;

      2) план финансирования на случай непредвиденных обстоятельств.

      Информация о плане финансирования на случай непредвиденных обстоятельств содержит, но не ограничиваясь, следующее описание:

      источников финансирования на случай непредвиденных обстоятельств;

      времени, необходимого для привлечения дополнительных средств от каждого из источников финансирования непредвиденных обстоятельств;

      порядка, разработки плана финансирования на случай непредвиденных обстоятельств с указанием ответственных лиц;

      алгоритма действий ответственных лиц по реализации плана финансирования на случай непредвиденных обстоятельств;

      результатов тестирования плана финансирования на случай непредвиденных обстоятельств и сведений по обновлению.

      16. Раздел "Управление буферами ликвидности и залоговым обеспечением" содержит, но не ограничиваясь, следующие подразделы:

      1) буфер ликвидности.

      Банк описывает количественное выражение необходимого объема высоколиквидных активов, который считается достаточным для выполнения потребностей в ликвидности, в том числе в условиях стресса, а также количественное выражение существующего буфера ликвидности.

      Информация о буфере ликвидности содержит, но не ограничиваясь, следующее:

      методологию и допущения для расчета необходимого запаса ликвидности;

      определение, применяемое банком в отношении высококачественных ликвидных активов и их состав;

      критерии определения ликвидной стоимости активов;

      описание управления риском концентрации в рамках буфера ликвидности;

      описание сопоставимости запаса ликвидности с установленным риск-аппетитом;

      2) управление залоговым обеспечением.

      Информация об управлении залоговым обеспечением содержит, но не ограничиваясь, следующее:

      обзор методологии в отношении управления залоговым обеспечением с разделением между обремененными и необремененными активами, а также количественный обзор размера доступного обеспечения;

      обзор мониторинга требований к залоговому обеспечению и предельных значений (при наличии), который учитывает любые дополнительные требования, которые возникают в результате потенциальных проблем с ликвидностью (например, изменения рыночного и (или) финансового положения, изменения кредитного рейтинга).

      17. Раздел "Стресс-тестирование" содержит, но не ограничиваясь, следующие подразделы:

      1) сценарии стресс-тестирования.

      Информация о сценариях стресс-тестировании содержит, но не ограничиваясь, следующее:

      описание методов и сценариев стресс-тестирования, их периодичность, методологию и используемые допущения;

      обоснование причины выбора рассматриваемого сценария для проведения стресс-тестирования;

      список основных финансовых и экономических факторов, учитываемых в рамках стресс-тестирования;

      2) количественный и качественный анализ.

      Информация о количественном и качественном анализе содержит, но не ограничиваясь, следующее описание:

      количественного выражения воздействия результатов стресс-тестирования на показатели ликвидности и фондирования (с указанием воздействия на каждую риск-метрику);

      интеграции результатов стресс-тестирования в процесс стратегического, бюджетного планирования и в процесс установления внутренних лимитов;

      интеграции результатов стресс-тестирования в оценку и планирование плана финансирования на случай непредвиденных обстоятельств, в том числе в целях корректирования недостатков в плане финансирования на случай непредвиденных обстоятельств.

      Сведения о результатах стресс-тестирования заполняются в соответствии с Таблицей 10 приложения к Структуре.

      18. Раздел "Самооценка" содержит, но не ограничиваясь, следующие подразделы:

      1) запланированные мероприятия.

      Банк описывает мероприятия, запланированные на отчетный год по результатам проведенной самооценки, и соответствующие результаты принятых мер;

      2) общая оценка.

      Банк проводит оценку организационных процессов на выявление слабых сторон процесса, в части политики управления ликвидностью, организации процесса, процедур, систем и контролирующих действий, уровня ликвидности и доступности фондирования;

      3) выявление областей, требующих улучшения.

      Банк описывает области, требующие улучшения, а также описывает результаты предыдущей оценки, включая завершенные или реализуемые корректирующие действия;

      4) корректирующие действия.

      Банк описывает запланированные действия по улучшению выявленных в ходе самооценки областей.

      Приложение
к Структуре отчета
по соблюдению внутреннего процесса
оценки достаточности капитала и
внутреннего процесса оценки
достаточности ликвидности

      Таблица 1

      Сведения об управленческой отчетности, формируемой в рамках ВПОДК и ВПОДЛ

Наименование отчета

Уполномоченный коллегиальный орган банка, утверждающий отчет

Периодичность и (или) дата утверждения за отчетный период

Ответственное подразделение

1

2

3

4

5





















      Примечание:

      вся отчетность, формируемая в рамках процесса ВПОДК и ВПОДЛ, содержит, но не ограничиваясь, отчет о результатах стресс-тестирования, отчет о кредитном риске, отчет о рыночном риске, отчет об операционном риске, отчет по позициям ликвидности в разрезе временных горизонтов, отчет о факторах, влияющих на уровень запаса ликвидных активов, отчет о риске концентрации фондирования, отчет об ином существенном риске.

      Таблица 2

      Сведения о лимитах по уровням риск-аппетита

Виды риска

Вид установленного лимита

Значение установленного лимита (в тысячах тенге и (или) процентах)

Установленный уровень, определенный как допустимый

на отчетную дату (в тысячах тенге и (или) процентах)

на предыдущую отчетную дату

на отчетную дату

1

2

3

4

5

6

1.

Кредитный риск

1.1






1.2






2

Рыночный риск

2.1






2.2






3

Операционный риск

3.1






3.2






4

Риск ликвидности

4.1






4.2






5

Другие существенные риски (при наличии указать какие)

5.1






5.2






      продолжение таблицы:

Несоблюдение лимитов

Достижение уровней, определенные как допустимые

Причины несоблюдения лимитов и уровня, определенного как допустимый

количество случаев

общая длительность дней

количество случаев

общая длительность дней

7

8

9

10

11




























































      Примечание:

      в графах 4 и 5 по каждому из установленных банком лимитов риск-аппетита указывается числовое или процентное значение;

      в графе 6 по каждому из установленных банком лимитов риск-аппетита указывается уровень, определенный как допустимый;

      в графе 7 по каждому из установленных лимитов указывается количество случаев его нарушения в отчетном периоде;

      в графе 8 указывается общая длительность дней нарушения лимита в отчетном периоде;

      в графе 9 по каждому из установленных уровней, определенных как допустимые указывается количество случаев его достижения в отчетном периоде;

      в графе 10 указывается общая длительность дней достижения уровней, определенных как допустимые в отчетном периоде;

      в графе 11 указываются причины несоблюдения лимитов риск-аппетита и уровней, определенных как допустимые в отчетном периоде;

      в случае, если уровень, определенный как допустимый, не установлен, графы 6, 9 и 10 не заполняются.

      Таблица 3

      Сведения о процессах ВПОДК

Этап процесса ВПОДК

Описание

Ответственное подразделение

Внутренний документ, регламентирующий процесс

1

2

3

4

5

1.

Выявление существенных рисков




2.

Оценка существенных рисков




3.

Расчет внутреннего (экономического)/

регуляторного капитала




4.

Проведение стресс-тестирования




5.

Планирование и оценка достаточности внутреннего (экономического) и регуляторного капитала




6.

Интегрирование результатов ВПОДК в стратегию риск-аппетита




7.

Самооценка по ВПОДК




      Примечание:

      в графе 3 указывается описание используемой банком методики для каждого этапа ВПОДК;

      в графе 4 указывается ответственное подразделение, осуществляющее соответствующий этап;

      в графе 5 указывается внутренний документ, регламентирующий соответствующий процесс ВПОДК.

      Таблица 4

      Сведения о структуре рисков банка

Виды и подвиды рисков

Методология и (или) модели выявления и оценки существенных рисков

1

2

3

1

Кредитный риск


1.1





2

Рыночный риск


2.1





3

Операционный риск


3.1





4

Другие существенные риски (при наличии указать какие):


4.1





      Примечание:

      в графе 2 указывается виды и подвиды (при наличии) рисков;

      в графе 3 указываются используемые методология и (или) модели выявления и оценки существенных рисков.

      Таблица 5

      Сведения о текущей стоимости банковской книги банка

      (тысяч тенге)

Показатели

Сумма текущей стоимости (факт)

до 1 месяца

от 1 до 3 месяцев

от 3 до 6 месяцев

от 6 месяцев до 1 года

от 1 до 2 лет

от 2 до 3 лет

от 3 до 5 лет

от 5 до 10 лет

свыше 10 лет

1

2

Активы, приносящие доход




























Обязательства, связанные с выплатой вознаграждения




























Внебалансовая позиция










EVE = Активы, приносящие доход

Обязательства, связанные с выплатой вознаграждения

Внебалансовая позиция


      продолжение таблицы:

Сумма текущей стоимости (факт)

Сумма стоимости в национальной валюте (прогноз)

Сумма стоимости в иностранной валюте (прогноз)

+___ базисный пункт

-____ базисный пункт

+___ базисный пункт

-_____ базисный пункт

3

4

5

6

7




































      Примечание:

      в графе 2 активы и обязательства, чувствительные к изменению процентной ставки, распределяются по количеству временных корзин в соответствии с внутренней методологией банка;

      в графах 4 и 5 указывается изменение экономической стоимости активов и обязательств банка, в случае параллельного изменения во всем диапазоне кривой доходности процентных ставок по активам и обязательствам, номинированным в национальной валюте, на определенных банком базисных пунктах;

      в графах 6 и 7 указывается изменение экономической стоимости активов и обязательств банка, в случае параллельного изменения во всем диапазоне кривой доходности процентных ставок по активам и обязательствам, номинированным в иностранной валюте, на определенных банком базисных пунктах.

      Таблица 6

      Сведения о чистом процентном доходе

      (тысяч тенге)

Показатели

Сумма текущей стоимости (факт)

Сумма стоимости в национальной валюте (прогноз)

Сумма стоимости в иностранной валюте (прогноз)

национальная валюта

иностранная валюта

+___

базисный пункт

-___ базисный пункт

+___ базисный пункт

-____ базисный пункт

1

2

3

4

5

6

7

Процентные доходы



















Процентные расходы



















Чистый процентный доход (расход)







      Примечание:

      в графах 4 и 5 указываются изменения процентных доходов и процентных расходов, в случае параллельного изменения кривой доходности процентных ставок по требованиям и обязательствам, номинированным в национальной валюте, на определенные банком базисных пунктах;

      в графах 6 и 7 указываются изменения процентных доходов и процентных расходов, в случае параллельного изменения кривой доходности процентных ставок по требованиям и обязательствам, номинированным в иностранной валюте, на определенные банком базисных пунктах.

      Таблица 7

      Сведения об оценке внутреннего (экономического) и регуляторного собственного капитала

Виды рисков

Регуляторный собственный капитал

Внутренний (экономический) капитал

Факт (t)

Прогноз

(t+1)

Прогноз с учетом стресса

Факт

(t)

Прогноз

(t+1)

Прогноз с учетом стресса

1

2

3

4

5

6

7

8

1.

Общая сумма регуляторного капитала, соответствующая требованиям/общая сумма необходимого внутреннего (экономического) капитала







2.

Активы, взвешенные с учетом кредитного риска







3.

Активы, взвешенные с учетом рыночного риска







4.

Операционный риск







5.

Итого активов, взвешенных с учетом риска







6.

Требования к капиталу с учетом кредитного риска







7.

Требования к капиталу с учетом рыночного риска







8.

Требования к капиталу с учетом операционного риска







9.

Другие существенные риски, подлежащие количественной оценке (указать какие)







9.1.








9.2.








10.

Требования к капиталу с учетом существенных рисков







      Примечание:

      в графах 3 и 4 указывается фактическое и прогнозное значение капитала по каждому виду риска, а также прогнозное значение с учетом стресс-тестирования.

      Если не применимо, используется сокращение НП – "не применимо".

      Таблица 8

      Сведения о сценариях стресс-тестирования

Сценарий стресс-тестирования

Параметры сценария

Временной горизонт, периодичность

Вид риска

1

2

3

4

5






      Примечание:

      в графе 2 указывается наименование для каждого сценария стресс-тестирования;

      в графе 3 для каждого сценария указывается значение параметра стресс-тестирования;

      в графе 4 для каждого параметра стресс-сценария указывается временной горизонт и периодичность проведения;

      в графе 5 для каждого параметра стресс-сценария указываются виды рисков, на которые он оказывает влияние.

      Таблица 9

      Сведения о процессах ВПОДЛ

Этап процесса ВПОДЛ

Описание

Ответственное подразделение

Внутренний документ, регламентирующий процесс

1

2

3

4

5

1.

Выявление существенных рисков ликвидности




2.

Оценка существенных рисков ликвидности




3.

Расчет основных показателей риска ликвидности (коэффициент покрытия ликвидности, коэффициент нетто стабильного фондирования и другие)




4.

Анализ краткосрочной ликвидности




5.

Анализ долгосрочной ликвидности




6.

Анализ устойчивости фондирования




7.

Анализ управления буфером ликвидности и залоговым обеспечением




8.

Анализ риска ликвидности в процессе утверждения новых продуктов




9.

Проведение стресс-тестирования




10.

Согласованность со стратегией риск-аппетита




11.

Самооценка по ВПОДЛ




      Примечание:

      в графе 3 указывается описание используемой банком методики для каждого этапа ВПОДЛ;

      в графе 4 указывается ответственное подразделение, осуществляющее соответствующий этап;

      в графе 5 указывается внутренний документ, регламентирующий соответствующий процесс ВПОДК.

      Таблица 10

      Сведения о результатах стресс-тестирования

Показатель

Сценарий стресс-тестирования

Параметры сценария

Факт (t)

1

2

3

4

5

1.

Коэффициент покрытия ликвидности




2.

Коэффициент нетто стабильного фондирования




3.

Высоколиквидные активы




4.

Обязательства по депозитам физических лиц




5.

Краткосрочное финансирование




6.

Другой показатель (при наличии указать какой)




      продолжение таблицы:

С учетом стресса (временной горизонт 1)

Примечание

6

7













      Примечание:

      в графе 5 указывается фактическое значение за отчетный период;

      в графе 6 указываются значения с учетом применения временного горизонта;

      в графе 7 указываются примечания к таблице.

      Коэффициент покрытия ликвидности и коэффициент нетто стабильного фондирования применим для всех банков, за исключением исламских банков.

      Сценарий и параметры стресс-тестирования определяются в соответствии с внешней операционной средой, стратегией, организационной структурой, объемом активов, характером и уровнем сложности операций банка.

 
  Приложение
к постановлению Правления
Национального Банка
Республики Казахстан
от 12 ноября 2019 года № 188

Перечень нормативных правовых актов Республики Казахстан, а также структурных элементов некоторых нормативных правовых актов Республики Казахстан, признаваемых утратившими силу

      1. Постановление Правления Национального Банка Республики Казахстан от 26 февраля 2014 года № 29 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 9322, опубликовано 17 апреля 2014 года в информационно-правовой системе "Әділет").

      2. Пункт 22 Перечня нормативных правовых актов Республики Казахстан, в которые вносятся изменения и дополнения, утвержденного постановлением Правления Национального Банка Республики Казахстан от 27 августа 2014 года № 168 "О внесении изменений и дополнений в некоторые нормативные правовые акты Республики Казахстан" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 9796, опубликовано 12 ноября 2014 года в информационно-правовой системе "Әділет").

      3. Пункт 4 Перечня некоторых нормативных правовых актов Республики Казахстан, в которые вносятся изменения и дополнения по вопросам регулирования финансового рынка, платежей и платежных систем, утвержденного постановлением Правления Национального Банка Республики Казахстан от 29 октября 2018 года № 267 "О внесении изменений и дополнений в некоторые нормативные правовые акты Республики Казахстан по вопросам регулирования финансового рынка, платежей и платежных систем" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 18123, опубликовано 11 января 2019 года в Эталонном контрольном банке нормативных правовых актов Республики Казахстан).