Примечание ИЗПИ!
Вводится в действие с 01.07.2023
В соответствии с частью второй статьи 59 Социального кодекса Республики Казахстан Правление Агентства Республики Казахстан по регулированию и развитию финансового рынка ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов.
2. Признать утратившими силу:
1) постановление Правления Национального Банка Республики Казахстан от 27 апреля 2018 года № 76 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для единого накопительного пенсионного фонда и добровольных накопительных пенсионных фондов" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 16933);
2) пункт 14 Перечня нормативных правовых актов Республики Казахстан по вопросам регулирования финансового рынка, микрофинансовой деятельности и коллекторских агентств, в которые вносятся изменения, утвержденного постановлением Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 30 марта 2020 года № 28 "О внесении изменений в некоторые нормативные правовые акты Республики Казахстан по вопросам регулирования финансового рынка, микрофинансовой деятельности и коллекторских агентств" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 20265).
3. Департаменту методологии и пруденциального регулирования финансовых организаций в установленном законодательством Республики Казахстан порядке обеспечить:
1) совместно с Юридическим департаментом государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;
2) размещение настоящего постановления на официальном интернет-ресурсе Агентства Республики Казахстан по регулированию и развитию финансового рынка после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.
4. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Агентства Республики Казахстан по регулированию и развитию финансового рынка.
5. Настоящее постановление вводится в действие с 1 июля 2023 года и подлежит официальному опубликованию.
Председатель Агентства Республики Казахстан по регулированию и развитию финансового рынка М. Абылкасымова |
Утверждены Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка от 7 июня 2023 года № 40 |
Правила формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов
Глава 1. Общие положения
1. Настоящие Правила формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов (далее - Правила) разработаны в соответствии с частью второй статьи 59 Социального кодекса Республики Казахстан (далее - Социальный кодекс), Законом Республики Казахстан "О рынке ценных бумаг" (далее - Закон о рынке ценных бумаг) и определяют порядок формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда (далее - Фонд), добровольных накопительных пенсионных фондов (далее - ДНПФ).
2. Совет директоров и правление Фонда или ДНПФ обеспечивают соответствие системы управления рисками и внутреннего контроля Правилам и создают условия для исполнения структурными подразделениями и работниками Фонда или ДНПФ возложенных на них обязанностей в области управления рисками и осуществления внутреннего контроля.
3. В Правилах используются следующие понятия:
1) корпоративное управление - система стратегического и тактического управления Фонда или ДНПФ, представляющая собой комплекс взаимоотношений между общим собранием акционеров, советом директоров, правлением и иными органами, направленный на обеспечение эффективного функционирования Фонда или ДНПФ, защиту прав и интересов его акционера (акционеров) и предоставляющий акционеру (акционерам) возможность эффективного контроля и мониторинга деятельности Фонда или ДНПФ;
2) управление конфликтом интересов - создание механизмов недопущения ситуаций, при которых интересы должностного лица или работника Фонда или ДНПФ повлияют на объективность и независимость принятия ими решений и исполнения обязанностей, а также вступят в противоречие с их обязательством действовать в интересах вкладчиков (получателей пенсионных выплат) Фонда или ДНПФ и (или) акционеров Фонда или ДНПФ;
3) операционный риск - риск возникновения расходов (убытков) в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны работников, функционирования информационных систем и технологий, а также вследствие внешних событий, включающий в себя риски, связанные с:
неопределенной и неэффективной организационной структурой Фонда или ДНПФ, включая распределение ответственности, структуру подотчетности и управления;
неэффективными стратегиями, политиками и (или) стандартами в области информационных технологий, недостатками в использовании программного обеспечения;
неполной или недостоверной информацией либо несоответствующим использованием информации;
неэффективным управлением персоналом и (или) неквалифицированным штатом Фонда или ДНПФ;
недостаточно эффективным построением процессов осуществления деятельности Фонда или ДНПФ либо слабым контролем соблюдения внутренних правил;
непредвиденными или неконтролируемыми факторами внешнего воздействия на деятельность Фонда или ДНПФ;
наличием недостатков или ошибок во внутренних документах, регламентирующих деятельность Фонда или ДНПФ;
непрофессиональными действиями руководства и персонала Фонда или ДНПФ, повлекшими за собой сужение клиентской базы, недоверие или негативное восприятие Фонда или ДНПФ клиентами и (или) контрпартнерами;
4) репутационный риск - риск возникновения расходов (убытков) вследствие негативного общественного мнения или снижения доверия к Фонду или ДНПФ;
5) система управления рисками - совокупность взаимосвязанных элементов: процедур, методик, информационных систем, объединенных в единый процесс по управлению реализованными и потенциальными рисками в рамках приемлемого для акционера (акционеров) уровня риска и направленных на достижение целей и задач по управлению рисками. В процессе выявления и управления реализованными и потенциальными рисками, влияющими на деятельность Фонда или ДНПФ, участвуют совет директоров, правление, руководители и сотрудники структурных подразделений в пределах закрепленной компетенции и ответственности;
6) форс-мажорные обстоятельства - обстоятельства непреодолимой силы (стихийные явления, военные действия, наводнения, землетрясения, блокады, забастовки, террористические акты и иные подобные обстоятельства, которые невозможно предвидеть);
7) система внутреннего контроля - совокупность политик, процессов и процедур внутреннего контроля, обеспечивающих реализацию Фондом или ДНПФ долгосрочных целей и поддержания достоверности финансовой и управленческой отчетности, способствующей соблюдению Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, а также политики Фонда или ДНПФ, внутренних правил, снижению риска убытков или репутационного риска Фонда или ДНПФ;
8) внутренние документы - документы, регулирующие условия и порядок деятельности Фонда или ДНПФ, их органов, структурных подразделений, филиалов, представительств, работников;
9) уполномоченный орган - уполномоченный орган по регулированию, контролю и надзору финансового рынка и финансовых организаций.
4. Фонд и ДНПФ ежегодно не позднее 1 июля года, следующего за отчетным, представляют в уполномоченный орган отчет по оценке выполнения требований к системе управления рисками по формам согласно приложениям 1 и 2 к Правилам, соответственно.
Глава 2. Порядок формирования системы управления рисками
5. Формирование системы управления рисками в Фонде или ДНПФ осуществляется в целях соответствия деятельности Фонда и ДНПФ требованиям по корпоративному управлению, функционированию информационных систем и систем управленческой информации.
6. Задачами формирования системы управления рисками являются:
1) своевременное выявление рисков и угроз;
2) повышение качества оценки максимально допустимых значений показателей рисков;
3) развитие альтернативных механизмов контроля рисков;
4) обеспечение принятия своевременных мер по минимизации и управлению рисками;
5) вовлечение отдельных структурных подразделений Фонда или ДНПФ, включая подразделение по управлению рисками, в процесс мониторинга и оценки рисков, а также повышение ответственности работников Фонда или ДНПФ в области управления рисками.
7. Система управления рисками Фонда включает следующие основные элементы: идентификация риска, измерение риска, оценка риска, контроль риска, мониторинг риска и охватывает следующие направления деятельности Фонда:
1) организация, проведение и администрирование процесса привлечения вкладчиков (получателей пенсионных выплат) и ведения учета пенсионных накоплений;
2) аудит программного-технического обеспечения, используемого в процессе деятельности Фонда;
3) разработка и утверждение внутренних документов в соответствии с требованиями к внутренним документам согласно приложению 3 к Правилам;
4) определение порядка организации работы с вкладчиками (получателями пенсионных выплат) и учета их пенсионных накоплений, включающего:
процедуры, обеспечивающие достоверность учета и своевременность открытия индивидуальных пенсионных счетов и поступления средств на индивидуальные пенсионные счета вкладчиков (получателей пенсионных выплат), выплат и переводов пенсионных накоплений;
процедуры, гарантирующие рассмотрение по существу в установленный срок жалоб и обращений вкладчиков (получателей пенсионных выплат);
процедуры, гарантирующие своевременность осуществления переводов и выплат пенсионных накоплений вкладчиков (получателей пенсионных выплат);
процедуры по оказанию безвозмездных консультационных услуг вкладчикам (получателям пенсионных выплат), а также лицам, намеренным заключить договор о пенсионном обеспечении с Фондом, по вопросам функционирования накопительной пенсионной системы и деятельности по инвестиционному управлению пенсионными активами;
процедуры, обеспечивающие соответствие учета пенсионных и собственных активов требованиям Социального кодекса в области пенсионного обеспечения и Закона Республики Казахстан "О бухгалтерском учете и финансовой отчетности";
порядок осуществления проверки правильности начисления комиссионного вознаграждения;
процедуры по контролю за организацией в Фонде деятельности по заключению договоров о пенсионном обеспечении с вкладчиками (получателями пенсионных выплат);
процедуры по контролю за деятельностью работников Фонда, на которых возложены функции по оказанию консультационных услуг вкладчикам (получателям пенсионных выплат), а также лицам, намеренным заключить договор о пенсионном обеспечении с Фондом, по вопросам функционирования накопительной пенсионной системы;
5) создание организационно-функциональной структуры управления Фонда;
6) взаимодействие Фонда с уполномоченным органом;
7) сбор, ввод, хранение и распространение информации по пенсионным активам и накоплениям;
8) установление лимитов на допустимый размер рисков.
Система управления рисками Фонда включает требования к организации системы информационного обмена согласно приложению 4 к Правилам, а также требования к программно-техническому обеспечению, используемому для поддержания системы управления рисками, согласно приложению 5 к Правилам.
ДНПФ в процессе формирования системы управления рисками руководствуется подпунктами 1), 2), 3), 4), 7) и частью второй настоящего пункта.
8. Функциями подразделения по управлению рисками Фонда или ДНПФ являются:
1) разработка, внедрение и постоянное развитие системы управления рисками;
2) мониторинг и оценка уровня рисков, в том числе на основе информации, получаемой от других структурных подразделений;
3) разработка предложений по установлению лимитов на допустимый размер рисков;
4) разработка планов по минимизации и контролю рисков;
5) формирование и предоставление отчетности и иной информации по управлению рисками совету директоров и правлению Фонда или ДНПФ;
6) функции, определенные политикой Фонда по управлению рисками и другими внутренними документами Фонда или ДНПФ.
9. Подразделение по управлению рисками Фонда или ДНПФ незамедлительно уведомляет совет директоров Фонда или ДНПФ о случаях злоупотреблений, противоправных действиях работников Фонда или ДНПФ и об иных случаях, повлекших нарушения Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг и (или) нарушения допустимого уровня риска Фонда или ДНПФ.
10. Оценка адекватности и эффективности системы управления рисками проводится службой внутреннего аудита в соответствии с годовым планом внутреннего аудита.
Глава 3. Порядок организации внутреннего контроля
11. Система внутреннего контроля в Фонде или ДНПФ создается для:
1) обеспечения операционной и финансовой деятельности Фонда или ДНПФ;
2) обеспечения надежности, полноты и своевременности ведения индивидуального учета пенсионных накоплений и выплат;
3) соблюдения требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, внутренних документов Фонда или ДНПФ.
12. Система внутреннего контроля в Фонде или ДНПФ состоит из пяти взаимосвязанных элементов:
1) управленческий контроль;
2) выявление и оценка риска;
3) осуществление контроля и разделение полномочий;
4) информация и взаимодействие;
5) мониторинг и исправление недостатков.
13. Функционирование системы внутреннего контроля в Фонде или ДНПФ происходит по принципу непрерывного поочередного прохождения следующих трех этапов:
1) формирование системы внутреннего контроля (с учетом результатов оценки эффективности) путем включения процедур во внутренние документы Фонда или ДНПФ;
2) использование в работе процедур системы внутреннего контроля, определенных внутренними документами Фонда или ДНПФ;
3) проведение оценки эффективности системы внутреннего контроля.
14. В целях совершенствования системы внутреннего контроля предусматривается использование принципов и требований систем менеджмента качества для оказания качественных услуг вкладчикам (получателям пенсионных выплат).
15. Система внутреннего контроля в Фонде или ДНПФ включает:
1) проверку достижения Фондом или ДНПФ поставленных целей и задач посредством представления совету директоров и правлению Фонда или ДНПФ отчетов о результатах операционной (текущей) деятельности Фонда или ДНПФ с приложением плановых показателей операционной (текущей) деятельности;
2) постоянный контроль руководителем структурного подразделения результатов деятельности подразделения, включающий мониторинг наличия отклонений от плановых показателей и выявление причин таких отклонений;
3) проверку руководящими работниками Фонда или ДНПФ стандартных отчетов руководителей структурных подразделений Фонда или ДНПФ о результатах деятельности структурных подразделений, включающих указание отклонений от плановых показателей и причин невыполнения плановых показателей;
4) ограничение доступа к материальным активам Фонда или ДНПФ;
5) реализацию мероприятий по устранению выявленных несоответствий;
6) установление требований к перечню операций, требующих обязательной авторизации;
7) проверку условий совершения операций и результатов применения моделей управления рисками, связанных с деятельностью Фонда или ДНПФ;
8) проверку своевременности, правильности, полноты и точности отражения проведенных операций в учете и отчетности Фонда или ДНПФ;
9) предотвращение использования услуг в преступных целях, целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма.
16. Система внутреннего аудита представляет собой систему организации, политики, процедур и методов, принятых Фондом или ДНПФ для проверки и объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками по всем аспектам их деятельности в целях обеспечения эффективной деятельности Фонда или ДНПФ и предоставления действенных рекомендаций по ее улучшению.
Система внутреннего аудита формируется в Фонде или ДНПФ в соответствии с Социальным кодексом, Законом о рынке ценных бумаг, Законом Республики Казахстан "Об акционерных обществах", Правилами, а также международными профессиональными стандартами внутреннего аудита.
17. Служба внутреннего аудита Фонда или ДНПФ создается с целью решения задач, возникающих при осуществлении советом директоров функций по обеспечению наличия и функционирования адекватной системы внутреннего контроля путем предоставления объективной оценки состояния системы внутреннего контроля и рекомендаций по их совершенствованию.
Целями внутреннего аудита являются оценка адекватности и эффективности систем внутреннего контроля по всем аспектам деятельности Фонда или ДНПФ, контроль за соблюдением внутренних документов Фонда или ДНПФ, исполнением рекомендаций внутренних и внешних аудиторов, примененных ограниченных мер воздействия и санкций, а также требований уполномоченного органа, установленных в отношении осуществления деятельности на финансовом рынке, обеспечение своевременной и достоверной информацией о состоянии выполнения структурными подразделениями и работниками Фонда или ДНПФ, возложенных функций и задач, а также предоставление действенных и эффективных рекомендаций по улучшению работы.
18. Руководитель и работники службы внутреннего аудита Фонда или ДНПФ назначаются советом директоров Фонда или ДНПФ и имеют доступ ко всем необходимым документам, связанным с деятельностью проверяемых структурных подразделений, филиалов, представительств Фонда или ДНПФ, в том числе составляющим коммерческую и (или) иную охраняемую законами тайну.
19. Годовой план внутреннего аудита разрабатывается на основе риск-ориентированного подхода в соответствии с внутренними документами Фонда или ДНПФ, регулирующими деятельность внутреннего аудита.
Годовой план внутреннего аудита утверждается советом директоров Фонда или ДНПФ.
20. Основными функциями службы внутреннего аудита Фонда или ДНПФ являются:
1) проверка деятельности, процессов структурных подразделений, филиалов, представительств Фонда или ДНПФ;
2) подготовка отчетов для совета директоров, правления Фонда или ДНПФ по результатам проверок, содержащих выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ;
3) осуществление контроля за эффективностью принятых структурными подразделениями, филиалами, представительствами и органами Фонда или ДНПФ мер по результатам проверок структурных подразделений, филиалов, представительств Фонда или ДНПФ, обеспечивающих снижение уровня выявленных рисков;
4) определение области риска в операциях Фонда или ДНПФ, которые необходимо подвергнуть внутреннему и внешнему аудиту;
5) оценка процедур внутреннего контроля Фонда или ДНПФ на предмет обеспечения достоверности и точности информации, предоставляемой руководству Фонда или ДНПФ и внешним пользователям;
6) функции, предусмотренные внутренними документами Фонда или ДНПФ.
21. В ходе проверки, проводимой службой внутреннего аудита Фонда или ДНПФ, рассматриваются следующие вопросы:
1) проверка процессов и процедур внутреннего контроля, оценка их эффективности;
2) проверка полноты применения и эффективности методологии управления и оценки рисков и процедур управления рисками (методик, программ, правил, порядков и процедур совершения операций);
3) проверка эффективности функционирования автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа, наличие планов действий на случай непредвиденных обстоятельств;
4) проверка достоверности, полноты, объективности финансовой отчетности, своевременности отражения операций в бухгалтерском учете, а также надежности и своевременности сбора и представления информации, отчетности;
5) проверка достоверности, полноты, объективности и своевременности представления Фондом или ДНПФ отчетности и информации уполномоченному органу, внешним пользователям в рамках деятельности Фонда или ДНПФ;
6) проверка применяемых способов (методов) обеспечения сохранности имущества Фонда или ДНПФ;
7) проверка систем, созданных в целях соблюдения требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг;
8) оценка работы службы управления персоналом Фонда или ДНПФ;
9) правильность обработки ежедневных балансов;
10) соответствие учетной политики международным стандартам финансовой отчетности;
11) правильность учета собственных и пенсионных активов Фонда или ДНПФ;
12) вопросы, предусмотренные внутренними документами Фонда или ДНПФ.
22. Обязательная к использованию при проведении внутреннего аудита система оценки определяется внутренней методикой Фонда или ДНПФ и включает следующие варианты оценки эффективности функционирования систем внутреннего контроля и управления рисками:
1) "неудовлетворительная ситуация":
по результатам внутреннего аудита выявлены грубые нарушения внутренних документов, а также требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, влекущие применение ограниченных мер воздействия и санкций;
требуется принятие срочных и эффективных мера по устранению высокого риска, подрывающего целостность процесса;
требуется реструктуризация структурных подразделений;
2) "недостаточное покрытие риска":
по результатам внутреннего аудита выявлены нарушения внутренних документов, а также требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, в том числе влекущие применение ограниченных мер воздействия и санкций;
устранение выявленных нарушений возможно посредством обязательного выполнения мероприятий, установленных службой внутреннего аудита;
3) "под общим контролем":
результаты отображают незначительные недостатки и (или) нарушения внутренних документов, а также отдельные случаи нарушений требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, не влекущие применение ограниченных мер воздействия и санкций, которые устраняются в ходе обычных деловых операций;
рекомендуются некоторые последующие исправительные мероприятия;
4) "хорошо по всем аспектам":
правильный баланс между риском и покрытием;
результаты отражают только незначительные недостатки или их полное отсутствие.
23. Совет директоров и правление Фонда или ДНПФ анализируют отчеты службы внутреннего аудита и принимают меры по недопущению нарушений, выявленных службой внутреннего аудита, в дальнейшей деятельности Фонда или ДНПФ.
Меры, указанные в части первой настоящего пункта, оформляются в виде решений (постановлений) совета директоров и правления Фонда.
24. Правление Фонда или ДНПФ осуществляет оперативный контроль за выполнением рекомендаций службы внутреннего аудита и отчитывается о результатах оперативного контроля перед советом директоров Фонда или ДНПФ не реже одного раза в квартал.
В целях осуществления контроля и принятия (при необходимости) соответствующих мер правление получает от службы внутреннего аудита информацию по результатам мониторинга исполнения структурными подразделениями Фонда или ДНПФ планов мероприятий по устранению нарушений и недостатков, выявленных по результатам внутреннего аудита, не реже одного раза в квартал по форме, установленной внутренними документами Фонда или ДНПФ.
25. Отчеты службы внутреннего аудита Фонда или ДНПФ представляются в уполномоченный орган по его запросу.
Приложение 1 к Правилам формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов |
|
Форма |
Отчет по оценке выполнения требований к системе управления рисками
_______________________________________________ за "__" год
(наименование Фонда)
№ | Указание соответствующего абзаца, подпункта, пункта Правил | Оценка соответствия требованию | Выявленные недостатки | Необходимые мероприятия по устранению недостатков, ответственные лица и сроки исполнения мероприятий | Ответственные исполнители |
1 | 2 | 3 | 4 | 5 | 6 |
Оценка соответствия требованиям к системе управления рисками: _______________
Первый руководитель Фонда (либо лицо, его замещающее)
____________________________________ ____________________________
фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель подразделения Фонда, осуществляющего управление рисками
_________________________________________________________________
фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель службы внутреннего аудита Фонда
_________________________________________________________________
фамилия, имя, отчество (при его наличии) (подпись) (дата)
Приложение к форме отчета по оценке выполнения требований к системе управления рисками |
Пояснения к заполнению формы отчета по оценке выполнения требований к системе управления рисками
1. Оценка соответствия требованиям к системе управления рисками осуществляется по трехбалльной системе следующих критериев: соответствует, частично соответствует, не соответствует.
2. Оценка "соответствует" выносится при выполнении Фондом критерия требования к системе управления рисками без каких-либо значительных недостатков.
3. Оценка "частично соответствует" выносится при обнаружении недостатков, которые не считаются достаточными для появления серьезных сомнений относительно способности Фонда в достижении соблюдения конкретного критерия требования к системе управления рисками.
4. Оценка "не соответствует" выносится при невыполнении Фондом критерия требований к системе управления рисками.
5. При неприменимости отельных требований к системе управления рисками в отношении Фонда оценка соответствия данному критерию требования не осуществляется и отмечается соответствующей записью "не применимо".
Приложение 2 к Правилам формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов |
|
Форма |
Отчет по оценке выполнения требований к системе управления рисками
_______________________________________________за "__" год
(наименование ДНПФ)
№ | Указание соответствующего абзаца, подпункта, пункта Правил | Оценка соответствия требованию | Выявленные недостатки | Необходимые мероприятия по устранению недостатков, ответственные лица и сроки исполнения мероприятий | Ответственные исполнители |
Оценка соответствия требованиям к системе управления рисками: _________
Первый руководитель ДНПФ (либо лицо, его замещающее)
__________________________________________________________________
фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель подразделения ДНПФ, осуществляющего управление рисками
__________________________________________________________________
фамилия, имя, отчество (при его наличии) (подпись) (дата)
Руководитель службы внутреннего аудита ДНПФ __________________________________________________________________
фамилия, имя, отчество (при его наличии) (подпись) (дата)
Приложение к форме отчета по оценке выполнения требований к системе управления рисками |
Пояснения к заполнению отчета по оценке выполнения требований к системе управления рисками
1. Оценка соответствия требованиям к системе управления рисками осуществляется по трехбалльной системе следующих критериев: соответствует, частично соответствует, не соответствует.
2. Оценка "соответствует" выносится при выполнении ДНПФ критерия требования к системе управления рисками без каких-либо значительных недостатков.
3. Оценка "частично соответствует" выносится при обнаружении недостатков, которые не считаются достаточными для появления серьезных сомнений относительно способности ДНПФ в достижении соблюдения конкретного критерия требования к системе управления рисками.
4. Оценка "не соответствует" выносится при невыполнении ДНПФ критерия требований к системе управления рисками.
5. При неприменимости отельных требований к системе управления рисками в отношении ДНПФ оценка соответствия данному критерию требования не осуществляется и отмечается соответствующей записью "не применимо".
Приложение 3 к Правилам формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов |
Требования к внутренним документам
1. Внутренние документы Фонда или ДНПФ включают:
1) положение об организационной структуре Фонда или ДНПФ;
2) порядок стратегического планирования на долгосрочный период и составления годового бюджета (финансового плана) на краткосрочный и среднесрочный периоды;
3) корпоративную стратегию Фонда или ДНПФ;
4) учетную политику Фонда или ДНПФ;
5) политику Фонда или ДНПФ по управлению рисками;
6) правила обеспечения информационной безопасности;
7) процедуры осуществления внутреннего аудита;
8) процедуры осуществления внутреннего контроля;
9) политику управления существующим и потенциальным конфликтом интересов;
10) порядок осуществления операционной (текущей) деятельности Фонда или ДНПФ и бухгалтерского учета;
11) инструкцию по охране труда;
12) иные документы, установленные советом директоров Фонда или ДНПФ.
2. Внутренние документы Фонда или ДНПФ, указанные в пункте 1 настоящих Требований, составляются в качестве отдельного документа либо включаются в состав других внутренних документов Фонда или ДНПФ и после согласования с подразделением Фонда или ДНПФ, осуществляющим управление рисками, утверждаются советом директоров Фонда или ДНПФ, за исключением внутренних документов, предусмотренных подпунктами 1), 11) и 12) пункта 1, которые утверждаются правлением Фонда или ДНПФ.
3. Положение об организационной структуре Фонда или ДНПФ определяет:
1) структуру органов, соответствующую их функциональным обязанностям;
2) описание порядка взаимодействия между органами, структурными подразделениями, филиалами, представительствами, работниками;
3) положения об органах Фонда или ДНПФ (за исключением положений об органах, утверждение которых в соответствии с Законом Республики Казахстан "Об акционерных обществах" и уставом Фонда или ДНПФ отнесено к компетенции совета директоров или общего собрания акционеров), структурных подразделениях, определяющие описание их функций, полномочий и обязанностей, а также формы и сроки представления отчетности по вопросам деятельности и информации общему собранию акционеров и совету директоров Фонда или ДНПФ. Перечень информации, представляемой общему собранию акционеров и совету директоров Фонда или ДНПФ, составляется с учетом необходимости предоставления органам Фонда или ДНПФ достаточного для надлежащего исполнения их функциональных обязанностей объема информации;
4) должностные инструкции работников;
5) недопущение возложения на работников подразделения, осуществляющего управление рисками, и службы внутреннего аудита функций других структурных подразделений Фонда или ДНПФ;
6) порядок оценки эффективности деятельности структурных подразделений и работников в течение отчетного периода, в том числе применение мер за невыполнение (некачественное или несвоевременное выполнение) возложенных на них функций и задач.
4. Порядок стратегического планирования на долгосрочный период и составления годового бюджета (финансового плана) на краткосрочный и среднесрочный периоды, а также корпоративная стратегия Фонда или ДНПФ составляются и пересматриваются с целью учета объективных макро- и микроэкономических факторов, влияющих на деятельность Фонда или ДНПФ. Корпоративная стратегия определяет краткосрочные (до года), среднесрочные (от года до трех лет) и долгосрочные (от трех лет и более) цели деятельности Фонда или ДНПФ, маркетинговые планы.
5. Учетная политика Фонда или ДНПФ составляется в соответствии с требованиями Социального кодекса в области пенсионного обеспечения, Закона Республики Казахстан "О бухгалтерском учете и финансовой отчетности".
6. Политика Фонда или ДНПФ по управлению рисками определяет:
1) полномочия и функциональные обязанности по управлению рисками членов совета директоров, правления, подразделения, осуществляющего управление рисками и ответственных работников Фонда или ДНПФ;
2) квалификационные требования к руководящим работникам Фонда или ДНПФ, а также работникам подразделения, осуществляющего управление рисками, включая, но не ограничиваясь, требованиями по наличию высшего образования и стажа работы;
3) наличие в составе организационной структуры Фонда или ДНПФ отдельного структурного подразделения по управлению рисками, не участвующего в осуществлении иных видов деятельности Фонда или ДНПФ;
4) процедуры по идентификации, измерению, оценке, мониторингу и контролю рисков, с использованием международной практики в области управления рисками;
5) порядок измерения рисков, присущих операциям по учету пенсионных активов и накоплений;
6) два уровня контроля операций, перечень которых определяется внутренними документами Фонда или ДНПФ:
работник, выполняющий операцию - первый уровень, непосредственный руководитель, контролирующий работника, выполняющего операцию - второй уровень;
работник (руководитель) структурного подразделения, выполняющего операцию - первый уровень, работник (руководитель) иного структурного подразделения, контролирующего выполнение данной операции - второй уровень;
7) порядок осуществления операционной (текущей) деятельности Фонда или ДНПФ и бухгалтерского учета, определяющий:
структурные подразделения, обеспечивающие осуществление операционной (текущей) деятельности Фонда или ДНПФ, их функции, полномочия и обязанности;
технический порядок проведения операций;
систему бухгалтерского учета операций Фонда или ДНПФ;
систему документооборота и делопроизводства операций Фонда или ДНПФ;
процедуры по предотвращению рисков нарушения порядка осуществления операционной (текущей) деятельности операций Фонда или ДНПФ:
ограничивающие возможность неправильного проведения и недостоверного отражения в учете совершенных операций с финансовыми инструментами;
обеспечивающие разделение функций работников и установление ограниченного доступа работников для участия (управления) при осуществлении бухгалтерской записи в целях недопущения мошенничества и ошибок;
обеспечивающие безопасность проведения операций, а именно выявление и предотвращение случаев злоупотребления при осуществлении операций с доходами и принятии риска, неадекватного размеру собственного капитала и доходов;
обеспечивающие бесперебойное функционирование системы электронной обработки и наличие у лиц, осуществляющих контроль системы электронной обработки данных и отвечающих за вопросы обработки данных, квалификации и опыта, соответствующих профилю работы;
направленные на предотвращение несанкционированного доступа в компьютерную и телекоммуникационную системы и предполагающие наличие у подразделения информационного обеспечения системы проверки уровня допуска при входе и выходе из автоматизированной системы и устанавливающие ответственность подразделения информационного обеспечения по контролю важных ключей, в том числе электронных ключей к информационным базам данных;
направленные на выполнение плановых мероприятий, в том числе при форс-мажорных обстоятельствах по обеспечению сохранности информационных систем баз данных, предусматривающих:
наличие обособленных помещений для технических комплексов информационных баз данных, отвечающих требованиям пожарной безопасности и сейсмоустойчивости, автономного электропитания, резервных компьютеров и сетевых коммуникаций, регулярного формирования резервных копий системно-важных программных файлов и файлов данных;
делегирование полномочий и ответственности в случае возникновения форс-мажорных обстоятельств;
определение действий при наступлении форс-мажорных обстоятельств, предусматривающих правила и руководства для компьютерного центра в случае чрезвычайного сбоя в работе системы;
предотвращение сбоев с помощью регулярных инспекций оборудования и проверки отчетов о работе подразделением информационного обеспечения;
установление порядка планирования, разработки и функционирования систем электронной обработки данных.
7. Правила обеспечения информационной безопасности включают процедуры по обеспечению сохранности сведений, составляющих коммерческую тайну на рынке ценных бумаг, тайну пенсионных накоплений, и недопущению их использования в собственных интересах Фонда или ДНПФ, их работников или третьих лиц.
Правила обеспечения информационной безопасности определяют:
перечень информации, относящейся к коммерческой и (или) иной охраняемой законами тайне (далее – конфиденциальная информация);
порядок составления, оформления, регистрации, учета и хранения документов, содержащих конфиденциальную информацию;
порядок допуска к конфиденциальной информации, с указанием должностей лиц, которые допускаются к данной информации;
механизмы предотвращения утечки конфиденциальной информации и искажения информационных данных, предусматривающие:
перечень информационных данных, имеющих ограниченный доступ;
порядок получения доступа;
порядок контроля доступа к информационным данным, перечня должностей лиц, имеющих доступ к информационным данным;
мероприятия по предотвращению несанкционированного доступа к базе данных посредством осуществления подразделением информационного обеспечения мониторинга и идентификации пользователей базы данных и обеспечения системой, позволяющей идентифицировать пользователя информационной системы.
8. Процедуры осуществления внутреннего аудита определяют:
1) состав службы внутреннего аудита, ее функции, полномочия и обязанности;
2) требования к работникам, осуществляющим внутренний аудит;
3) предмет и объект внутреннего аудита;
4) масштаб и частоту проведения проверок службой внутреннего аудита;
5) обязательную к использованию при проведении внутреннего аудита систему оценки;
6) требования к составлению плана проведения внутреннего аудита;
7) сроки и форму представления службой внутреннего аудита отчетов о результатах проверок совету директоров и правлению Фонда или ДНПФ.
9. Процедуры осуществления внутреннего контроля определяют:
1) требования к работникам, осуществляющим внутренний контроль;
2) предмет и объект внутреннего контроля.
10. Политика управления существующим и потенциальным конфликтом интересов включает:
1) определение ситуаций, при которых интересы должностного лица или работника Фонда или ДНПФ влияют на объективность и независимость принятия ими решений и исполнения обязанностей, а также вступают в противоречие с их обязательством действовать в интересах вкладчиков (получателей пенсионных выплат) Фонда или ДНПФ и (или) акционера (акционеров) Фонда или ДНПФ;
2) принципы деятельности должностных лиц и работников Фонда или ДНПФ при возникновении ситуаций, указанных в подпункте 1) настоящего пункта;
3) порядок осуществления сбора, хранения и мониторинга сведений в целях выявления и описания ситуаций, указанных в подпункте 1) настоящего пункта, в процессе деятельности органов, структурных подразделений, должностных лиц и работников Фонда или ДНПФ;
4) процедуры принятия решений органами Фонда или ДНПФ, направленные на обеспечение независимости и объективности принимаемых решений, включая ограничение права участия в принятии решений должностных лиц и работников Фонда или ДНПФ, при возникновении ситуаций, указанных в подпункте 1) настоящего пункта.
11. Инструкция по охране труда включает:
1) основные требования по пожарной безопасности;
2) описание действий работников Фонда или ДНПФ при наступлении форс-мажорных обстоятельств;
3) порядок использования программно-технических комплексов и иного оборудования работниками Фонда или ДНПФ;
4) последовательность осмотра помещений Фонда или ДНПФ перед их закрытием.
12. Внутренние документы ДНПФ включают пенсионные правила, разработанные в соответствии со статьей 44 Социального кодекса.
Приложение 4 к Правилам формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов |
Требования к организации системы информационного обмена
1. Совет директоров Фонда или ДНПФ в целях эффективного выполнения возложенных обязанностей осуществляет мониторинг и контроль за вопросами управления рисками, аудита посредством анализа:
1) информации о соблюдении (использовании) требований системы управления рисками, полученной от структурного подразделения Фонда или ДНПФ, осуществляющего управление рисками, - на ежеквартальной основе по форме, установленной внутренними документами Фонда или ДНПФ;
2) отчетов о результатах операционной (текущей) деятельности Фонда или ДНПФ в сравнении с тем же периодом за прошлый отчетный период и с запланированными показателями деятельности, полученных от структурного подразделения Фонда или ДНПФ, осуществляющего анализ и планирование бюджета, - на ежеквартальной основе;
3) отчетов по результатам проверок, содержащих выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ, полученных от службы внутреннего аудита Фонда или ДНПФ - по мере подготовки отчетов;
4) отчетов о результатах осуществления контроля за выполнением рекомендаций службы внутреннего аудита по улучшению деятельности Фонда или ДНПФ, полученных от правления Фонда или ДНПФ, - на ежеквартальной основе.
Информация, представляемая совету директоров, включается в повестку заседания совета директоров или направляется членам совета директоров сопроводительным письмом, заверенным подписью первого руководителя Фонда или ДНПФ, либо лицом, его замещающим.
2. Правление Фонда или ДНПФ для осуществления своих функций анализирует:
1) отчеты о результатах деятельности Фонда или ДНПФ в сравнении с тем же периодом за прошлый отчетный период и с запланированными показателями деятельности, полученные от структурного подразделения Фонда или ДНПФ, осуществляющего анализ и планирование бюджета - на ежеквартальной основе;
2) отчеты о доходах (расходах) Фонда или ДНПФ с приложением плановых показателей операционной (текущей) деятельности (включая динамику по видам деятельности) структурных подразделений, филиалов, представительств, полученные от структурного подразделения Фонда или ДНПФ, контролирующего доходы (расходы) Фонда или ДНПФ - на ежемесячной основе;
3) отчеты по результатам проверок, содержащие выводы об имеющихся недостатках и рекомендации по улучшению деятельности Фонда или ДНПФ, полученные от службы внутреннего аудита Фонда или ДНПФ - по мере подготовки отчетов;
4) информацию, полученную от структурного подразделения информационного обеспечения Фонда или ДНПФ о:
состоянии аппаратно-программных технических комплексов;
технических проблемах, обнаруженных в течение отчетного периода;
выявленных несоответствиях внутренним процедурам Фонда или ДНПФ;
мерах, принятых для устранения и предотвращения повторного возникновения проблем и несоответствий - раз в квартал;
5) информацию о нарушении структурными подразделениями либо работниками требований Социального кодекса в области пенсионного обеспечения и Закона о рынке ценных бумаг, а также внутренних документов Фонда или ДНПФ, а также отчеты о самостоятельном выявлении нарушений и принятых мерах по устранению выявленных нарушений от всех структурных подразделений Фонда или ДНПФ - по мере возникновения информации.
3. Служба внутреннего аудита Фонда или ДНПФ получает любые документы и информацию, необходимые для осуществления своих функций от всех структурных подразделений, филиалов, представительств и работников Фонда или ДНПФ, в сроки, указанные в запросах службы внутреннего аудита.
4. Структурное подразделение Фонда или ДНПФ, осуществляющее управление рисками, для осуществления своих функций получает документы и информацию, необходимые для осуществления своих функций, от всех структурных подразделений и работников Фонда или ДНПФ в сроки, указанные в запросах подразделения, осуществляющего управление рисками.
5. Информационный обмен между структурными подразделениями Фонда или ДНПФ осуществляется в соответствии с внутренними документами Фонда или ДНПФ.
Приложение 5 к Правилам формирования системы управления рисками и внутреннего контроля единого накопительного пенсионного фонда, добровольных накопительных пенсионных фондов |
Требования к программно-техническому обеспечению, используемому для поддержания системы управления рисками
1. Автоматизации подлежат следующие виды операционной деятельности Фонда или ДНПФ:
1) сбор информации, необходимой для функционирования системы управления рисками;
2) учет пенсионных активов и накоплений.
2. Подразделение информационного обеспечения Фонда или ДНПФ ведет учет фактических системных проблем и применяет незамедлительные меры по разработке мер безопасности с целью предотвращения повторного возникновения проблем, посредством проведения следующих мероприятий:
1) заполнение листов учета технических проблем и ведения по ним отчетности;
2) отслеживание причин возникновения проблемы, извещение о них изготовителя информационной системы и принятие коррективных мер для предотвращения их повторного возникновения;
3) проведение не менее, чем раз в квартал, проверок технических комплексов, обеспечивающих функционирование автоматизированной базы данных;
4) осуществление мониторинга и идентификации пользователей терминалов управления автоматизированной базой данных, в том числе контроля видов и объема проведенных ими операций на предмет их соответствия функциональным обязанностям пользователя.