Opatření ze dne 10.12.2002, kterým se stanoví požadavky na ověření řídicího a kontrolního systému banky včetně systému řízení rizik

10.12.2002 | Sbírka:  11/2002 (CBN) | Částka:  20/2002ASPI

Vztahy

Nadřazené: 6/1993 Sb., 21/1992 Sb.
Prováděcí: 20/2002 (CBO)
Pasivní derogace: 4/2007 (CBN)
11/2002
OPATŘENÍ
ČESKÉ NÁRODNÍ BANKY ZE DNE 10. PROSINCE 2002, KTERÝM SE STANOVÍ POŽADAVKY NA OVĚŘENÍ ŘÍDICÍHO A KONTROLNÍHO SYSTÉMU BANKY VČETNĚ SYSTÉMU ŘÍZENÍ RIZIK
Česká národní banka podle § 24 a § 41 odst. 3 zákona č. 6/1993 Sb., o České národní bance, ve znění zákona č. 127/2002 Sb., a § 15 zákona č. 21/1992 Sb., o bankách, ve znění zákona č. 126/2002 Sb., stanoví:
§ 1
Účel opatření
(1) Toto opatření se vztahuje na banky a pobočky zahraničních bank působící na území České republiky (dále jen "banka").
(2) Účelem opatření je stanovit základní požadavky na ověření řídicího a kontrolního systému banky včetně systému řízení rizik podle § 22 odst. 1 písm. b) zákona č. 21/1992 Sb., o bankách, ve znění zákona č. 126/2002 Sb. (dále jen "zákon o bankách") a vypracování zprávy o ověření řídicího a kontrolního systému banky včetně systému řízení rizik podle § 22 odst.1 písm. c) zákona o bankách.
(3) Banka zajistí ověření řídicího a kontrolního systému banky včetně systému řízení rizik (dále jen "ověření systémů") a vypracování zprávy o ověření systémů podle stavu k 31. prosinci běžného roku podle požadavků stanovených Českou národní bankou.
(4) Pro účely tohoto opatření řídicí a kontrolní systém banky včetně systému řízení rizik tvoří zejména následující součásti:
a) řídicí a kontrolní systém banky (zejména ve smyslu správa a řízení společnosti), včetně činnosti a postavení interního auditu,
b) systém řízení úvěrového rizika,
c) systém řízení tržních rizik,
d) systém řízení rizika likvidity,
e) systém řízení operačního rizika, včetně rizika informačních technologií a systému k předcházení legalizace výnosů z trestné činnosti prostřednictvím banky.
(5) Česká národní banka odešle bance dopis (dále jen "zadávací dopis"), ve kterém jí sdělí, zda požaduje ověření systémů či zda ověření systémů promíjí nebo požadavek omezuje pouze na některé jejich součásti.
§ 2
Auditorská společnost
(1) Ověření systémů provede a zprávu o ověření systémů vypracuje právnická, popřípadě fyzická osoba vykonávající auditorskou činnost podle zákona č. 254/2000 Sb., o auditorech, ve znění pozdějších předpisů (dále jen "auditorská společnost").
(2) Auditorská společnost zpracovávající zprávu o ověření systémů nemusí být shodná s auditorskou společností, která provádí ověření účetní závěrky banky. Při výběru auditorské společnosti banka postupuje v souladu s § 22 odst. 3 zákona o bankách. Výběr auditorské společnosti banka oznámí České národní bance do jednoho měsíce od doručení zadávacího dopisu.
(3) Zpráva o ověření systémů musí být opatřena obchodní firmou a číslem osvědčení o zápisu auditorské společnosti, podpisem auditora s uvedením jeho jména a příjmení, čísla osvědčení o zápisu a datem vyhotovení zprávy.
§ 3
Zadávání požadavků na rozsah ověření systémů
(1) Banka je povinna smluvně zajistit s auditorskou společností zadání ověření systémů v souladu s požadavky tohoto opatření a zadávacího dopisu.
(2) Česká národní banka je oprávněna vyžádat si smlouvu upravující zadání ověření systémů, která byla uzavřena mezi bankou a auditorskou společností.
§ 4
Ověření systémů auditorskou společností
(1) Ověřením systémů se pro účely tohoto opatření rozumí ověření účinnosti a efektivnosti řídicího a kontrolního systému banky včetně systému řízení rizik jako celku podle postupu určeného tímto opatřením.
(2) Banka zajistí, aby auditorská společnost ověřila systémy a jejich účinnost a efektivnost porovnala s uznávanými a osvědčenými účinnými a efektivními principy a postupy užívanými v bankách při činnostech obdobného charakteru (dále jen "uznávané principy a postupy") tak, aby jí zvolené uznávané principy a postupy, které použije pro ověření systémů, podle jejího odborného úsudku nejlépe odrážely rozsah, typ, povahu a složitost činností, které banka vykonává.
(3) Základní součástí ověření systémů je porovnání a vyhodnocení souladu systémů s regulatorními požadavky vyplývajícími z opatření vydávaných Českou národní bankou a z právních předpisů.
(4) Orientační přehled dalších dokumentů obsahujících uznávané principy a postupy bude Česká národní banka zveřejňovat, přičemž auditorská společnost může použít i další uznávané principy a postupy.
(5) Banka pro auditorskou společnost zajistí v návaznosti na vymezení ověření systémů Českou národní bankou přehled všech relevantních existujících kontrolních mechanismů.
(6) Banka u auditorské společnosti zajistí, aby v návaznosti na vymezení ověření systémů Českou národní bankou auditorská společnost dále postupovala následovně:
a) vyhodnotila účinnost a efektivnost kontrolních mechanismů,
b) specifikovala chybějící kontrolní mechanismy,
c) vyjádřila, jaké riziko zjištěné nedostatky představovaly a představují pro účinnost a efektivnost řídicího a kontrolního systému včetně systému řízení rizik,
d) vyhodnotila účinnost a efektivnost řídicího a kontrolního systému včetně systému řízení rizik v daných oblastech jako celku a vyjádřila, v souladu se zásadou významnosti, jaký vliv měly zjištěné nedostatky na hospodaření a likviditu banky a na tvorbu a rozdělení hospodářského výsledku.
(7) Klasifikaci závažnosti jednotlivých nedostatků podle odst. 6 písm. c) uvede Česká národní banka v úředním sdělení.
§ 5
Základní náležitosti a struktura zprávy o ověření systémů
Základní náležitosti a struktura zprávy o ověření systémů jsou vymezeny v příloze tohoto opatření.
§ 6
Předkládání zprávy České národní bance
(1) Banka se může k předložené zprávě o ověření systémů vyjádřit formou komentáře.
(2) Banka předloží České národní bance zprávu o ověření systémů spolu s případnými komentáři banky do 28. února následujícího roku.
(3) Závažné skutečnosti, které byly zjištěny po předložení zprávy o ověření systémů po jejím předložení České národní bance a mají podstatný vztah k jejímu obsahu, oznámí banka neprodleně České národní bance.
§ 7
Účinnost
Toto opatření nabývá účinnosti 1. ledna 2003.
Guvernér:
doc. Ing. Zdeněk Tůma, CSc. v.r.
Sekce bankovního dohledu
Sekce bankovní regulace
Odpovědný zaměstnanec:
Mgr. Neprašová,
tel. 224 413 915
Ing. Snížková,
tel. 224 412 117
Příl.
Základní náležitosti a struktura zprávy o ověření systémů
1.
kapitola
Stručný popis ověřovaných oblastí
- organizační schéma banky s detailnějším popisem organizační struktury banky v dané součásti řídicího a kontrolního systému banky včetně systému řízení rizik (dále i "oblast")
- stručné vymezení odpovědností a pravomocí relevantních útvarů a výborů
- popis schvalovacích a rozhodovacích procesů v rámci jednotlivých ověřovaných oblastí
- popis metod a postupů používaný v jednotlivých oblastech (např. metody používané pro řízení rizik, metody vyhledávání podezřelých transakcí v oblasti předcházení legalizace výnosů z trestné činnosti)
- strukturu limitů v dané oblasti (pouze pokud je pro zadanou oblast relevantní)
- popis struktury používaných informačních systémů
2.
kapitola
V návaznosti na § 4 odst. 5 a 6 písm. a) opatření budou identifikovány zavedené kontrolní mechanismy a zhodnocena účinnost a efektivnost těchto kontrolních mechanismů (zejména porovnáním s uznávanými principy a postupy). V případě, že byly identifikovány nedostatky, budou tyto skutečnosti v rámci této kapitoly uvedeny, podrobněji však budou jednotlivé nedostatky analyzovány ve 3. kapitole. Tato část zprávy tedy poskytne přehled všech zavedených kontrolních mechanismů (viz ilustrativní příklad v následující tabulce).
Ilustrativní příklad:

+--------------+------------------------------------+-------------------------- +-----------------------+
|Ověřovaná     |Zavedené kontrolní                  |Provedené testy/popř.     |  Zhodnocení           |
|činnost       |mechanismy                          |jiné provedené práce      |                       |
|banky         |                                    |                          |                       |
+--------------+------------------------------------+-------------------------- +-----------------------+
|Systém        |- Relevantní limity jsou stanoveny..|- Seznámili jsme se       | Kontrolní mechanismy  |
|stanovení     |- Limity jsou schváleny odpovědnou  |  s Podpisovým řádem      | jsou účinné a         |
|a sledování   |  osobou / výborem/představenstvem  |- Seznámili jsme se       | efektivní.            |
|limitů        |                                    |  s relevantními vnitřními| ----------------------|
|              |- Limity jsou přehodnocovány        |  předpisy                | ----------------------|
|              |  pravidelně, případně při          |- Ověřili jsme správnost a| Kontrolní mechanismy  |
|              |  významných změnách podmínek na    |  pravidelnost informací  | jsou účinné a         |
|              |  trhu či uvnitř banky....          |  v hlášeních o využití   | efektivní, s výjimkou |
|              |- Využití limitů je pravidelně      |  limitů, překračování    | popsanou v kapitole 3 |
|              |  sledováno a reportováno           |  limitů...               | (monitorování limitů  |
|              |  nezávislým útvarem..              |- ...                     | neprobíhá ve všech    |
|              |- Vnitřní předpisy jsou aktuální.   |                          | případech v souladu   |
|              |- Monitorování limitů probíhá       |                          | s vnitřními           |
|              |  v souladu s platnými vnitřními    |                          | předpisy).            |
|              |  předpisy...                       |                          |                       |
|              |- ...                               |                          |                       |
+--------------+------------------------------------+-------------------------- +-----------------------+
|Zadávání údajů|- Princip "čtyř očí" v oddělení     |- Namátkově zkontrolováno | Kontrolní mechanismy  |
|do            |  Back Office (dále B/O).           |  y obchodních lístků     | jsou účinné a         |
|informačního  |  (Oprávněný pracovník B/O          |  ("ticket") z celkového  | efektivní.            |
|systému banky |  zadává údaje do účetního          |  množství x uzavřených   |                       |
|              |  systému, druhý pracovník B/O      |  obchodů za období ...   |                       |
|              |  toto vložení autorizuje.)         |- Seznámili jsme se       |                       |
|              |- Pracovníci B/O jsou podle         |  s Podpisovým řádem a    |                       |
|              |  předpisu č. x oprávněni tuto      |  relevantními vnitřními  |                       |
|              |  činnost vykonávat                 |  předpisy a pracovními   |                       |
|              |- ...                               |  postupy.                |                       |
|              |                                    |- Účastnili jsme se osobně|                       |
|              |                                    |  procesu zadávání údajů  |                       |
|              |                                    |  do účetního systému     |                       |
|              |                                    |- ...                     |                       |
+--------------+------------------------------------+-------------------------- +-----------------------+
3.
kapitola
V návaznosti na § 4 odst. 6 písm. b) a c) opatření budou specifikovány chybějící kontrolní mechanismy a vyhodnocena závažnost jednotlivých nedostatků.
V této části budou podrobně popsány nedostatky zjištěné v průběhu ověření systémů. Součástí bude i zhodnocení závažnosti daných nedostatků (v souladu s § 4 odst. 7 opatření). Dále bude součástí identifikace chybějících kontrolních mechanismů. Součástí bude i popis, jaký vliv tyto skutečnosti představovaly a představují pro účinnost a efektivnost řídicího a kontrolního systému včetně systému řízení rizik, resp. jeho součástí.
Příklad:
Kontrola limitů měnových pozic neprobíhá ve všech případech v souladu s vnitřními předpisy
Závažnost: nedostatek se střední mírou závažnosti
Nedostatek: Vnitřní předpisy ukládají pracovníkům útvaru řízení rizik provádět kontrolu "intraday" limitů měnových pozic namátkově minimálně 1x denně. Bylo zjištěno, že pracovníci útvaru řízení rizik tuto kontrolu pravidelně neprovádějí.
Vliv na účinnost a efektivnost řídicího a kontrolního systému včetně systému řízení rizik: Při absenci kontroly dodržování "intraday" limitů měnových pozic je zvýšeno riziko jejich překračování a banka se tak vystavuje zvýšenému riziku ztráty z titulu pohybu měnových kurzů .... Jelikož útvar řízení rizik provádí kontrolu dodržování "overnight" limitů měnových pozic ke konci dne, je tento nedostatek hodnocen jako "střední riziko".
4.
kapitola
V návaznosti na § 4 odst. 6 písm. d) opatření bude v této části provedeno celkové vyhodnocení účinnosti a efektivnosti řídícího a kontrolního systému včetně systému řízení rizik v dané oblasti. Bude vyhodnocena účinnosti a efektivnost řídicího a kontrolního systému jako celku včetně systému řízení rizik a vyjádření, v souladu se zásadou významnosti, jaký vliv měly zjištěné nedostatky na hospodaření a likviditu banky a na tvorbu a rozdělení hospodářského výsledku.
Zpráva o ověření systémů bude předložena ČNB v písemné i elektronické podobě (formát *.doc, *.xls nebo *.mdb).