| Утверждены Правила формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных
|
| В соответствии с подпунктом 10) части второй пункта 1 статьи 4 Закона Республики Казахстан «О цифровых активах в Республике Казахстан» Правление Национального Банка Республики Казахстан утверждены Правила формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов (далее - Правила). Целью Правил является определение требований к формированию ПУЦА систем управления рисками и внутреннего контроля путем обеспечения: Действие подпункта 1 пункта 3 приостановлено до 12 июля 2026 года, в период приостановления данный подпункт действует в редакции пункта 4 постановления 1) эффективного управления рисками ПУЦА посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия деятельности ПУЦА, выбранной бизнес модели, требованиям по корпоративному управлению, функционированию цифровых систем, цифровых платформ (торговых платформ) и систем управленческой информации, проведению разрешенных операций, управлению активами и обязательствами, функционированию системы учета ПУЦА и иных цифровых и коммуникационных систем ПУЦА, а также уровню принимаемых им рисков и наличия соответствующего уровня ликвидности; 2) надлежащей практики корпоративного управления и надлежащего уровня деловой этики и риск-культуры; 3) соблюдения ПУЦА и его работниками требований гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан «О Национальном Банке Республики Казахстан», законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, внутренних политик, процедур и иных внутренних документов ПУЦА, регламентирующих порядок оказания услуг и проведения операций на рынке цифровых активов, а также законодательства иностранных государств, оказывающего влияние на деятельность ПУЦА; 4) своевременного обнаружения и устранения недостатков в деятельности ПУЦА и его работников; 5) создания в ПУЦА адекватных механизмов для решения непредвиденных или чрезвычайных ситуаций; 6) рационального принятия решений и действий в интересах ПУЦА на основании всесторонней оценки предоставляемой информации добросовестно, с должной осмотрительностью и заботливостью (duty of care); 7) принятия решений работниками и должностными лицами ПУЦА добросовестно; 8) распределения функций, обязанностей и полномочий управления рисками между всеми структурными подразделениями и работниками ПУЦА, и их ответственности с учетом минимизации конфликта интересов; 9) разделения функции управления рисками и внутреннего контроля от операционной деятельности ПУЦА посредством построения системы трех линий защиты, которая включает: первую линию - на уровне структурных подразделений или сотрудников бизнес подразделений ПУЦА; вторую линию - на уровне подразделения (ответственного работника) по управлению рисками и выполняющих контрольные функции; третью линию - на уровне подразделения (ответственного работника) внутреннего аудита в части оценки эффективности функционирования системы управления рисками; ПУЦА применяет риск-ориентированный подход в формировании трех линий защиты, который предполагает учет своего размера, значимости, характера, масштаба и сложности деятельности ПУЦА. Информационный обмен между подразделениями (ответственными работниками) ПУЦА по вопросам управления рисками и внутреннего контроля осуществляется в соответствии с внутренними документами. 10) наличия документов, разработанных в целях регламентирования деятельности ПУЦА, создания и функционирования у ПУЦА эффективных систем управления рисками и внутреннего контроля и соответствующих стратегии, организационной структуре, профилю рисков ПУЦА и требованиям гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан «О Национальном Банке Республики Казахстан», законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, а также их периодического пересмотра и актуализации; 11) соблюдения действующих процедур, процессов, политик и иных внутренних документов ПУЦА по управлению рисками посредством построения эффективной системы внутреннего контроля. ПУЦА не реже одного раза в год в порядке, предусмотренном внутренним документом ПУЦА, проводит стресс-тестирование по основным рискам, которым подвержена деятельность ПУЦА. Стресс-тестирование по операционному риску в части организации и проведения торгов проводится путем тестирования торговой платформы оператора торговой платформы цифровых активов на: 1) моделирование стрессовых ситуаций функционирования элементов торговой платформы, включающих в себя количество пользовательских подключений, пропускную способность потоков информации, скорость подачи заявок и заключения сделок, отказ компонентов торговой платформы на основных и (или) вспомогательных серверах; 2) на подборку, комбинирование и моделирование стрессовых ситуаций и параметров функционирования элементов торговой платформы, включая сетевые соединения, операционную систему, базу данных, уровень авторизации (доступа) к торговой платформе, количество пользователей, потоки информации, объемы торгов, нагрузку на основной и (или) вспомогательный сервер (с указанием уровня критической нагрузки). ПУЦА не реже одного раза в год в порядке, предусмотренном внутренним документом ПУЦА, проводит бэк-тестинг, а именно проверки эффективности процедур измерения рисков с использованием исторических данных по деятельности ПУЦА и сравнением рассчитанных в результате проведения стресс-тестирования результатов с текущими (фактическими) результатами от совершения операций с цифровыми активами и (или) финансовыми инструментами. ПУЦА представляет результаты стресс-тестирований и бэк-тестингов с предложениями по совершенствованию процедур управления рисками (при необходимости) органу управления (исполнительному органу, наблюдательному совету - при наличии), который использует результаты оценки рисков и регулярных стресс-тестирований и бэк-тестингов при принятии решений в отношении деятельности ПУЦА и совершения сделок с цифровыми активами и (или) финансовыми инструментами. Система управления рисками ПУЦА включает следующие направления его деятельности: 1) проведение и администрирование процесса расчетов и (или) торгов по операциям с цифровыми активами и деньгами; 2) сбор, ввод, хранение и распространение информации, представляемой эмитентами цифровых финансовых активов и клиентами ПУЦА (эмитент цифровых финансовых активов не предоставляет информацию оператору обмена необеспеченных цифровых активов); Действие подпунктов 3 - 5 пункта 7 приостановлено до 12 июля 2026 года, в период приостановления данные подпункты действуют в редакции пункта 4 постановления 3) проведение регулярного мониторинга систем учета, иных цифровых и коммуникационных систем (цифровых платформ, торговых платформ) в целях обеспечения бесперебойности, непрерывности деятельности процесса оказания услуг цифровых активов для ПУЦА (за исключением оператора обмена необеспеченных цифровых активов), учета прав по цифровым активам и иным финансовым инструментам, расчетов в цифровых активах и (или) деньгах, а также отражения сведений, содержащихся в соответствующих системах учета; 4) проведение ежегодного внутреннего аудита программно-технического обеспечения ПУЦА, включая цифровые и коммуникационные системы, используемые ПУЦА в своей деятельности; 5) разработка и реализация проектов, направленных на дальнейшее развитие и совершенствование деятельности ПУЦА в части функционирования систем учета, цифровых и коммуникационных систем (цифровых платформ, торговых платформ), процесса оказания услуг цифровых активов для ПУЦА, учета ПУЦА (за исключением оператора обмена необеспеченных цифровых активов) прав по цифровым активам, расчетов в цифровых активах, отражения сведений, содержащихся в системах учета, автоматизации отдельных операций, совершаемых в ПУЦА, а также процесса сбора, ввода, учета, хранения информации и иных направлений деятельности ПУЦА; 6) разработка и утверждение внутренних документов, в том числе политики инвестирования собственных активов ПУЦА в цифровые активы и (или) финансовые инструменты в соответствии с порядком, предусмотренном внутренним документом ПУЦА; 7) создание и совершенствование организационно-функциональной структуры управления ПУЦА; 8) представление информации, необходимой для принятия решений, заинтересованным органам ПУЦА и обмен информацией между органами и подразделениями (ответственными работниками) ПУЦА; 9) мониторинг соблюдения ПУЦА и его работниками требований, установленных законодательством Республики Казахстан о цифровых активах, о рынке ценных бумаг, внутренней политикой ПУЦА в области управления рисками; 10) определение порядка организации ПУЦА работы с клиентами, в том числе определение процедур по рассмотрению и разрешению споров, а также порядка применения операторами платформы цифровых финансовых активов и (или) операторами торговой платформы цифровых активов соответствующих мер в случае невыполнения клиентами, в том числе эмитентами цифровых финансовых активов и держателями цифровых финансовых активов, своих обязательств; 11) формирование, ведение и хранение ПУЦА информации об операциях (сделках) в системе учета ПУЦА. Положения настоящих Правил применяется к фондовой бирже в части, не урегулированной постановлением Правления Национального Банка Республики Казахстан от 19 декабря 2015 года № 252 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для фондовой биржи» (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 12999). Положения настоящих Правил применяется к центральному депозитарию в части, не урегулированной постановлением Постановление Правления Национального Банка Республики Казахстан от 28 декабря 2018 года № 318 «Об утверждении Правил формирования системы управления рисками и внутреннего контроля для центрального депозитария» (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 18180). Система управления рисками предусматривает, но не ограничивается, наличием следующих внутренних документов: 1) политика ПУЦА по управлению рисками; 2) порядок (политика) инвестирования собственных активов ПУЦА; 3) процедуры осуществления внутреннего контроля и внутреннего аудита; 4) процедуры, направленные на ПОД/ФТ/ФРОМУ; 5) процедуры управления ПУЦА существующими и потенциальными конфликтами интересов; 6) процедуры, направленные на предотвращение использования инсайдерской информации руководящими и иными работниками ПУЦА; 7) порядок осуществления расчетов по заключенным сделкам с цифровыми активами; 8) процедуры перевода цифровых активов и порядок сбора и хранения информации об отправителе и получателе цифровых активов; 9) информационная политика ПУЦА; 10) инструкция по технике безопасности. 11) политики управления рисками мошенничества и противоправных инцидентов. Риск-культура дополняет существующие утвержденные процедуры, процессы и механизмы деятельности ПУЦА и является неотъемлемым компонентом системы управления рисками. ПУЦА на ежегодной основе осуществляет оценку системы управления рисками и внутреннего контроля (далее - Ежегодная оценка) по форме согласно приложению к Правилам и в порядке, предусмотренном внутренними документами ПУЦА. По итогам Ежегодной оценки оформляется отчет об оценке выполнения требований к системе управления рисками по форме согласно приложению к Правилам, который направляется в Национальный Банк Республики Казахстан не позднее первого квартала, следующего за отчетным годом. Задачами формирования системы управления рисками являются: 1) своевременное выявление рисков и угроз; 2) повышение качества оценки максимально допустимых значений показателей рисков; 3) развитие альтернативных механизмов контроля рисков; 4) обеспечение принятия своевременных мер по минимизации и управлению рисками; 5) вовлечение отдельных структурных подразделений ПУЦА (отдельных линий защиты), включая подразделение по управлению рисками, в процесс мониторинга и оценки рисков, а также повышение ответственности работников ПУЦА в области системы управления рисками. Система управления рисками ПУЦА включает идентификацию, измерение, оценку, контроль и мониторинг риска, которые осуществляются в соответствии с порядком, предусмотренным внутренними документами ПУЦА. Руководитель подразделения ПУЦА по управлению рисками (ответственные работники по управлению рисками) и (или) работники подразделения ПУЦА по управлению рисками имеют высшее образование, обладают профессиональной компетентностью и опытом работы не менее трех лет в области управления рисками, а также обладают знаниями финансового законодательства Республики Казахстан и законодательства Республики Казахстан о цифровых активах, рынке ценных бумаг. Дополнительные требования к руководителю и работникам подразделения по управлению рисками устанавливаются ПУЦА. ПУЦА в своей деятельности идентифицирует и дифференцирует следующие типы (виды) рисков: 1) операционные риски; 2) юридические (правовые) риски; 3) репутационные риски; 4) рыночные (ценовые, валютные и процентные) риски; 5) кредитные риски; 6) риски потери ликвидности; 7) риски, определяемые в соответствии с политикой ПУЦА по управлению рисками. Целями процесса идентификации, оценки и контроля рисков являются: 1) своевременное определение неидентифицированных рисков и угроз; 2) повышение качества оценки максимально допустимых значений показателей рисков; 3) развитие альтернативных механизмов контроля рисков; 4) обеспечение принятия своевременных мер по минимизации и управлению рисками; 5) вовлечение отдельных подразделений ПУЦА (ответственных работников), включая подразделение по управлению рисками (ответственного работника по управлению рисками), в процесс идентификации и оценки рисков, а также увеличение ответственности работников ПУЦА в области управления рисками. Процедура идентификации рисков основывается на тщательном обзоре и мониторинге, осуществляемых каждым подразделением ПУЦА в зависимости от вида деятельности подразделения совместно с подразделением по управлению рисками (ответственным работником по управлению рисками). Идентифицированные риски анализируются по следующим характеристикам: 1) частота наступления рисков; 2) масштаб воздействия рисков. На основе результатов анализа риски дифференцируются как приемлемые и неприемлемые в зависимости от значения показателя рисков, определенного в качестве допустимого. Подразделение правового обеспечения (юридическое подразделение или ответственный работник по правовому обеспечению) ПУЦА обеспечивает регулирование юридических (правовых) рисков, возникающих вследствие нарушения ПУЦА требований законодательства Республики Казахстан, в том числе несоответствия внутренних документов ПУЦА требованиям нормативных правовых актов Национального Банка Республики Казахстан, несоответствия практики деятельности ПУЦА ее внутренним документам, а также условий заключенных договоров. Подразделение (ответственный работник) ПУЦА по отношениям с общественностью совместно с подразделением по управлению рисками обеспечивает контроль, мониторинг, а также минимизацию репутационных рисков в порядке, предусмотренном внутренними документами ПУЦА. ПУЦА ежегодно не позднее 1 апреля года, следующего за отчетным, представляет в Национальный Банк Республики Казахстан отчет об оценке выполнения требований к системе управления рисками по форме согласно приложению к Правилам. Постановление вводится в действие с 1 мая 2026 года и подлежит официальному опубликованию. |