27- بخشنامه شماره 00/241697 مورخ 1400/08/22; ابلاغ «دستورالعمل حداقل الزامات مديريت ريسک عملياتي در مؤسسات اعتباري»

شماره : ۰۰٫۲۴۱۶۹۷ ۱۴۰۰٫۰۸٫۲۲ پوست دارد بانک مرکزی جمهوری اسلامی ایران «بخشنامه» جهت اطلاع مدیران عامل محترم بانکهای دولتی غیر دولتی شرکت دولتی پست بانک موسسات اعتباری غیر بانکی و بانک مشترک ایران - ونزوئلا ارسال میشود با سلام احتراما، همان گونه که مستحضرند بانکها و مؤسسات اعتباری غیربانکی با توجه به ماهیت و کارکرد خود با انواع گوناگونی از ریسکها مواجه میباشند که از جمله آنها میتوان به ریسک نقدینگی ریسک اعتباری و ریسک عملیاتی اشاره نمود. در این میان مدیریت مؤثر و کارآمد ریسک عملیاتی یکی از مؤلفه های مهم در کاهش هزینه ها و زبانهای بانک ها و مؤسسات اعتباری غیربانکی به شمار میرود چرا که ریسک عملیاتی معطوف به احتمال وقوع زیان ناشی از نقصان و یا عدم کفایت فرایندهای داخلی روشها و سیستمها عملکرد و اقدامات افراد و یا ناشی از رویدادهای خارج از بانک و مؤسسه اعتباری غیربانکی است. بدین لحاظ گفته میشود که مدیریت مؤثر و کارآمد ریسک عملیاتی یکی از عوامل مؤثر در کاهش سایر ریسکها نیز میباشد. بر همین اساس بانک مرکزی تاکنون با هدف ایجاد چارچوب مدیریت ریسک عملیاتی در بانکها و مؤسسات اعتباری غیربانکی رهنمودها و مقررات مختلفی از جمله مجموعه رهنمودها برای مدیریت موثر ریسک عملیاتی و حداقل الزامات ناظر بر ریسک فناوری اطلاعات مؤسسات اعتباری را تهیه و به شبکه بانکی کشور ابلاغ نموده است. لیکن روزآمد نمودن ضوابط ناظر بر مدیریت ریسک عملیاتی در بانک ها و مؤسسات اعتباری غیربانکی با عنایت به تغییر و تحولات ایجاد شده در فضای کسب و کار بانکی ضرورت یافته است. از این رو با انجام مطالعه تطبیقی از طریق بررسی مقررات مرتبط با نحوه مدیریت ریسک عملیاتی در بانک ها و مؤسسات اعتباری غیربانکی در سایر کشورها و اسناد بین المللی در این زمینه و با هدف معرفی چارچوب روزآمد و مطلوب مدیریت ریسک عملیاتی در بانکها و مؤسسات اعتباری غیربانکی ضوابطی تحت عنوان دستورالعمل حداقل الزامات مدیریت ریسک عملیاتی در مؤسسات اعتباری پس از اخذ نظرات و پیشنهادات شبکه بانکی کشور و اعمال ملاحظات و بازخوردهای دریافتی تدوین شد و در جلسه مورخ ۱۴۰۰٫۸٫۸ هیات عامل محترم بانک مرکزی مورد تایید قرار گرفت. لازم به ذکر است ضوابط اجرایی و تفصیلی دستور العمل فوق الذكر متعاقباً تدوین و پس از سیر تشریفات اداری تصویب به شبکه بانکی کشور ابلاغ خواهد شد. در پایان ضمن ایفاد نسخه ای از دستور العمل ،موصوف خواهشمند است دستور فرمایند مراتب به قید تسریع و با لحاظ مفاد بخشنامه شماره ٩٦٫١٤٩١۵۳ مورخ ۱۳۹۶٫۵٫١٦ به تمامی واحدهای ذیربط آن بانک مؤسسه اعتباری ابلاغ شده و بر حسن اجرای آن نظارت دقیق به عمل آید. ٫ ۵۴۱۵۱۵۸٫ع مدیریت کل مقررات مجوزهای بانکی و مبارزه با پولشویی اداره مطالعات و مقررات بانکی حمیدرضا غنی آبادی ۳۲۱۵-۰۲ بانک مرکزی جمهوری اسلامی ایران مدیریت کل مقررات مجوزهای بانکی و مبارزه با پولشویی اداره مطالعات و مقررات بانکی دستورالعمل حداقل الزامات مدیریت ریسک عملیاتی در مؤسسات اعتباری مهر ماه ۱۴۰۰ «بسمه تعالی» دستورالعمل حداقل الزامات مدیریت ریسک عملیاتی در مؤسسات اعتباری در اجرای بند «ب» ماده (۱۱) قانون پولی و بانکی کشور و همچنین به استناد ماده (۶۲) آیین نامه نحوه تأسیس و اداره مؤسسات اعتباری غیر دولتی مصوب شورای پول و اعتبار و به منظور فراهم نمودن زمینه اجرای مؤثر ماده (۱۲۰) اساسنامه بانکهای تجاری غیر دولتی و ایجاد نظام مؤثر مدیریت ریسک عملیاتی در شبکه بانکی کشور دستورالعمل حداقل الزامات مدیریت ریسک عملیاتی در مؤسسات اعتباری که از این پس به اختصار «دستورالعمل» نامیده میشود به شرح زیر تدوین می گردد فصل اول تعاریف و کلیات ماده ۱ در این دستور العمل عناوین زیر به جای عبارتهای مربوط بکار میروند ۱-۱- بانک مرکزی بانک مرکزی جمهوری اسلامی ایران ۱-۲- مؤسسه اعتباری بانک یا مؤسسه اعتباری غیربانکی که با مجوز بانک مرکزی تأسیس شده و تحت نظارت بانک مرکزی قرار دارد ۱۳ نظام کنترل داخلی مجموعه ای از فرایندها و رویه هایی است که توسط هیات مدیره مؤسسه اعتباری هیأت عامل و دیگر کارکنان آن برای حصول اطمینان از کارایی و اثر بخشی عملیات به منظور نیل به اهداف مقرر همچنین تهیه گزارشهای مالی قابل اتکا و انطباق با قوانین و مقررات طراحی و سازی میشود. ۱-۴- تضاد منافع هر گونه تعارض میان منافع مؤسسه اعتباری سهامداران یا منافع مشتریان با منافع هیات مدیره و هیات عامل به نحوی که دستیابی به هر یک مستلزم چشم پوشی از تمام یا بخشی از دیگری باشد؛ ۱-۵- ریسک پذیری سطح کلی ریسک و انواع آن که در مسیر دستیابی به اهداف راهبردی و برنامه های کسب و کار مؤسسه اعتباری مایل به پذیرش آن بوده و از قبل در خصوص پذیرش آن تصمیم گیری نموده است؛ ۱-۶- ظرفیت ریسک حداکثر میزان ریسکی که مؤسسه اعتباری با توجه به سرمایه نظارتی مدیریت ریسک اقدامات کنترلی و ریسک پذیری خود و همچنین حدود نسبتهای احتیاطی قادر به پذیرفتن آن است؛ ۱-۷- مدیریت ریسک بکارگیری مجموعه ای از راهبردها سیستمها و ابزارهای کارآمد و نظارت مستمر بر آنها به منظور شناسایی ارزیابی اندازه گیری کنترل و کاهش ریسکهایی که تأثیرات نامطلوبی بر دستیابی به اهداف مؤسسه اعتباری دارند؛ ۱۸ ریسک عملیاتی احتمال وقوع زیان ناشی از نقصان و یا عدم کفایت فرایندهای داخلی روشها و سیستم ها عملکرد و اقدامات افراد و یا ناشی از رویدادهای خارج از مؤسسه اعتباری ۱۹ ریسک ذاتی ریسک ناشی از بروز یک رویداد در حالتی که هیچ گونه تمهید یا اقدام کنترلی به منظور کاهش تبعات یا احتمال وقوع رویداد مزبور به کار گرفته نشود؛ ۱-۱۰- ریسک باقی مانده ریسک ناشی از بروز یک رویداد با در نظر گرفتن اثر تمهیدات یا اقدامات کنترلی که به منظور کاهش تبعات یا احتمال وقوع رویداد مزبور به کار گرفته شده اند ۱-۱۱- مشخصه ریسک عملیاتی نوع ماهیت و میزان ریسک عملیاتی هر یک از خطوط کسب و کار مؤسسه اعتباری و ارتباط آن با وقایع و رویدادهای موجد ریسک -۱-۱۲- محیط کنترلی مجموعه ای از ضوابط فرایندها و ساختارهایی است که مبنای پیاده سازی نظام کنترل داخلی را در مؤسسه اعتباری فراهم می کند. فصل دوم وظایف و مسئولیتهای هیأت مدیره ماده ۲ هیات مدیره مؤسسه اعتباری موظف است چارچوب مدیریت ریسک عملیاتی مؤسسه اعتباری را با لحاظ حداقل موارد زیر تدوین تصویب و به طور دوره ای بازبینی نماید ۱-۲- گلوگاههای بروز ریسک عملیاتی منابع اصلی موجد ریسک و شرح و طبقه بندی زبانهای ناشی از آنها بر اساس میزان و شدت آن در تمامی سطوح مؤسسه اعتباری ۲-۲- ساختارهای حاکمیتی مورد نیاز برای مدیریت ریسک عملیاتی از قبیل خطوط گزارش دهی و پاسخگویی -۳-۲ ابزارهای ارزیابی و اندازه گیری ریسک عملیاتی و چگونگی استفاده از آنها -٢-٤- میزان پذیرش و تحمل ریسک عملیاتی با توجه به ماهیت انواع و سطوح ریسک ۲۵- خط مشی ها راهبردها و ابزارهای کنترل و کاهش ریسک عملیاتی از جمله برنامه یا برنامه های تداوم کسب و کار و خط مشی لازم در خصوص فرایند بررسی و تأیید محصولات فعالیتها فرایندها و نظام های جدید از منظر مدیریت ریسک عملیاتی در سطح مؤسسه اعتباری فرایند مزبور باید حداقل موارد زیر را در برگیرد -۱-۲۵ ریسک ذاتی محصولات فعالیت و خدمات جدید ۲-۲۵ تغییر در مشخصه ریسک عملیاتی ریسک پذیری حدود تحمل ریسک و ریسک فعالیت ها و محصولات موجود؛ ۳-۲-۵ کنترلهای ضروری فرایندهای مدیریت ریسک و راهبردهای کاهش ریسک -۴-۲۵ ۵-۲۵ ریسک باقی مانده تغییر در آستانه ها یا حدود ریسک ۶۲۵ -۷-۲۵ فرایندها و شاخصهای مربوطه به مدیریت ریسک محصولات و یا فعالیت های جدید پیش بینی سرمایه گذاری مناسب در زمینه منابع انسانی و زیر ساختهای فن آوری مورد نیاز برای ارایه محصولات جدید ٢-٦- سیستم های اطلاعات مدیریت و گزارشگری ریسک چارچوب گزارشگری مناسب به منظور مدیریت مؤثر ریسک عملیاتی در تمام سطوح مؤسسه اعتباری باید حداقل در برگیرنده موارد زیر باشد: بررسی شاخصهای مالی ریسک ،عملیاتی رعایت قوانین و مقررات و اطلاعات محیطی اطلاعات بازار رویدادها و شرایطی بیرونی مؤثر بر تصمیم گیری های مؤسسه اعتباری -٢-٦-٢ منابع اصلی ریسک عملیاتی -٦٢-٣ موارد نقض مرتبط با بیانیه ریسک پذیری مؤسسه اعتباری ٤٠٦٢ ٦٢-٠٥ جزئیات رویدادهای داخلی و زبانهای حایز اهمیت ریسک عملیاتی رویدادهای بیرونی مرتبط و تأثیرات بالقوه آنها بر سرمایه مؤسسه اعتباری و سرمایه پوششی ریسک عملیاتی ۷-۲- ایجاد درک مشترکی از مفاهیم ریسک عملیاتی به منظور حصول اطمینان از وجود سازگاری بین کارکردهای شناسایی ریسک طبقه بندی منابع در معرض ریسک و اهداف مدیریت ریسک؛ فراهم سازی امکان بررسی و ارزیابی مستقل و مناسب از ریسک عملیاتی ۹-۲- الزام به بررسی و بازنگری در خط مشیهای مدیریت ریسک عملیاتی در مواقع بروز تغییرات حایز اهمیت در مشخصه ریسک عملیاتی مؤسسه اعتباری ماده - هیأت مدیره مؤسسه اعتباری موظف است ضوابط ناظر بر نحوه ارائه خدمات اجاره صندوق امانات به مشتریان را که حداقل باید شامل موارد زیر باشد، به تصویب برساند: ۳-۱- مفاد قرارداد فیمابین حقوق مسئولیتها و تعهدات طرفین -۳-۲- اخذ تأییدیه از مشتری دایر بر اطلاع از عدم پوشش بیمه ای برای محتوای صندوق و الزامی نبودن ابراز محتوای صندوق ۳-۳- شرایط دسترسی به محتوای صندوق از جمله نحوه تمهید محیط مناسب خصوصی برای این منظور ۳۴ نحوه اعمال کنترلهای لازم برای حصول اطمینان از عدم دسترسی اشخاص غیر مجاز به محتوای صندوق ۳-۵- محافظت از کلیدهای اصلی و جایگزین و تعویض قفل صندوقهای تخلیه شده؛ -۳-۶ فرایند احراز هویت و شناسایی اشخاص دارای دسترسی به هر صندوق نگهداری فهرست مراجعات و سوابق فراهم شدن دسترسی برای اشخاص موصوف فرایند استعلام از مراجع داخلی و بیرونی ذی ربط و نیز تشریفات و حداقل تعداد نمایندگان حاضر از طرف مؤسسه اعتباری و تنظیم صورتجلسه مقتضی به منظور فراهم نمودن دسترسی برای ضابطان قضایی و انتظامی یا سایر اشخاص ذی صلاح فصل سوم وظایف و مسئولیتهای هیأت عامل ماده ۴ هیأت عامل مؤسسه اعتباری در راستای مدیریت ریسک عملیاتی موظف به انجام وظایف زیر است: -۴-۱- پیاده سازی چارچوب مدیریت ریسک عملیاتی از طریق استقرار نظامها و فرایندهای سازگار با مشخصه ریسک عملیاتی و میزان تحمل و پذیرش ریسک مؤسسه اعتباری در تمامی محصولات و فعالیت ها و نیز به کارگیری راهبردهای مصوب هیأت مدیره در خصوص مدیریت ریسک به صورت کارا و اثربخش ۴-۲- تعیین واحد اجرایی مسئول مدیریت ریسک عملیاتی و یا عند اللزوم ایجاد واحد مزبور به صورت مستقل با تعیین شرح وظایف و اختیارات تفصیلی مطابق با ضوابط ناظر بر حاکمیت شرکتی ۴-۳- شناسایی ارزیابی اندازه گیری کنترل و کاهش مؤثر ریسک عملیاتی مؤسسه اعتباری ناشی از عوامل بیرونی نظیر وقوع بلایای طبیعی و اقدامات مجرمانه از سوی اشخاص غیر کارمند که منجر به ایراد خسارت به مؤسسه اعتباری میگردد؛ عوامل درونی نظیر نامناسب بودن سیاستها رویه ها و کنترلهای موجود در مؤسسه اعتباری خطاهای مربوط به ورود اطلاعات مستند سازی ناصحیح نگهدای نامناسب از سخت افزارها نرم افزارها و تجهیزات فصل چهارم سایر ماده ۵ ضوابط اجرایی ناظر بر مفاد این دستور العمل و مباحث ویژه در مدیریت ریسک عملیاتی نظیر محصولات و خدمات جدید برون سپاری سیستمها و زیر ساختهای فناوری اطلاعات توسط بانک مرکزی تدوین و به شبکه بانکی ابلاغ میشود. دستور العمل حداقل الزامات مدیریت ریسک عملیاتی در مؤسسات اعتباری » مشتمل بر ۵ ماده در چهلمین جلسه مورخ ٫۱۴۰۰٫۸ هیأت عامل بانک مرکزی به تصویب رسید و از تاریخ ابلاغ، لازم الاجرا می باشد.