REGULAMENT Nr.
25 din 15 decembrie 2009
privind utilizarea abordarii
avansate de evaluare si aprobarea utilizarii acestei abordari de catre
institutiile de credit, pentru riscul operational
ACT EMIS DE:
BANCA NATIONALA A ROMANIEI
ACT PUBLICAT IN:
MONITORUL OFICIAL NR. 911 din 24 decembrie 2009
Având în vedere prevederile art. 126, 138-140, 384 şi
385 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de
credit şi adecvarea capitalului, aprobată cu modificări şi completări prin
Legea nr. 227/2007, cu modificările şi completările ulterioare, şi ale art. 17
şi 18 din Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale a
Valorilor Mobiliare nr. 24/29/2006 privind determinarea cerinţelor minime de
capital ale instituţiilor de credit şi ale firmelor de investiţii pentru riscul
operaţional, aprobat prin Ordinul Băncii Naţionale a României şi al Comisiei
Naţionale a Valorilor Mobiliare nr. 21/118/2006,
în temeiul prevederilor art. 420 alin. (1) din
Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi
completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare,
precum şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale
a României,
Banca Naţională a României emite prezentul regulament.
CAPITOLUL I
Dispoziţii generale
Art. 1. - (1) Prezentul regulament stabileşte standarde
şi cerinţe ce trebuie respectate în vederea utilizării abordării avansate de
evaluare pentru determinarea cerinţei de capital pentru riscul operaţional în
conformitate cu prevederile secţiunii a 4-a a cap. II din Regulamentul Băncii
Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr.
24/29/2006 privind determinarea cerinţelor minime de capital ale instituţiilor
de credit şi ale firmelor de investiţii pentru riscul operaţional, aprobat prin
Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor
Mobiliare nr. 21/118/2006 (denumit în continuare Regulamentul BNR-CNVM nr.
24/29/2006), precum şi în vederea obţinerii de la Banca Naţională a
României a aprobării necesare în acest sens.
(2) Prezentul regulament se aplică instituţiilor de
credit, persoane juridice române, precum şi sucursalelor din România ale
instituţiilor de credit din state terţe.
(3) Casele centrale sunt responsabile pentru
reglementarea cadrului general aferent utilizării abordării avansate de
evaluare pentru determinarea cerinţei de capital pentru riscul operaţional,
pentru cooperativele de credit din cadrul reţelelor cooperatiste.
Reglementările emise vor avea în vedere prevederile prezentului regulament în
ceea ce priveşte utilizarea abordării avansate de evaluare pentru riscul
operaţional de către cooperativele de credit şi nu vor putea stabili cerinţe
mai puţin restrictive decât cele prevăzute de acesta. In acest sens,
reglementările emise de casa centrală vor fi transmise spre avizare Băncii
Naţionale a României.
(4) Prezentul regulament se aplică la nivel individual
şi, după caz, la nivel consolidat, în conformitate cu Regulamentul Băncii
Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr.
17/22/2006 privind supravegherea pe bază consolidată a instituţiilor de credit
şi a firmelor de investiţii, aprobat prin Ordinul Băncii Naţionale a României şi
al Comisiei Naţionale a Valorilor Mobiliare nr. 14/111/2006.
(5) Fără a aduce atingere alin. (4), în cazul cererilor
pentru obţinerea aprobării de utilizare a abordării avansate de evaluare
formulate în condiţiile prevăzute la art. 182 alin. (1) sau la art. 193 alin.
(1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de
credit şi adecvarea capitalului, aprobată cu modificări şi completări prin
Legea nr. 227/2007, cu modificările şi completările ulterioare, şi în
condiţiile în care Banca Naţională a României nu este autoritatea competentă
responsabilă cu supravegherea pe bază consolidată, instituţiile de credit,
persoane juridice române, sunt exceptate, dacă nu se decide altfel de
către/împreună cu celelalte autorităţi competente implicate, de la aplicarea
prevederilor art. 5-7, 9-26, art. 27 alin. (6) şi (7), art. 50 alin. (5), art.
50 alin. (8), art. 55 alin. (2), art. 60 alin. (4), art. 61 alin. (3) şi (7),
art. 67 alin. (3), art. 75 alin. (2), art. 76, art. 78 alin. (4) şi (5) şi art.
79.
(6) Casele centrale sunt responsabile pentru aplicarea
prezentului regulament la nivel de reţea cooperatistă.
Art. 2. - (1) Termenii şi expresiile utilizate în
prezentul regulament au semnificaţiile prevăzute în Ordonanţa de urgenţă a
Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr.
227/2007, cu modificările şi completările ulterioare, şi în Regulamentul
BNR-CNVM nr. 24/29/2006.
(2) Expresiile „structură de conducere", „funcţie
de supraveghere", „funcţie de conducere" şi „control intern" au
semnificaţiile prevăzute de Regulamentul Băncii Naţionale a României nr.
18/2009 privind cadrul de administrare a activităţii instituţiilor de credit,
procesul intern de evaluare a adecvării capitalului la riscuri şi condiţiile de
externalizare a activităţilor acestora.
(3) Termenul „instituţie" are semnificaţia
prevăzută de Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale
a Valorilor Mobiliare nr. 13/18/2006 privind determinarea cerinţelor minime de
capital pentru instituţiile de credit şi firmele de investiţii, aprobat prin
Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor
Mobiliare nr. 10/107/2006.
(4) In înţelesul prezentului regulament, termenii şi
expresiile de mai jos au următoarele semnificaţii:
a) clasă de risc operaţional- categorie a
riscului operaţional omogenă din punct de vedere al riscurilor acoperite şi al
datelor disponibile pentru analiza acestora;
b) estimare de risc operaţional - distribuţia
pierderilor identificate în cadrul unei clase de risc operaţional;
c) cuantificare a riscului operaţional -
statistică singulară sau parametru singular extrase din estimarea de risc
operaţional;
d) set de date pentru calcul- partea din datele
privind riscul operaţional ale instituţiei de credit utilizată pentru generarea
estimărilor şi cuantificărilor de risc operaţional reglementate;
e) eveniment cu pierdere recuperată prompt -
eveniment din riscul operaţional soldat cu pierdere recuperată complet într-un
interval scurt;
f) eveniment nesoldat cu pierdere - eveniment
din riscul operaţional care nu s-a soldat cu pierdere sau câştig;
g) eveniment din riscul operaţional soldat cu un
câştig - eveniment din riscul operaţional care a generat un câştig;
h) pierderi secvenţiale - ansamblu de pierderi
succesive produse în perioade diferite, dar relaţionate cu acelaşi eveniment
din riscul operaţional;
i) pierderi cu efect multiplu - ansamblu de
pierderi asociate care au afectat entităţi sau linii de activitate, unităţi
etc. diferite, dar care sunt relaţionate cu acelaşi eveniment cauzal;
j) corelaţie - orice formă de dependenţă,
liniară sau nonliniară, relaţionată cu toate datele (reale ori construite) sau
doar cu extremitatea ori restul distribuţiei, dintre două sau mai multe clase
de risc operaţional, cauzată de prezenţa unor factori comuni de natură
diferită, interni ori externi instituţiei de credit, factori care pot influenţa
frecvenţa sau impactul pierderilor observate în mai mult de o singură clasă de
risc operaţional.
Art. 3. - (1) Instituţiile de credit trebuie să dispună
de sisteme de administrare şi cuantificare a riscului operaţional de o
complexitate corespunzătoare complexităţii operaţiunilor/activităţii
desfăşurate.
(2) Aplicarea principiului proporţionalităţii nu
exceptează instituţiile de credit de la obligativitatea respectării
standardelor şi cerinţelor minime impuse de Banca Naţională a României în
vederea utilizării abordării avansate de evaluare.
Art. 4. - Prevederile cap. II se aplică, în mod
corespunzător, în cazul cererilor pentru obţinerea aprobării de utilizare a
abordării avansate de evaluare din partea instituţiilor de credit, persoane
juridice române, care intenţionează să determine cerinţa de capital pentru
riscul operaţional prin utilizarea abordării la nivel individual.
CAPITOLUL II
Solicitarea aprobării de utilizare a abordării
avansate de evaluare
SECŢIUNEA 1
Aspecte generale şi cererea de aprobare
Art. 5. - (1) In cazul instituţiilor de credit care
intenţionează să utilizeze abordarea avansată de evaluare în vederea
determinării cerinţei de capital pentru riscul operaţional la nivel individual,
cererea de aprobare propriu-zisă trebuie să precizeze că instituţia de credit
solicită aprobarea la care se face referire la art. 138 alin. (1) din Ordonanţa
de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin
Legea nr. 227/2007, cu modificările şi completările ulterioare, precum şi la
art. 17 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, avându-se în vedere
detaliile din documentaţia ce însoţeşte cererea.
(2) In cazul utilizării abordării avansate de evaluare
de către o instituţie de credit-mamă la nivelul Uniunii Europene şi filialele
acesteia sau de către filialele unei societăţi financiare holding-mamă la
nivelul Uniunii Europene, cererea de aprobare propriu-zisă trebuie să precizeze
faptul că membrii grupului la nivelul Uniunii Europene solicită împreună
aprobarea la care se face referire la art. 138 alin. (1) şi art. 140 din
Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi
completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare,
precum şi la art. 17 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006,
avându-se în vedere detaliile din documentaţia ce însoţeşte cererea.
Art. 6. - (1) Documentaţia minimă ce trebuie furnizată
Băncii Naţionale a României odată cu cererea de aprobare a utilizării abordării
avansate de evaluare se constituie din următoarele:
a) documentaţia privind sistemele de cuantificare a
riscului operaţional;
b) documentaţia privind mediul de control al sistemului
de cuantificare a riscului operaţional, procedurile de implementare şi
infrastructura aferentă tehnologiei informaţiei (IT);
c) planul de implementare (incluzând implementarea
graduală) şi, dacă este cazul, detalii privind utilizarea parţială permanentă;
d) documentul în care este descris procesul de
autoevaluare şi în care sunt prezentate concluziile acestuia prin care să se
certifice conformitatea cu standardele şi cerinţele impuse de Banca Naţională a
României în vederea utilizării abordării avansate de evaluare, documentul în
care sunt descrise concluziile programului de validare internă derulat în
vederea solicitării aprobării de utilizare a abordării avansate de evaluare şi
raportul de audit; se vor include rezultatele examinării independente
solicitate la art. 23 alin. (1), precum şi descrierea urmării rezultatelor
programului de validare internă;
e) Formularul 13: OPR- Riscul operaţional, Formularul
14: OPR Details - Riscul operaţional: valori brute ale pierderilor pe linii de
activitate şi categorii de evenimente în ultimul an şi Formularul 15: OPR Loss
Details - Pierderi majore din riscul operaţional înregistrate în ultimul an sau
care sunt încă nefinalizate, prevăzute în anexa nr. I la Ordinul Băncii
Naţionale a României nr. 12/2007 privind raportarea cerinţelor minime de
capital pentru instituţiile de credit, cu modificările şi completările
ulterioare, completate.
(2) Cu excepţia cazurilor în care se indică altfel,
documentaţia minimă ce însoţeşte cererea de aprobare, la care se face referire
la alin. (1), trebuie să conţină informaţii generale privind aplicarea
abordării avansate de evaluare.
Art. 7. - (1) Cererea de aprobare trebuie semnată de
către un membru executiv al structurii de conducere a fiecărei entităţi
juridice dintre cele care solicită aprobarea, membru care este împuternicit să
angajeze legal entitatea respectivă.
(2) Semnatarul sau, după caz, semnatarii trebuie să
confirme în cadrul cererii de aprobare că documentaţia însoţitoare reprezintă
un rezumat adevărat şi just al subiectelor acoperite.
(3) Pentru scopurile alin. (2), prin rezumat se înţelege
faptul că documentaţia furnizează o prezentare pe scurt - care redă doar
aspectele principale - a subiectului în cauză, prin adevărat faptul că
informaţiile cuprinse în rezumat nu sunt false şi/sau nu induc în eroare, iar
prin just faptul că informaţiile prezintă un rezumat de ansamblu
rezonabil, fără a omite aspecte semnificative; documentaţia minimă ce însoţeşte
cererea de aprobare, la care se face referire la art. 6 alin. (1), trebuie să
ofere un rezumat al practicilor curente sau planificate ale instituţiei de
credit/instituţiilor suficient de detaliat pentru a permite Băncii Naţionale a
României să facă o evaluare iniţială a solicitării de acordare a aprobării de
utilizare a abordării avansate de evaluare şi să stabilească, pe baza riscului,
un plan pentru o evaluare mai aprofundată.
(4) Instituţiile de credit trebuie să comunice Băncii
Naţionale a României persoana responsabilă cu menţinerea relaţiei cu Banca
Naţională a României şi înlocuitorul acesteia.
Art. 8. - Pe parcursul perioadei de observare istorică
de cel puţin 5 ani, respectiv de minimum 3 ani, prevăzute la art. 21 alin. (1)
din Regulamentul BNR-CNVM nr. 24/29/2006, instituţiile de credit care
intenţionează să utilizeze abordarea avansată de evaluare în scopul raportării
cerinţei de capital pentru riscul operaţional trebuie să poată completa şi
transmite Băncii Naţionale a României, la solicitarea acesteia, Formularul 14:
OPR Details - Riscul operaţional: valori brute ale pierderilor pe linii de
activitate şi categorii de evenimente în ultimul an şi Formularul 15: OPR Loss
Details - Pierderi majore din riscul operaţional înregistrate în ultimul an sau
care sunt încă nefinalizate prevăzute în anexa nr. I la Ordinul Băncii
Naţionale a României nr. 12/2007, cu modificările şi completările ulterioare.
SECŢIUNEA a 2-a
Documentaţia privind sistemele de cuantificare a riscului operaţional
Art. 9. - (1) Pentru scopurile art. 6 alin. (1) lit.
a), documentaţia privind sistemele de cuantificare a riscului operaţional
trebuie să includă cel puţin următoarele:
a) un plan cu modelele ce vor fi utilizate - o
declaraţie prin care sunt explicate care operaţiuni şi/sau riscuri operaţionale
sunt acoperite de fiecare model şi prin care este justificată utilizarea de
modele diferite;
b) o descriere generală a tuturor modelelor;
c) descrierea alocării capitalului pentru riscul
operaţional între entităţi diferite din cadrul grupului şi a utilizării
efectelor diversificării;
d) în cazul în care instituţia de credit utilizează
instrumente de diminuare a cerinţei de capital pentru riscul operaţional,
documentaţia privind acoperirea şi cuantificarea pierderilor aşteptate,
documentaţia cuprinzând politica instituţiei de credit cu privire la asigurarea
la riscul operaţional sau alte mecanisme de transfer al acestui risc, precum şi
documentaţia privind examinarea şi recunoaşterea de corelaţii.
(2) Pentru scopurile alin. (1) lit. b), documentaţia
aferentă descrierii generale a modelului/modelelor trebuie să cuprindă cel
puţin următoarele:
a) o listă cu definiţiile stabilite de instituţia de
credit pentru riscul operaţional, pierderile din riscul operaţional, liniile de
activitate, categoriile de evenimente şi orice alţi termeni utilizaţi şi
consideraţi de instituţia de credit ca prezentând relevanţă;
b) o descriere generală a modelului/modelelor,
respectiv atât o descriere nonmatematică, cât şi o descriere matematică, precum
şi justificarea alegerii acestuia/acestora; pentru fiecare model vor fi avute
în vedere cel puţin următoarele:
- prezentarea claselor de risc operaţional identificate
utilizate la calculul cerinţei de capital, inclusiv a legăturii dintre acestea
şi liniile de activitate şi categoriile de evenimente de risc operaţional
stabilite prin Regulamentul BNR-CNVM nr. 24/29/2006;
- descrierea modului în care se asigură generarea
cuantificării riscului operaţional la un standard de rigurozitate comparabil cu
un nivel de încredere de 99,9% şi, dacă este cazul, precizarea nivelului de
încredere la care este calculată cuantificarea iniţială, precum şi a metodei de
ajustare de tip scaling utilizate;
- rezultatele evaluării acurateţei cerinţei de capital
pentru riscul operaţional;
c) politica instituţiei de credit privind datele
aferente riscului operaţional - documentaţia aferentă trebuie să cuprindă cel
puţin următoarele aspecte:
- perioada de observare istorică folosită;
- o descriere a fluxurilor operaţionale, procedurilor
şi sistemelor legate de colectarea şi stocarea datelor, inclusiv a celor
privind colarea datelor relevante pentru calculul cerinţei de capital pentru
riscul operaţional, cu indicarea oricăror intervenţii manuale; se includ de
asemenea descrierea caracteristicilor pierderilor înregistrate în bazele de date
şi descrierile bazelor de date utilizate în cadrul abordării avansate de
evaluare - formalizarea bazelor de date semnificative trebuie să fie suficientă
pentru a permite instituţiilor de credit să furnizeze Băncii Naţionale a
României informaţiile necesare în vederea determinării solidităţii bazelor de
date, precum o descriere generală a bazelor de date (mărime aproximativă, data
la care baza de date a fost construită, „proprietarul" etc), sursa
datelor, procesele utilizate pentru obţinerea şi încărcarea datelor, filtrele
utilizate pentru a crea şi depana baza de date (precum valori minime şi
maxime), controale ale transparenţei, accesului, coerenţei etc;
- pragurile de pierdere minimă folosite pentru
colectarea de date interne şi prezentarea de dovezi ale îndeplinirii
prevederilor art. 60 alin. (3);
- informaţii pertinente cu privire la politica de
identificare a pierderilor, criteriile de repartizare a pierderilor pe linii de
activitate şi categorii de evenimente de pierdere, incluzând criteriile la care
se face referire la art. 21 alin. (9) din cadrul Regulamentului BNR-CNVM nr.
24/29/2006, şi politica la care se face referire la art. 61 alin. (1),
incluzând tratamentul evenimentelor cu pierdere recuperată prompt;
- politica instituţiei de credit privind pierderile din
riscul operaţional legate de riscul de credit şi riscul de piaţă;
- dacă este cazul, fundamentarea faptului că
activităţile sau expunerile excluse, luate atât individual, cât şi în
combinaţie, nu au impact semnificativ asupra estimărilor de risc globale;
- descrierea procedurilor pentru evaluarea relevanţei
în timp a datelor interne privind pierderile din riscul operaţional;
- descrierea datelor externe: descrierea naturii
datelor externe utilizate şi indicarea surselor de date externe; descrierea
condiţiilor şi practicilor de utilizare a datelor externe, inclusiv descrierea
oricărei ajustări pentru a le face relevante pentru instituţia de credit;
evaluarea relevanţei datelor externe; politica instituţiei de credit cu privire
la revizuirea cu regularitate a condiţiilor şi practicilor de utilizare a
datelor externe şi la supunerea acestora unei examinări independente;
- descrierea analizelor de scenarii: procedurile
privind construirea de scenarii, evaluarea, validarea şi revizuirea lor;
descrierea modului şi a gradului în care analizele de scenarii sunt utilizate;
- descrierea factorilor legaţi de mediul de afaceri şi
controlul intern: descrierea modului în care factorii importanţi legaţi de
mediul de afaceri şi controlul intern sunt aleşi şi luaţi în considerare în
cadrul sistemului de cuantificare a riscului operaţional; justificarea
senzitivităţii estimărilor de risc operaţional la modificările intervenite în
factorii legaţi de mediul de afaceri şi controlul intern consideraţi, precum şi
a ponderării relative a acestora; procedurile de validare şi revizuire ale
factorilor legaţi de mediul de afaceri şi controlul intern ale instituţiei de
credit; prezentarea celor mai importanţi determinanţi de risc operaţional şi
evaluarea abilităţii sistemului de cuantificare de surprindere a acestora;
- descrierea modului în care se asigură evitarea luării
în considerare de mai multe ori a rezultatelor pozitive ale evaluărilor
calitative sau a tehnicilor de diminuare a riscului operaţional;
- descrierea modului în care cele patru elemente
utilizate în cadrul abordării avansate de evaluare, indicate la art. 20 alin.
(3) din Regulamentul BNR-CNVM nr. 24/29/2006, sunt combinate şi/sau ponderate,
cu indicarea, dacă este cazul, a variaţiei acestui mod de la o clasă de risc
operaţional la alta, incluzând descrierea importanţei elementelor calitative în
cadrul sistemului de cuantificare;
- planul global cuprinzând punctele slabe ale datelor
şi sistemelor IT descoperite în timpul procesului de examinare şi validare
internă, precum şi descrierea modului în care instituţia de credit planifică să
corecteze sau să diminueze punctele slabe.
(3) Pentru scopurile alin. (1) lit. c), documentaţia
aferentă alocării capitalului şi utilizării efectelor diversificării, ce
trebuie să însoţească cererea de aprobare, trebuie să cuprindă cel puţin
descrierea şi justificarea metodologiei de alocare a cerinţei de capital pentru
riscul operaţional către entităţile din cadrul grupului, incluzând demonstrarea
îndeplinirii prevederilor art. 76 alin. (3) şi (4), şi descrierea efectelor
diversificării, inclusiv a motivaţiei şi mărimii acestora.
(4) Pentru scopurile alin. (1) lit. d), documentaţia
privind acoperirea şi cuantificarea pierderilor aşteptate, ce trebuie să
însoţească cererea de aprobare, trebuie să cuprindă cel puţin următoarele:
a) descrierea modului de cuantificare a pierderilor
aşteptate, justificarea alegerii lui, precum şi tratarea consecvenţei acestuia
cu modul în care este calculată cerinţa de capital în cadrul modelului aferent
abordării avansate de evaluare; şi
b) descrierea practicilor interne ale instituţiei de
credit care reflectă în mod adecvat pierderile aşteptate, a modului în care
acoperirile pierderilor aşteptate îndeplinesc principiile generale prevăzute de
art. 50 alin. (3)-(6) şi, după caz, demonstraţia solicitată la art. 50 alin.
(9).
(5) Pentru scopurile alin. (1) lit. d), documentaţia
cuprinzând politica instituţiei de credit cu privire la asigurarea la riscul
operaţional sau alte mecanisme de transfer al acestui risc, ce trebuie să
însoţească cererea de aprobare, trebuie să cuprindă cel puţin următoarele:
a) demonstrarea caracterului semnificativ al reducerii
expunerii la pierderi din riscul operaţional ca urmare a asigurărilor la acest
risc şi a altor mecanisme de transfer al acestuia şi precizarea gradului de
diminuare a cerinţei de capital ca urmare a recunoaşterii impactului acestora;
b) descrierea politicii instituţiei de credit privind
utilizarea de asigurări sau alte mecanisme de transfer al riscului operaţional,
inclusiv, dacă este cazul, descrierea condiţiilor avute în vedere pentru
recunoaşterea efectului acestora în sensul diminuării cerinţei de capital; şi
c) descrierea metodologiei pentru recunoaşterea
efectului asigurărilor şi altor mecanisme de transfer al riscului operaţional
în calculul cerinţei de capital.
(6) Pentru scopurile alin. (1) lit. d), documentaţia
privind examinarea şi recunoaşterea de corelaţii, ce trebuie să însoţească
cererea de aprobare, trebuie să cuprindă cel puţin următoarele:
a) justificarea luării în considerare a corelaţiilor la
determinarea cerinţei de capital pentru riscul operaţional;
b) descrierea şi justificarea alegerii
metodei/metodelor de calcul al corelaţiilor, prezentarea ipotezelor aferente şi
descrierea procesului de validare şi asigurare a fiabilităţii, relevanţei şi
acurateţei acestora pe bază continuă; şi
c) descrierea modului în care corelaţiile sunt
recunoscute în cadrul modelului la determinarea cerinţei de capital pentru riscul
operaţional.
Art. 10. - Banca Naţională a României poate solicita
unei instituţii de credit să întreprindă analize suplimentare celor indicate în
cadrul acestei secţiuni în vederea facilitării evaluării sistemului de
cuantificare a riscului operaţional.
SECŢIUNEA a 3-a
Documentaţia privind mediul de control
Art. 11. - Pentru scopurile art. 6 alin. (1) lit. b),
documentaţia privind mediul de control, procedurile de implementare şi
infrastructura IT trebuie să cuprindă cel puţin următoarele:
a) o prezentare de ansamblu a cadrului de administrare
a activităţii instituţiei de credit, respectiv:
- o prezentare a rolului şi responsabilităţilor
structurii de conducere în ceea ce priveşte administrarea riscului operaţional,
cu indicarea, dacă este cazul, a delegării anumitor atribuţii;
- o prezentare a rolului şi responsabilităţilor
funcţiei de administrare a riscului operaţional, incluzând o descriere a
modului în care este asigurată independenţa acesteia;
- o prezentare a rolului auditului intern;
- după caz, o prezentare a rolului oricăror altor
comitete implicate în cadrul de administrare a activităţii în ceea ce priveşte
riscul operaţional;
- o prezentare a structurilor de raportare aferente
riscului operaţional, incluzând modul şi frecvenţa de raportare pe cale
ierarhică; şi
- o scurtă prezentare de ansamblu a procesului de luare
a deciziilor aferente riscului operaţional şi a modului în care acesta se
desfăşoară la diferite niveluri organizaţionale;
b) descrierea modului şi a gradului în care instituţia
de credit integrează sistemele interne de cuantificare a riscului operaţional
în procesele curente de administrare a acestui risc, prin raportare la
prevederile art. 27 alin. (2)-(5);
c) prezentarea responsabilităţilor părţilor implicate
în modelare;
d) documentaţia privind validarea, cuprinzând
descrierea şi justificarea metodologiei de validare internă adoptate de către
instituţia de credit, formalizarea validării interne a sistemului de
cuantificare a riscului operaţional la care se face referire la art. 72 alin.
(4), precum şi o prezentare generală a procesului de validare;
e) informaţii generale privind structura IT a
instituţiei de credit, în ceea ce priveşte abordarea avansată de evaluare.
SECŢIUNEA a 4-a
Prezentarea de ansamblu şi planul de implementare
Art. 12. - Pentru scopurile art. 6 alin. (1) lit. c),
instituţiile de credit trebuie să furnizeze Băncii Naţionale a României o
prezentare de ansamblu a ariei de cuprindere a abordării în cauză vizate de
cererea de aprobare, respectiv:
a) o listă a membrilor grupului, inclusiv structura
juridică şi modul de stabilire a cerinţei de capital pentru riscul operaţional
pentru fiecare dintre aceştia, cu indicarea, dacă este cazul, a excepţiilor de
la aplicarea abordării avansate de evaluare, prevăzute a rămâne după
implementarea graduală, şi a raţionamentului pentru utilizarea permanentă
parţială; pentru fiecare sucursală situată într-un stat terţ se va indica
autoritatea responsabilă cu supravegherea ei;
b) o prezentare a structurii organizaţionale a grupului
- linii de activitate şi cadrul de administrare a activităţii; şi
c) informaţii generale privind modificările structurale
sau organizaţionale semnificative planificate care pot avea impact asupra
cererii de aprobare a utilizării abordării avansate de evaluare.
Art. 13. - (1) Pentru scopurile art. 6 alin. (1) lit.
c), instituţiile de credit care intenţionează să utilizeze abordarea avansată
de evaluare a riscului operaţional trebuie să întocmească un plan de
implementare clar, realist şi adecvat, care să acopere atât perioada de timp
până la obţinerea aprobării, cât şi perioada de implementare graduală -
respectiv implementarea ulterioară obţinerii aprobării, şi să îl furnizeze
Băncii Naţionale a României odată cu cererea de aprobare.
(2) Prin planul de implementare la care se face
referire în cadrul alin. (1), o instituţie de credit se angajează să
implementeze abordarea avansată de evaluare, la datele prevăzute, în ceea ce
priveşte toate operaţiunile pentru care solicită aprobare de utilizare a abordării
avansate de evaluare.
(3) Pentru scopurile alin. (1), instituţiile de credit
trebuie să stabilească norme interne cu prevederi detaliate privind
planificarea în timp şi conţinutul, pentru următoarele:
a) organizarea implementării (distribuirea responsabilităţilor
etc);
b) dezvoltarea proceselor de administrare a riscului
operaţional, în special pentru colectarea de date;
c) dezvoltarea metodologiei de cuantificare;
d) implementarea infrastructurii IT utilizate în
scopurile administrării şi cuantificării riscului operaţional;
e) instruirea personalului, inclusiv a personalului de
conducere;
f) testul de utilizare - utilizarea planificată a
diferitelor sisteme de cuantificare a riscului operaţional, respectiv modul în
care, concret, se intenţionează să se utilizeze în activitatea curentă
diferitele modele.
Art. 14. - (1) Instituţiile de credit trebuie să
formalizeze, în sensul descrierii şi justificării, modul în care asigură
îndeplinirea prevederilor art. 30 alin. (1) lit. c) şi d) din Regulamentul BNR-
CNVM nr. 24/29/2006, precum şi acoperirea tuturor operaţiunilor de către una
dintre abordările prevăzute de regulamentul menţionat şi trebuie să transmită
Băncii Naţionale a României documentaţia aferentă.
(2) Banca Naţională a României decide, de la caz la caz,
asupra îndeplinirii prevederilor art. 30 alin. (1) lit. c) şi d) din
Regulamentul BNR-CNVM nr. 24/29/2006.
Art. 15. - (1) Politica privind implementarea graduală
trebuie să trateze cel puţin aspectele prevăzute la alin. (2) şi (3).
(2) Planul de implementare graduală trebuie să prevadă
un termen de implementare stabilit, termen ce trebuie să fie, pe de o parte,
suficient de apropiat pentru ca instituţia de credit să-şi impună disciplina
necesară pentru a putea aplica, într-o perioadă rezonabilă, abordarea avansată
de evaluare într-o măsură extinsă şi, pe de altă parte, suficient de îndepărtat
pentru ca instituţia de credit să asigure calitatea continuă a cadrului de
administrare a activităţii, datelor, metodologiei şi rezultatelor; termenul de
implementare trebuie să fie mai mic de 7 ani şi doar în situaţii excepţionale,
precum cea a unui grup deosebit de complex, poate fi de până la 10 ani.
(3) Instituţia de credit trebuie să stabilească
succesiunea includerii operaţiunilor în abordarea avansată de evaluare; planul
de implementare graduală trebuie stabilit în baza unor considerente practice şi
de fezabilitate, un factor important în acest sens fiind nivelul de risc al
operaţiunilor care nu sunt încă acoperite de abordarea avansată de evaluare; succesiunea
includerii operaţiunilor în aria de cuprindere a abordării avansate de evaluare
face obiectul acordului Băncii Naţionale a României.
(4) Planul de implementare trebuie să cuprindă
justificarea succesiunii stabilite pentru includerea operaţiunilor în abordarea
avansată de evaluare.
Art. 16. - (1) Pe parcursul implementării graduale,
anterior implementării abordării avansate de evaluare asupra unor operaţiuni
adiţionale sau riscuri operaţionale adiţionale, instituţiile de credit trebuie
să realizeze o autoevaluare pentru a asigura conformitatea cu standardele şi
cerinţele minime impuse de Banca Naţională a României în vederea utilizării
abordării avansate de evaluare.
(2) După caz, pentru scopurile alin. (1), în documentul
prin care Banca Naţională a României comunică instituţiei de credit decizia de
aprobare a utilizării abordării avansate de evaluare, se vor indica, de la caz
la caz, obligaţiile ce revin instituţiei de credit pe parcursul implementării
graduale.
Art. 17. - Instituţiile de credit trebuie să dispună de
sisteme şi proceduri de monitorizare în mod oportun şi adecvat ale coerenţei şi
consecvenţei utilizărilor combinate de abordări diferite şi a aspectelor ce ţin
de semnificativitate, substanţialitate şi planificare în timp ale planului de
implementare graduală.
Art. 18. - (1) Instituţiile de credit trebuie să
notifice în scris, în timp util, Banca Naţională a României cu privire la orice
modificări relevante în mediul organizaţional sau de afaceri, datorate fie unor
circumstanţe normale sau excepţionale, precum o achiziţie sau vânzare majore
ori o modificare majoră în acţionariat, conducere sau organizare, care ar putea
avea impact semnificativ asupra planurilor iniţiale de implementare graduală şi
utilizare parţială ale instituţiilor de credit.
(2) Instituţiile de credit trebuie să discute cu Banca
Naţională a României asupra oricăror modificări ale planului de implementare
graduală ce ar putea fi necesare.
Art. 19. - O instituţie de credit care ulterior
obţinerii aprobării de utilizare a abordării avansate de evaluare
achiziţionează o instituţie ce nu utilizează această abordare şi/sau nu a
obţinut aprobare în acest sens trebuie să notifice în acest sens Banca
Naţională a României în scris şi, după caz, va trebui fie să depună un plan de aducere
în conformitate cu standardele şi cerinţele minime impuse de Banca Naţională a
României în vederea utilizării abordării avansate de evaluare, fie să depună o
nouă cerere de aprobare în sensul cap. II, secţiunea a 4-a, subsecţiunea 1
„Cererea de aprobare" din Regulamentul BNR- CNVM nr. 24/29/2006, însoţită
de o politică privind implementarea graduală şi utilizarea parţială nouă.
SECŢIUNEA a 5-a
Autoevaluarea
Art. 20. - (1) Pentru scopurile art. 6 alin. (1) lit.
d), instituţiile de credit trebuie să realizeze o autoevaluare a stadiului de
conformitate cu standardele şi cerinţele minime impuse de Banca Naţională a
României în vederea utilizării abordării avansate de evaluare în contextul
riscului operaţional.
(2) Autoevaluarea trebuie să înceapă cu o evaluare
globală, dintr-o perspectivă consolidată, a modului în care diversele modele se
îmbină şi se armonizează în cadrul instituţiei sau al grupului, evaluare
globală ce trebuie să acopere gradul de adecvare a structurii organizaţionale
în ceea ce priveşte cadrul de administrare a activităţii, gradul de adecvare a
resurselor alocate sistemului de cuantificare a riscului operaţional,
comparabilitatea în cadrul grupului cu privire la date şi metodologie şi
coerenţa şi consecvenţa în organizarea IT.
(3) Autoevaluarea trebuie să acopere toate aspectele
sistemului de cuantificare a riscului operaţional: metodologie, calitate a
datelor, proceduri cantitative şi calitative de validare, cadru de administrare
a activităţii şi mediu tehnologic.
(4) După caz, instituţiile de credit trebuie să
stabilească un plan de acţiune în vederea remedierii omisiunilor şi
deficienţelor identificate, precum şi o planificare pentru obţinerea
conformităţii; omisiunile şi deficienţele identificate nu trebuie să fie
semnificative.
Art. 21. - In cadrul documentului în care este descris
procesul de autoevaluare şi în care sunt cuprinse concluziile acestuia trebuie
prezentate dovezi ale îndeplinirii art. 19 alin. (2) din Regulamentul BNR-CNVM
nr. 24/29/2006, prin raportare la prevederile art. 27 alin. (2)-(5), începând
cu cel puţin un an înainte de data la care cererea de aprobarea a utilizării
abordării avansate de evaluare este transmisă Băncii Naţionale a României.
Art. 22. - Autoevaluarea poate fi realizată de
personalul unei funcţii independente de evaluare a riscului, cu sprijinul, în
cazul în care este necesar, al auditorilor interni.
Art. 23. - (1) Anterior depunerii cererii de aprobare a
utilizării abordării avansate de evaluare, respectiv în etapa de dezvoltare a
modelului, instituţiile de credit trebuie să deruleze un program complet de
validare internă, iar procesele de validare internă şi rezultatele validării
trebuie supuse unei examinări independente.
(2) Instituţiile de credit trebuie să realizeze
periodic o autoevaluare a stadiului de conformitate cu standardele şi cerinţele
minime impuse de Banca Naţională a României în vederea utilizării abordării
avansate de evaluare.
SECŢIUNEA a 6-a
Alte aspecte privind cererea de aprobare
Art. 24. - (1) Cererea de aprobare trebuie redactată în
limba română.
(2) Documentaţia ce însoţeşte cererea de aprobare
trebuie întocmită într-o limbă sau în mai multe limbi stabilită/stabilite de
comun acord de către Banca Naţională a României, autorităţile competente din
statele gazdă şi instituţia de credit. Pentru documentele redactate într-o
limbă străină se va prezenta şi traducerea legalizată a acestora. Pentru
documentele redactate într-o limbă străină de circulaţie internaţională, Banca
Naţională a României poate excepta, de la caz la caz, aplicarea cerinţei
privind traducerea legalizată.
Art. 25. - (1) Atât în contextul cererii iniţiale, cât
şi ulterior, instituţia de credit trebuie să pună la dispoziţia Băncii
Naţionale a României orice informaţii mai detaliate, inclusiv documentele
rezultate în contextul art. 10, ca şi toată documentaţia internă, la
solicitarea acesteia din urmă.
(2) In cazul în care o instituţie de credit apreciază
că dispune de documente interne suplimentare celor menţionate în prezentul
capitol, relevante pentru obţinerea aprobării, aceasta trebuie să transmită
Băncii Naţionale a României lista documentelor respective, odată cu cererea de
aprobare.
Art. 26. - (1) In cazul în care o instituţie de credit
nu furnizează Băncii Naţionale a României o parte din documentaţia solicitată
în baza art. 6 sau documentaţia şi/sau cererea de aprobare transmise acesteia
nu îndeplinesc cerinţele prevăzute în prezentul capitol, Banca Naţională a
României consideră solicitarea instituţiei de credit ca incompletă.
(2) Banca Naţională a României şi, după caz,
autorităţile competente implicate realizează o evaluare preliminară a întregii
solicitări, respectiv a cererii de aprobare şi a documentaţiei însoţitoare,
imediat după primire. Banca Naţională a României notifică instituţia de credit
cu privire la caracterul complet al solicitării.
(3) In cazul cererilor de aprobare formulate în
condiţiile prevăzute la art. 182 alin. (1) sau la art. 193 alin. (1) din
Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi
completări prin Legea 227/2007, cu modificările şi completările ulterioare, şi
în condiţiile în care Banca Naţională a României este autoritatea responsabilă
cu supravegherea pe bază consolidată, perioada de 6 luni stabilită la art. 182
alin. (3), respectiv la art. 193 alin. (3) din ordonanţa menţionată începe să
curgă de la data primirii de către Banca Naţională a României a unei solicitări
- respectiv, cerere de aprobare şi documentaţie însoţitoare - complete din
perspectiva prezentului regulament. (4) In situaţia prevăzută la alin. (3),
Banca Naţională a României confirmă începerea curgerii termenului de 6 luni.
CAPITOLUL III
Standarde de utilizare a abordării avansate de
evaluare în aplicarea şi în completarea dispoziţiilor secţiunii a 4-a din cap.
II al Regulamentului BNR-CNVM nr. 24/29/2006
SECŢIUNEA 1
Standarde calitative
Art. 27. - (1) Pentru îndeplinirea testului de
utilizare prevăzut la art. 19 alin. (2) din Regulamentul BNR-CNVM nr.
24/29/2006, o instituţie de credit trebuie să ia în considerare cel puţin
principiile generale prevăzute de alin. (2)-(5).
(2) Scopul şi utilizarea abordării avansate de evaluare
nu trebuie să fie limitate la determinarea cerinţei de capital reglementate.
(3) Abordarea avansată de evaluare trebuie să evolueze
pe măsură ce instituţia de credit dobândeşte experienţă în soluţiile şi
tehnicile de administrare a riscului operaţional.
(4) Abordarea avansată de evaluare trebuie să sprijine
şi să îmbunătăţească administrarea riscului operaţional în cadrul instituţiei
de credit.
(5) Utilizarea abordării avansate de evaluare trebuie
să furnizeze instituţiei de credit beneficii în administrarea şi controlul
riscului operaţional.
(6) Instituţiile de credit trebuie să poată demonstra
Băncii Naţionale a României modul şi gradul de îndeplinire a testului de
utilizare la toate nivelurile organizaţionale, prin prezentarea de dovezi
convingătoare.
(7) Instituţiile de credit trebuie să îndeplinească
prevederile art. 19 alin. (2) din Regulamentul BNR-CNVM nr. 24/29/2006 pe bază
continuă, inclusiv pe o perioadă de cel puţin un an înainte de data la care
cererea de aprobarea a utilizării abordării avansate de evaluare este transmisă
Băncii Naţionale a României.
Art. 28. - (1) Pentru un cadru de administrare a
activităţii solid, procesul de luare a deciziilor aferente administrării
riscului operaţional trebuie formalizat în mod clar în cadrul fiecărei
instituţii de credit, în ceea ce priveşte ierarhia şi nivelul de
responsabilitate.
(2) Structura de conducere a unei instituţii de credit
trebuie să aibă o înţelegere generală a sistemelor de cuantificare a riscului
operaţional şi o înţelegere detaliată a rapoartelor de management aferente care
i-au fost predate, precum şi a modului în care riscul operaţional are impact
asupra instituţiei de credit.
(3) Fără a aduce atingere prevederilor alin. (4), în
vederea îmbunătăţirii înţelegerii sistemului de cuantificare a riscului
operaţional de către membrii organelor cu funcţie de supraveghere şi a
îmbunătăţirii eficienţei, organele cu funcţie de supraveghere pot, acolo unde este
adecvat, să stabilească comitete care să le asiste cu privire la anumite
aspecte ale cadrului aferent abordării avansate de evaluare; organele cu
funcţie de conducere, la rândul lor, pot delega anumite atribuţii.
(4) Organele cu funcţie de supraveghere poartă
răspunderea finală pentru cadrul aferent abordării avansate de evaluare
utilizat de către instituţia de credit şi trebuie să aibă o cunoaştere şi o
conştientizare generale ale cadrului; organele cu funcţie de conducere poartă
responsabilitatea dezvoltării şi implementării cadrului şi, de asemenea,
trebuie să aibă o cunoaştere şi o conştientizare generale ale acestuia.
Art. 29. - Structura de conducere este responsabilă de
aprobarea tuturor aspectelor semnificative ale cadrului de ansamblu aferent
riscului operaţional, printre care se regăsesc următoarele:
a) activităţile direcţionate către identificarea,
evaluarea şi/sau cuantificarea, monitorizarea, controlul şi diminuarea riscului
operaţional;
b) politicile şi strategiile de administrare proactivă
a riscului operaţional;
c) structura organizaţională a funcţiilor de control;
şi
d) stabilirea nivelurilor de risc acceptabil.
Art. 30. - (1) Structura de conducere este responsabilă
pentru luarea de decizii formale cu privire la implementarea abordării avansate
de evaluare.
(2) Pentru scopurile alin. (1) se includ aprobarea de
ansamblu a proiectului, specificarea obiectivelor şi desemnarea structurilor
organizaţionale responsabile cu implementarea; o planificare în timp a etapelor
necesare şi o estimare a costurilor şi beneficiilor aferente trebuie furnizate
odată cu aprobarea proiectului.
Art. 31. -In vederea exercitării de către organele cu
funcţie de supraveghere a supravegherii efective, organele cu funcţie de
conducere trebuie să notifice organele cu funcţie de supraveghere sau un
comitet desemnat al acestora din urmă cu privire la modificările sau excepţiile
semnificative de la politicile stabilite, care vor avea impact semnificativ
asupra proceselor de administrare şi a sistemelor de cuantificare ale riscului
operaţional ale instituţiei de credit.
Art. 32. - (1) Atât organele cu funcţie de
supraveghere, cât şi organele cu funcţie de conducere trebuie să se implice, pe
bază continuă, în supravegherea procedurilor de control şi a sistemelor de
cuantificare adoptate de funcţia de administrare a riscului operaţional, pentru
a asigura că acestea sunt adecvate şi că procesele şi sistemele de administrare
şi cuantificare ale riscului operaţional în ansamblu rămân eficace în timp.
(2) Pentru obiectivul indicat la alin. (1), organele cu
funcţie de supraveghere trebuie să se implice, pe bază continuă, în
supravegherea procedurilor de control ale auditului intern.
Art. 33. - Organele cu funcţie de conducere trebuie să
asigure că următoarele sarcini sunt îndeplinite:
a) asigurarea solidităţii proceselor de administrare a
riscului operaţional;
b) informarea organelor cu funcţie de supraveghere -
sau a unui comitet desemnat al acestora - asupra modificărilor semnificative
sau excepţiilor de la politicile stabilite, care vor avea impact semnificativ
asupra operaţiunilor şi profilului de risc operaţional ale instituţiei de
credit;
c) identificarea şi evaluarea principalilor
determinanţi ai riscului, pe baza informaţiilor furnizate de către funcţia de
administrare a riscului operaţional;
d) stabilirea atribuţiilor funcţiei de administrare a
riscului operaţional şi evaluarea adecvării abilităţilor şi competenţelor
profesionale ale personalului aferent acesteia;
e) monitorizarea şi administrarea tuturor surselor de
potenţiale conflicte de interese;
f) stabilirea de canale de comunicaţie eficace în
vederea asigurării familiarizării întregului personal cu procedurile şi
politicile relevante;
g) definirea conţinutului raportărilor către organele
cu funcţie de supraveghere sau către diferite structuri desemnate ale acestora;
h) examinarea de rapoarte de audit intern cu privire la
sistemele şi procesele de cuantificare şi administrare ale riscului
operaţional; şi
i) evaluarea în mod adecvat, anterior introducerii, a
riscului operaţional inerent ariilor noi - produse, activităţi, procese şi
sisteme - şi identificarea riscurilor legate de dezvoltarea unui produs nou şi
alte modificări semnificative în vederea asigurării că profilurile de risc ale
liniilor de produs sunt actualizate cu regularitate.
Art. 34. - (1) Raportarea aferentă riscului operaţional
trebuie să constituie o parte esenţială a sistemului de raportare internă şi
trebuie să sprijine administrarea proactivă a riscului operaţional.
(2) Organele cu funcţie de conducere trebuie să asigure
adecvarea continuă a cadrului de raportare.
Art. 35. - Destinatarii raportării aferente riscului
operaţional trebuie să fie organele cu funcţie de supraveghere, organele cu
funcţie de conducere, auditul intern, comitetele care asistă organele cu
funcţie de supraveghere şi, dacă este cazul, funcţiile interne responsabile cu
identificarea, evaluarea, monitorizarea şi diminuarea/controlul riscului
operaţional, funcţii interne ce pot include, spre exemplu, funcţii operative,
funcţii centralizate - cum ar fi funcţia IT sau funcţia contabilă - şi funcţii
de risc.
Art. 36. - (1) Frecvenţa şi conţinutul raportării
trebuie aprobate în mod formal de structura de conducere.
(2) Frecvenţa, conţinutul şi formatul raportării trebuie
să depindă de destinatar şi de modul în care informaţiile vor fi utilizate;
informaţiile furnizate trebuie să fie suficient de clare şi exacte pentru ca
destinatarii acestora să le interpreteze corect, în special în ceea ce priveşte
rezultatele generate de model.
(3) Sfera de cuprindere a informaţiilor incluse în
raportarea internă poate varia în funcţie de natura, dimensiunea şi gradul de
complexitate ale activităţii, ca şi ale instituţiei de credit, cu respectarea
regulii generale potrivit căreia cu cât o activitate prezintă un risc mai
ridicat, cu atât informaţiile furnizate trebuie să fie mai detaliate; frecvenţa
şi formatul raportării interne trebuie să fie corespunzătoare nivelului de
risc.
Art. 37. - (1) Instituţia de credit este responsabilă
de proiectarea cadrului de raportare.
(2) Raportarea poate include:
a) estimări ale capitalului reglementat şi ale celui
economic;
b) practici, proceduri şi politici de administrare noi
sau îmbunătăţite;
c) strategii de transfer al riscului şi de diminuare a acestuia;
d) expunerea la riscul operaţional;
e) istoricul de pierderi interne şi, în cazul în care
prezintă relevanţă, istoricul de pierderi externe;
f) identificarea şi evaluarea ariilor de
vulnerabilitate; şi
g) îmbunătăţirea calităţii sistemelor şi proceselor de
cuantificare şi administrare ale riscului operaţional.
Art. 38. - (1) Funcţia de administrare a riscului
operaţional trebuie să conceapă, să dezvolte, să implementeze şi să execute
procesele şi sistemele de administrare şi cuantificare ale riscului
operaţional.
(2) Funcţia de administrare a riscului operaţional
trebuie să asigure cu regularitate că procesele de cuantificare şi sistemele de
administrare a riscului operaţional, precum şi toate componentele acestora
funcţionează conform planificărilor.
(3) Funcţia de administrare a riscului operaţional
trebuie să dispună de suficiente resurse şi competenţe în metodele de
cuantificare şi administrare ale riscului operaţional şi trebuie să cunoască
procesele instituţiei.
Art. 39. - Funcţia de administrare a riscului
operaţional trebuie să asigure că următoarele atribuţii şi arii, printre
altele, sunt îndeplinite sau acoperite pe bază continuă:
a) procesele relaţionate cu definirea, formalizarea şi
colectarea celor 4 elemente ale abordării avansate de evaluare;
b) metodologia de cuantificare;
c) sistemele de monitorizare şi raportare;
d) verificarea îndeplinirii standardelor şi cerinţelor
minime impuse de Banca Naţională a României în vederea utilizării abordării
avansate de evaluare şi, îndeosebi, a testului de utilizare;
e) procesele de cuantificare a riscului operaţional şi
de alocare, incluzând calculul oricăror ajustări (pierdere aşteptată,
dependenţă, asigurare), în cazul în care se dispune de date suficiente -
testare ex-post (backtesting) şi analiză tip referinţă {benchmarking)
şi metodologia pentru cheile de alocare.
Art. 40. - (1) Ori de câte ori este posibil, personalul
responsabil cu validarea internă a sistemelor de cuantificare şi a proceselor
de administrare nu trebuie să fie acelaşi cu personalul responsabil cu
proiectarea acestora.
(2) Rolul de validare a proceselor de administrare şi a
sistemelor de cuantificare aferente abordării avansate de evaluare poate fi
îndeplinit de către aceeaşi funcţie cu cea implicată în proiectarea,
dezvoltarea şi implementarea cadrului aferent riscului operaţional doar în mod
excepţional şi/sau temporar.
(3) Orice lipsă potenţială de obiectivitate trebuie
compensată printr-o examinare independentă în conformitate cu art. 69 alin.
(1)lit. e).
(4) Instituţiile de credit trebuie să treacă la un
proces de validare internă independent imediat ce este posibil.
Art. 41. -In cazul general al instituţiilor de credit
care dispun de o unitate centrală pentru riscul operaţional şi de personal
alocat riscului operaţional în entităţile locale, instituţiile de credit
trebuie să asigure faptul că acesta din urmă respectă instrucţiunile stabilite
de către unitatea centrală pentru riscul operaţional; responsabilităţile şi
liniile de raportare trebuie stabilite în mod clar.
Art. 42. - (1) Auditul intern trebuie să dezvolte un
program pentru examinarea cadrului aferent riscului operaţional, care să
acopere toate activităţile semnificative - inclusiv activităţile externalizate
- ce expun instituţia de credit la risc operaţional semnificativ.
(2) Examinarea cadrului de administrare a riscului
operaţional de către auditul intern trebuie să aibă ca rol principal asigurarea
eficacităţii proceselor de administrare şi a sistemelor de cuantificare a
riscului operaţional ale instituţiei de credit şi a activităţii desfăşurate de
funcţia de administrare a riscului operaţional, precum şi verificarea
conformităţii cu standardele şi cerinţele minime impuse de Banca Naţională a
României în vederea utilizării abordării avansate de evaluare.
(3) Auditul intern trebuie să furnizeze o evaluare a
gradului de adecvare în ansamblu a cadrului aferent riscului operaţional,
precum şi a funcţiei de administrare a riscului operaţional; auditul intern
trebuie să desfăşoare examinări proprii în vederea evaluării gradului real de
independenţă al funcţiei de administrare a riscului operaţional.
(4) Programul la care se face referire la alin. (1)
trebuie actualizat cu regularitate în ceea ce priveşte dezvoltarea de procese
interne pentru identificarea, evaluarea, monitorizarea şi controlul/diminuarea
riscului operaţional şi implementarea de produse, procese şi sisteme noi care
expun instituţia de credit la risc operaţional semnificativ.
Art. 43. - (1) Este permisă o colaborare limitată între
funcţia de audit intern şi funcţia de administrare a riscului operaţional, în
special în cazul unor procese şi activităţi relaţionate cu riscul operaţional
în care auditul intern dispune de experienţă bogată şi abilităţi şi competenţe
bine dezvoltate, precum analiza proceselor, colectările de date privind
pierderile, evaluările riscului şi controlului.
(2) Colaborarea cu funcţia de administrare a riscului
operaţional permisă în conformitate cu alin. (1) nu trebuie să afecteze
independenţa auditului intern; indiferent de recomandările sau informaţiile
furnizate de auditul intern, proiectarea, implementarea şi actualizarea
cadrului aferent riscului operaţional rămân responsabilitatea exclusivă a
funcţiei de administrare a riscului operaţional, iar funcţia de audit intern nu
trebuie să fie implicată în activităţile curente legate de riscul operaţional.
Art. 44. - Activitatea auditului intern trebuie să
acopere aspecte precum adecvarea infrastructurii IT, a colectărilor de date şi
a mentenanţei datelor; trebuie derulate teste special pentru verificarea
procesului de introducere de date.
Art. 45. - Personalul dedicat funcţiei de audit intern
trebuie să posede abilităţile, competenţele şi experienţa necesare şi trebuie,
în mod deosebit, să fie familiarizat cu strategia şi procesele de identificare,
evaluare, monitorizare şi control/diminuare ale riscului operaţional ale
instituţiei de credit.
SECŢIUNEA a 2-a
Standarde cantitative
SUBSECŢIUNEA 1
Aspecte generale
Art. 46. - (1) Modelul aferent abordării avansate de
evaluare trebuie aplicat în mod consecvent claselor de risc operaţional
comparabile ale instituţiei de credit.
(2) Datele de intrare şi modul în care acestea sunt
tratate trebuie să fie transparente şi uşor de verificat.
(3) Modelul trebuie să fie robust, în sensul includerii
tuturor determinanţilor semnificativi ai profilului de risc operaţional al
instituţiei de credit, şi trebuie să prezinte senzitivitate la modificările
semnificative în profilul de risc operaţional al instituţiei de credit.
Art. 47. - (1) Modelul trebuie formalizat în detaliu,
iar documentaţia aferentă trebuie să fie oportună şi actualizată; documentaţia
internă a instituţiei de credit trebuie îndeosebi să specifice în detaliu modul
în care cele 4 elemente ale abordării avansate de evaluare sunt combinate
şi/sau ponderate şi să includă o descriere a procesului de modelare care să
ilustreze utilizarea celor 4 elemente.
(2) Documentaţia internă privind aspectele cantitative
ale abordării avansate de evaluare a unei instituţii de credit trebuie să
cuprindă aspectele prevăzute în anexă.
Art. 48. - (1) Instituţiile de credit trebuie să adopte
metode şi proceduri adecvate pentru a garanta consecvenţa, coerenţa şi
calitatea etapelor de introducere de date, execuţie şi obţinere de rezultate
ale modelului.
(2) Instituţiile de credit trebuie să depună eforturi
pentru identificarea claselor de risc operaţional în cadrul cărora valorile
pierderilor sunt distribuite identic şi independent.
(3) Ca alternativă la dispoziţiile alin. (2), în baza
justificării, instituţiile de credit îşi pot ajusta datele în funcţie de
determinanţii cunoscuţi, în vederea simplificării procesului de modelare.
(4) Execuţia modelelor pentru generarea cerinţelor de
capital reglementate pentru riscul operaţional trebuie să fie sprijinită de un
proces coerent şi transparent.
(5) In vederea stabilirii unei cerinţe de capital de
ansamblu pentru riscul operaţional credibile şi justificabile, modelul trebuie
construit astfel încât să se asigure producerea de rezultate cât mai stabile
posibil; instituţiile de credit trebuie să fie capabile să evalueze acurateţea
cerinţelor de capital pentru riscul operaţional.
Art. 49. - (1) Pentru a genera o cuantificare a
riscului operaţional la un standard de rigurozitate comparabil cu un nivel de
încredere de 99,9%, în situaţiile în care realizarea unui calcul direct la
nivelul de încredere de 99,9% afectează fiabilitatea şi stabilitatea
cuantificării riscului operaţional, în vederea obţinerii unei cuantificări mai
stabile şi mai fiabile, o instituţie de credit poate calcula o cuantificare
iniţială la un nivel de încredere mai redus, pe care apoi să o transpună
printr-o tehnică de ajustare de tip scaling la nivelul de încredere de
99,9% utilizând metode adecvate.
(2) In cazul în care se utilizează o tehnică de
ajustare de tip scaling, instituţiile de credit trebuie să poată
demonstra soliditatea, adecvarea şi fiabilitatea tehnicii de ajustare de tip scaling
şi analiza acurateţea de ansamblu a mecanismului de ajustare de tip scaling.
(3) Instituţia de credit trebuie să demonstreze că
metoda de ajustare de tip scaling conduce la un rezultat plauzibil şi
fiabil; nivelul de încredere folosit nu trebuie interpretat în mod obligatoriu
ca o demarcaţie între extremitate şi restul distribuţiei.
(4) Nivelul de încredere la care poate fi calculată
cuantificarea iniţială a riscului operaţional trebuie să fie localizat în
extremitatea dreaptă a distribuţiei pierderilor şi trebuie să fie adecvat.
Art. 50. - (1) Pentru a demonstra că pierderile aşteptate
sunt reflectate în mod adecvat în practicile interne pentru scopurile art. 20
alin. (1) din Regulamentul BNR - CNVM nr. 24/29/2006, o instituţie de credit
trebuie să respecte principiile generale prevăzute la alin. (2)-(6).
(2) Modul în care instituţia de credit estimează
pierderile aşteptate trebuie să fie consecvent cu modul în care cerinţa de
capital, însumare a pierderilor aşteptate şi a pierderilor neaşteptate, este
calculată prin utilizarea modelului aferent abordării avansate de evaluare,
pentru care a fost obţinută aprobare.
(3) Acoperirile pentru pierderile aşteptate trebuie să
fie substitute clare de capital sau elemente care sunt, într-un alt mod,
disponibile pentru a acoperi pierderile aşteptate cu un nivel ridicat de
certitudine pe un orizont de timp de un an.
(4) In cazul în care acoperirea nu constă în capital
deţinut sau provizioane constituite în acest scop, aceasta este disponibilă
doar pentru acele operaţiuni cu pierderi cu natură de rutină, ce au un grad
ridicat de previzibilitate şi sunt rezonabil de stabile.
(5) Acoperirea maximă trebuie să fie mai mică decât
pierderea aşteptată calculată pe baza distribuţiei complete a pierderilor prin
utilizarea modelului aferent abordării avansate de evaluare pentru care a fost
obţinută aprobare.
(6) Rezervele special constituite pentru pierderile cu
impact negativ major din riscul operaţional nu reprezintă acoperire acceptabilă
pentru pierderile aşteptate.
(7) Instituţiile de credit trebuie să formalizeze cu
claritate modul în care pierderile aşteptate sunt cuantificate şi reflectate în
practicile lor interne, inclusiv modul în care oricare acoperiri pentru
pierderile aşteptate îndeplinesc principiile generale prevăzute la alin.
(3)-(6).
(8) Instituţiile de credit trebuie să justifice
alegerea modului de estimare a pierderilor aşteptate folosit, având în vedere
natura distribuţiilor ce caracterizează riscul operaţional.
(9) In cazul indicat la alin. (4), instituţiile de
credit trebuie să poată demonstra că procesul de estimare este aplicat în mod
coerent şi este consecvent în timp.
Art. 51. - Instituţiile de credit care examinează şi
recunosc corelaţii în modelele aferente abordării avansate de evaluare pentru
scopurile art. 20 alin. (5) din Regulamentul BNR - CNVM nr. 24/29/2006 trebuie
să îndeplinească următoarele cerinţe:
a) fiecare estimare de risc operaţional trebuie
construită pe baza unui set de evenimente de pierdere şi valori ale pierderilor
(reale sau construite) care sunt în cea mai ridicată măsură posibil
independente;
b) dependenţele dintre evenimentele cu frecvenţă redusă
şi impact negativ major, situate la extremitatea distribuţiei, de obicei
principalii determinanţi ai estimărilor de risc operaţional, trebuie studiate
cu deosebită atenţie;
c) dată fiind natura diferită a evenimentelor situate
în extremitatea distribuţiei şi a celor situate în restul distribuţiei, trebuie
avută în vedere posibila necesitate a utilizării unor instrumente calitative şi
cantitative diferite pentru determinarea şi estimarea impactului structurilor
efective de dependenţă asupra cerinţei de capital;
d) în cazul dependenţelor dintre evenimentele situate
în extremitatea distribuţiei pentru care este dificilă sau puţin pertinentă
aplicarea validării cu tehnici cantitative dezvoltate pentru corelaţiile dintre
evenimentele cu frecvenţă ridicată şi impact redus, soliditatea ipotezelor
aferente dependenţelor care au impact semnificativ asupra cuantificării de
ansamblu aferente abordării avansate de evaluare trebuie demonstrată, cel
puţin, prin tehnici calitative de validare şi, unde este posibil, tehnici
cantitative şi/sau o formă de analiză prin simulare de criză {stress-test
analysis);
e) dependenţele trebuie, în cea mai mare măsură
posibilă, identificate şi tratate direct în informaţiile de introdus;
procedurile de minimizare a impactului unor astfel de dependenţe trebuie
aplicate şi formalizate cât mai clar posibil;
f) în cadrul documentaţiei aferente modelului trebuie
identificate şi justificate ipotezele aferente corelaţiilor şi trebuie inclusă
evaluarea senzitivităţii modelului la aceste ipoteze.
Art. 52. - Instituţiile de credit care nu examinează
corelaţii în cadrul modelelor aferente abordării avansate de evaluare trebuie
să calculeze cerinţa de capital de ansamblu ca sumă a cuantificărilor de risc
operaţional individuale rezultând din estimări de risc operaţional diferite.
Art. 53. - (1) Instituţiile de credit trebuie să
stabilească modul în care cele 4 elemente esenţiale la care se face referire la
art. 20 alin. (3) din Regulamentul BNR - CNVM nr. 24/29/2006 sunt ponderate şi
combinate.
(2) Procesele de evaluare a disponibilităţii celor 4
elemente trebuie să fie consecvente cadrului general de administrare a riscului
al instituţiei de credit.
SUBSECŢIUNEA a 2-a
Colectarea datelor şi utilizarea celor 4 elemente
esenţiale
Art. 54. - (1) Instituţiile de credit trebuie să
asigure calitatea datelor.
(2) Instituţiile de credit trebuie să lucreze pe bază
continuă pentru a asigura o calitate a datelor de care dispun suficient de
ridicată pentru sprijinirea proceselor de administrare a riscului operaţional
şi calculului cerinţelor de capital.
(3) Instituţiile de credit trebuie să stabilească
standarde proprii pentru asigurarea calităţii datelor, standarde pe care
trebuie să urmărească să le dezvolte şi să le îmbunătăţească în timp.
(4) Instituţiile de credit trebuie să poată demonstra
că respectă standarde ridicate în ceea ce priveşte integralitatea, adecvarea şi
acurateţea datelor colectate peste pragurile stabilite.
(5) Instituţiile de credit trebuie să stabilească o
politică explicită privind datele relaţionate cu riscul operaţional, politică
ce ar putea face parte dintr-o politică generală privind datele.
(6) Instituţiile de credit trebuie să formalizeze
fluxurile operaţionale, procedurile şi sistemele legate de colectarea şi
stocarea datelor.
Art. 55. - (1) Instituţiile de credit trebuie să
dispună de politici privind toleranţa faţă de orice date lipsă din cadrul
datelor lor interne; instituţiile de credit trebuie să poată justifica integral
abordările proprii privind ajustarea valorilor.
(2) Instituţiile de credit care utilizează date
calitative trebuie să poată furniza Băncii Naţionale a României dovezi care să
ateste faptul că sunt suficient de abilitate în utilizarea de date calitative,
că au întreprins toate demersurile posibile pentru eliminarea distorsiunilor (biases),
că datele calitative sunt relevante pentru variabile de risc stabilite
exact şi pentru obiectivele de risc proiectate.
Art. 56. - (1) Instituţiile de credit trebuie să
dispună de sisteme IT care să asigure următoarele:
a) disponibilitate şi mentenanţă adecvată ale tuturor
bazelor de date relevante;
b) capacitate de modelare şi calcul adecvată; şi
c) controale adecvate asupra procesului de colectare de
date.
(2) Sistemele IT ale instituţiilor de credit la care se
face referire la alin. (1) trebuie incluse în planurile generale pentru
situaţii neprevăzute, pentru a garanta recuperarea informaţiilor; controalele
implementate trebuie să prevină accesul persoanelor neautorizate şi să asigure
integritatea datelor.
(3) Instituţiile de credit trebuie să întocmească un
plan global cu toate punctele slabe ale datelor şi sistemelor IT descoperite în
timpul procesului de examinare şi validare internă; instituţiile de credit
trebuie să precizeze modul în care intenţionează să corecteze sau să reducă
punctele slabe.
Art. 57. - (1) O funcţie independentă trebuie să
realizeze verificări minime pentru a asigura integralitatea datelor interne şi
relevanţa datelor externe.
(2) Pentru a asigura calitatea datelor, examinarea
independentă realizată de către instituţiile de credit trebuie să cuprindă cel
puţin următoarele:
a) o examinare periodică a controalelor;
b) o examinare a sistemelor prin care instituţiile de
credit asigură îndeplinirea standardelor de calitate a datelor.
(3) Instituţiile de credit trebuie să realizeze
verificări ale coerenţei, care să includă trasabilitatea surselor de date;
discrepanţele trebuie investigate.
Art. 58. - (1) Fără a aduce atingere prevederilor art.
21 alin. (1) din Regulamentul BNR - CNVM nr. 24/29/2006, instituţiile de credit
trebuie să ia în considerare faptul că o clasă de risc operaţional
caracterizată prin evenimente cu frecvenţă redusă poate necesita o perioadă de
observare istorică mai mare de 5 ani în vederea colectării de date suficiente
pentru a genera cuantificări ale riscului operaţional fiabile.
(2) Instituţiile de credit pot utiliza metode pentru a
obţine date suficiente, care să reflecte profilul actual de risc operaţional,
cum ar fi:
a) reducerea impactului celor mai vechi şi puţin
relevante date interne prin tehnici de ponderare adecvate, prin utilizarea de
indicatori cantitativi sau factori calitativi care să reflecte schimbările
intervenite în mediul intern/extern al instituţiei de credit;
b) suplimentarea datelor interne aferente celor mai
recenţi ani cu date externe aferente aceloraşi ani, provenind de la
instituţii/grupuri similare, ajustate în mod corespunzător;
c) construirea de date privind pierderi din riscul
operaţional pentru anii trecuţi prin intermediul datelor generate prin scenarii
sau prin ajustare de tip scaling retrogradă a observaţiilor
interne/externe aferente celor mai recenţi ani prin tehnici sau indicatori
adecvaţi.
(3) In cazul în care datele nu sunt suficiente,
instituţiile de credit trebuie să facă estimări de risc prudente.
Art. 59. - (1) Pentru scopul art. 21 alin. (4) din
Regulamentul BNR - CNVM nr. 24/29/2006, instituţiile de credit trebuie să
stabilească un tratament pentru pierderile din riscul operaţional legate de
riscul de credit şi să formalizeze acest tratament în vederea evitării
reducerii necorespunzătoare a cerinţei de capital totale.
(2) Pentru scopul art. 21 alin. (5) din Regulamentul
BNR-CNVM nr. 24/29/2006, instituţiile de credit trebuie să formalizeze
criteriile de identificare a pierderilor din riscul operaţional care sunt
legate de riscul de piaţă; în cazul evenimentelor şi/sau pierderilor din riscul
operaţional legate de riscul de piaţă care fac parte din aria de cuprindere a
riscului operaţional, valoarea întreagă a pierderii înregistrate, incluzând
partea de pierdere datorată condiţiilor de piaţă adverse, trebuie considerată
ca pierdere din riscul operaţional.
Art. 60. - (1) Instituţiile de credit sunt responsabile
pentru stabilirea pragului pentru o clasă de risc operaţional, în conformitate
cu art. 21 alin. (7) din Regulamentul BNR - CNVM nr. 24/29/2006.
(2) In stabilirea pragului pentru o clasă de risc
operaţional instituţiile de credit trebuie să dea dovadă de acurateţe, având în
vedere faptul că acesta poate influenţa rezultatele modelului în mod
considerabil, şi pot întreprinde analize cost - beneficiu ale colectării de
date privind pierderile aflate sub prag, fără a omite faptul că acesta este
determinat de riscul şi complexitatea inerente clasei.
(3) Pragurile stabilite pentru clasele de risc
operaţional trebuie să fie rezonabile, nu trebuie să conducă la excluderea de
date importante privind evenimentele de pierdere şi nu trebuie să afecteze
credibilitatea şi acurateţea cuantificărilor riscului operaţional.
(4) Instituţiile de credit trebuie să poată furniza
Băncii Naţionale a României dovezi ale îndeplinirii prevederilor alin. (3).
(5) Instituţiile de credit trebuie să evite distorsiuni
(biases) posibile în estimarea de parametri ai modelului, luând în
considerare în mod explicit în cadrul modelului faptul că setul de date pentru
calcul este incomplet datorită prezenţei pragurilor.
Art. 61. - (1) O instituţie de credit trebuie să
dispună de o politică de identificare a pierderilor sau evenimentelor
înregistrate în baza de date interne privind evenimentele de pierdere care
trebuie incluse în setul de date pentru calcul, politică ce trebuie să asigure
un tratament consecvent al datelor privind pierderile în cadrul întregii
instituţii de credit.
(2) Instituţiile de credit trebuie să fie capabile să
separe în setul de date pentru calcul evenimentele din riscul operaţional
relaţionate cu poliţele de asigurare şi alte mecanisme de transfer al riscului
existente.
(3) Pentru scopul alin. (1), instituţiile de credit
trebuie să decidă cu privire la includerea evenimentelor cu pierdere recuperată
prompt în setul de date pentru calcul; în cazul instituţiilor de credit care
decid să nu includă evenimentele cu pierdere recuperată prompt în setul de date
pentru calcul, dacă nu s-a produs decât o recuperare parţială, în setul de date
pentru calcul se va include valoarea netă de recuperări.
(4) Pierderile secvenţiale trebuie incluse în setul de
date pentru calcul ca sume ale pierderilor succesive înregistrate în perioade
diferite.
(5) Pierderile cu efect multiplu trebuie incluse în
setul de date pentru calcul ca sume ale pierderilor asociate relaţionate cu
acelaşi eveniment cauzal; instituţiile de credit trebuie să formalizeze
eventualele excepţii şi să le trateze în mod adecvat pentru a preveni
diminuarea nenecesară a cerinţelor de capital.
(6) Evenimentele soldate cu câştiguri nu pot fi incluse
în setul de date pentru calcul în sensul diminuării nenecesare a cerinţei de
capital.
(7) Instituţiile de credit trebuie să stabilească
proceduri pentru identificarea incidentelor sau evenimentelor nesoldate cu
pierderi în vederea unei conştientizări mai bune a profilului de risc
operaţional al instituţiei de credit şi a îmbunătăţirii proceselor de
administrare a riscului operaţional.
(8) Datele aferente evenimentelor cu pierdere
recuperată prompt şi evenimentelor soldate cu câştiguri pot fi utilizate în
vederea unei conştientizări mai bune a profilului de risc operaţional al
instituţiei de credit şi a îmbunătăţirii proceselor de administrare a riscului
operaţional.
Art. 62. -Indeosebi în situaţiile în care instituţiile
de credit dispun de date interne limitate, precum cazul unor activităţi noi,
acestea pot utiliza ca date externe pentru determinarea capitalului pentru
riscul operaţional informaţii obţinute de la consorţii care colectează date
privind pierderile aflate peste praguri joase, apropiate de cele stabilite pe
plan intern de către instituţiile participante, către care instituţiile
participante au furnizat date clasificate omogen şi care cuprind informaţii
complete şi fiabile.
Art. 63. - (1) In cazul în care datele externe
provenind de la consorţii conforme cu cerinţele stabilite în acest sens la art.
62 sunt insuficiente pentru obţinerea de informaţii privind evenimentele cu
impact negativ major situate la extremitatea distribuţiei, în special privind
cauzele acestora, instituţiile de credit pot recurge la surse publice pentru
obţinerea de informaţii suplimentare folositoare.
(2) O instituţie de credit care foloseşte numai date
din surse publice trebuie să manifeste prudenţă deosebită pentru a asigura că
acestea sunt adecvate, nedistorsionate (unbiased) şi relevante pentru
activităţile şi profilul de risc operaţional ale instituţiei.
Art. 64. - Diferenţele în dimensiunile instituţiilor
sau alţi factori individuali trebuie luate în considerare la includerea de date
externe în sistemul de cuantificare, de exemplu prin formularea de ipoteze cu
privire la care evenimente de pierdere externe sunt relevante şi la măsura în
care datele trebuie ajustate printr-o tehnică de tip scaling sau în
vreun alt mod.
Art. 65. - (1) Instituţiile de credit pot utiliza
analize de scenarii şi pentru alte scopuri decât cel prevăzut de art. 23 alin.
(1) din Regulamentul BNR-CNVM nr. 24/29/2006, precum furnizarea de informaţii
asupra expunerii de ansamblu a instituţiei de credit la riscul operaţional.
(2) Pentru a genera date verosimile şi fiabile,
instituţiile de credit trebuie să asigure un grad ridicat de repetabilitate a
procesului de generare de date din scenarii, prin pregătire riguroasă şi
aplicare consecventă a rezultatelor cantitative şi calitative.
(3) Instituţiile de credit trebuie să asigure că
procesul prin care scenariile sunt stabilite este menit să minimizeze în cea
mai mare măsură posibilă subiectivitatea şi distorsiunile (biases), în
acest sens fiind necesară îndeplinirea îndeosebi a următoarelor cerinţe:
a) ipotezele folosite în scenarii trebuie să se bazeze
cât mai mult posibil pe dovezi empirice; în construirea scenariului trebuie
utilizate date interne şi externe disponibile relevante;
b) la alegerea numărului de scenarii de aplicat,
instituţiile de credit trebuie să poată explica raţionamentul care stă la baza
stabilirii nivelului la care scenariile sunt analizate şi/sau unităţilor în
care acestea sunt analizate;
c) ipotezele pentru generarea de analize de scenarii şi
procesul prin care scenariul este construit trebuie formalizate riguros.
Art. 66. - (1) Factorii legaţi de mediul de afaceri şi
controlul intern trebuie, prin natura lor, să fie anticipativi (forward-looking)
şi în concordanţă strânsă cu calitatea mediului de control intern şi de
operare al instituţiei de credit, trebuie să reflecte sursele potenţiale de
risc operaţional şi trebuie să furnizeze informaţii cu privire la modul în care
riscul este diminuat sau amplificat de mediul intern şi/sau extern şi trebuie
surprinşi în mod adecvat în sistemul de cuantificare a riscului operaţional.
(2) Instituţiile de credit trebuie să formalizeze unde
în cadrul sistemului de cuantificare a riscului operaţional folosesc indicatori
legaţi de mediul de afaceri şi controlul intern, precum şi raţionamentul
aferent.
(3) Sistemul de cuantificare a riscului al unei
instituţii de credit trebuie să încorporeze cel puţin acei factori legaţi de
mediul de afaceri şi controlul intern care au o influenţă semnificativă asupra
profilului de risc operaţional al instituţiei de credit.
(4) Fără a aduce atingere alin. (3) şi, implicit, art.
24 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, dacă la implementarea
pentru prima dată a sistemului de cuantificare nu este posibilă justificarea
adecvării senzitivităţii estimărilor de risc datorită lipsei de dovezi empirice
cu privire la relaţia dintre factorii legaţi de mediul de afaceri şi controlul
intern şi expunerea la riscul operaţional, instituţiile de credit trebuie să
justifice cel puţin în mod calitativ adecvarea metodelor utilizate pentru
încorporarea factorilor în sistemul de cuantificare.
SECŢIUNEA a 3-a
Asigurarea la riscul operaţional şi alte
mecanisme de transfer al acestui risc
Art. 67. - (1) Instituţiile de credit pot recunoaşte
impactul altor mecanisme de transfer al riscului dacă acestea sunt de o
calitate comparabilă cu cea a protecţiei prin asigurare conformă cu art. 26 şi
27 din Regulamentul BNR-CNVM nr. 24/29/2006, respectiv dacă acestea îndeplinesc
cerinţe similare celor aplicabile asigurării.
(2) Instituţiile de credit trebuie să monitorizeze uzul
de asigurare şi alte mecanisme de transfer al riscului operaţional, respectiv
eficacitatea protecţiei prin acestea, şi să recalculeze cerinţa de capital
pentru riscul operaţional dacă este cazul cu ocazia unei modificări
semnificative în natura asigurării sau a protecţiei prin alte mecanisme de
transfer al riscului.
(3) Instituţiile de credit trebuie să notifice în scris
Banca Naţională a României cu privire la modificările substanţiale în protecţia
prin asigurare sau alte mecanisme de transfer al riscului operaţional şi, dacă
este cazul, la implicaţiile acestora asupra cerinţei de capital pentru riscul
operaţional.
(4) Activităţile externalizate nu trebuie considerate
ca făcând parte din alte mecanisme de transfer al riscului operaţional pentru
scopurile art. 25 din Regulamentul BNR-CNVM nr. 24/29/2006.
SECŢIUNEA a 4-a
Validarea internă a abordării avansate de
evaluare
SUBSECŢIUNEA 1
Sfera de cuprindere a validării interne
întreprinse de instituţiile de credit
Art. 68. - (1) O instituţie de credit trebuie să
dispună de un proces de validare internă.
(2) Procesul de validare internă trebuie să includă
verificarea fiabilităţii calculului cerinţei de capital pentru riscul
operaţional, precum şi verificarea faptului că sistemul de cuantificare este
utilizat în procesele decizionale şi în administrarea riscului operaţional.
Art. 69. - (1) O instituţie de credit trebuie să
respecte următoarele principii generale de validare:
a) validarea internă este responsabilitatea instituţiei
de credit; instituţia de credit trebuie să depună „cel mai bun efort"
pentru a valida intern cadrul aferent abordării avansate de evaluare;
b) instituţia de credit trebuie să stabilească o
metodologie clară pentru validarea internă; această metodologie trebuie să fie
adecvată instituţiei şi cadrului aferent abordării avansate de evaluare al
acesteia şi trebuie să fie formalizată în mod clar;
c) tehnicile de validare internă trebuie să fie
proporţionale şi să ia în considerare condiţiile de operare şi de piaţă în
schimbare;
d) validarea internă trebuie să cuprindă atât elemente
cantitative, cât şi elemente calitative;
e) procesele de validare internă şi rezultatele
acesteia trebuie să facă obiectul unei examinări independente pentru a asigura
că implementarea acestora este eficace; în cazul în care validarea internă este
realizată de către persoane sau unităţi implicate în derularea sistemelor de
cuantificare şi a proceselor de administrare ale riscului operaţional,
examinarea va trata în mod expres obiectivitatea procesului şi a rezultatelor
acestuia.
(2) Instituţiile de credit trebuie să aibă în vedere
faptul că nu există o metodă de validare universală.
Art. 70. - Frecvenţa validării interne trebuie
stabilită în ultimă instanţă în funcţie de obiectul validării şi importanţa
acestuia în cadrul sistemelor de cuantificare sau al proceselor de administrare
ale riscului operaţional ale instituţiei de credit.
Art. 71. - Instituţiile de credit trebuie să analizeze
periodic propriile metodologii de validare internă pentru a asigura că acestea
rămân adecvate; în particular, anumite secţiuni ale sistemelor de cuantificare
şi ale proceselor de administrare ale riscului operaţional trebuie revalidate,
cel puţin dacă există o modificare semnificativă în profilul de risc
operaţional al instituţiei şi/sau în metodologia/ipotezele modelului ori în
procesele de administrare.
SUBSECŢIUNEA a 2-a
Validarea sistemelor de cuantificare a riscului
operaţional
Art. 72. - (1) Procesul de validare internă al
instituţiilor de credit trebuie să fie proporţional şi să ia în considerare
scopul specific pentru care sistemele de cuantificare a riscului operaţional
sunt utilizate.
(2) Instituţiile de credit trebuie să asigure că
informaţiile introduse în sistemele de cuantificare a riscului operaţional sunt
exacte şi complete într-o măsură rezonabil de ridicată.
(3) O instituţie de credit trebuie să adopte o abordare
robustă cu privire la validare şi trebuie să poată explica şi justifica propria
metodologie.
(4) Validarea internă a sistemelor de cuantificare a
riscului a unei instituţii de credit trebuie să cuprindă atât elemente
cantitative, cât şi elemente calitative şi trebuie să fie formalizată în mod
clar; documentaţia aferentă trebuie să cuprindă un plan detaliat al
metodologiei de validare, incluzând frecvenţa, şi trebuie să evidenţieze orice
puncte slabe identificate.
Art. 73. - Instituţiile de credit trebuie să respecte
următoarele cerinţe minime de validare în ariile relevante ale sistemelor de
cuantificare a riscului operaţional:
a) instituţiile de credit trebuie să dispună de
standarde clare pentru introducerea de date în propriile modele, standarde pe
care trebuie să le respecte, în acest sens fiind avute în vedere art. 54, art.
55 alin. (1), art. 56 şi 57;
b) toate datele semnificative peste pragurile stabilite
trebuie validate pentru atestarea faptului că sunt complete, adecvate şi
exacte; validarea trebuie să cuprindă toate tipurile de date: date reale, date
construite, numere generate prin analize de scenarii, factori legaţi de mediile
de afaceri şi factori legaţi de controlul intern; îndeosebi pentru datele
construite, validarea trebuie să ateste faptul că ipotezele sunt nedeplasate (unbiased)
şi că rezultatele sunt verosimile;
c) instituţiile de credit trebuie să fie capabile să
asigure validitatea datelor de introdus în model pe bază continuă;
d) validarea modelului trebuie să asigure că relaţia
dintre datele de introdus şi rezultatele modelului este stabilă şi că tehnicile
aflate la baza modelului sunt transparente şi intuitive; modelul trebuie să fie
logic: la îmbunătăţirea controlului, pierderea aşteptată şi/sau pierderea
neaşteptată ar trebui să se micşoreze, iar, ca urmare, ceteris paribus, ar
trebui să existe o reducere aferentă a cerinţei de capital reglementate;
e) instituţiile de credit trebuie să poată asigura
validitatea metodologiei modelului în etapa de dezvoltare şi ulterior
modificărilor semnificative în metodologie/ipoteze şi trebuie să poată asigura
validitatea rezultatelor modelului pe bază continuă.
SUBSECŢIUNEA a 3-a
Validarea proceselor de administrare a riscului
operaţional
Art. 74. - Pentru a se asigura adecvarea cadrului de
administrare a riscului operaţional în vederea îndeplinirii scopurilor
acestuia, ca şi operarea cadrului conform aşteptărilor conducerii, instituţiile
de credit trebuie, ca parte a procesului de validare internă, să evalueze
adecvarea proceselor de administrare a riscului.
Art. 75. - (1) Validarea proceselor de administrare a
riscului operaţional trebuie să reprezinte un exerciţiu continuu.
(2) Instituţiile de credit trebuie să fie capabile să
justifice Băncii Naţionale a României modul în care îndeplinesc cerinţa
prevăzută la alin. (1).
(3) Tehnicile de validare utilizate de instituţiile de
credit trebuie să includă verificarea următoarelor aspecte:
a) integralitatea documentaţiei aferente administrării
riscului operaţional;
b) respectarea procedurilor de raportare de informaţii
către conducere;
c) îndeplinirea de către datele privind pierderile
colectate a standardelor impuse privind datele;
d) derularea de acţiuni subsecvente în mod eficace şi
oportun;
e) urmărirea procedurilor de examinare şi actualizare a
cadrului de administrare a riscului operaţional;
f) concordanţa rapoartelor de conformitate/cuprinzând
date privind pierderile/cuprinzând indicatori-cheie ai riscului şi a estimărilor
de risc cu rezultatele autoevaluărilor calitative.
CAPITOLUL IV
Metodologia de alocare a capitalului
Art. 76. - (1) In cazurile indicate la art. 18 alin.
(1) din Regulamentul BNR-CNVM nr. 24/29/2006, instituţiile de credit trebuie să
respecte prevederile alin. (2)-(6).
(2) Metodologia la care se face referire în cadrul art.
18 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006 trebuie să realizeze
alocarea capitalului deţinut la nivelul consolidat al grupului pentru riscul
operaţional descendent către entităţile juridice implicate în procesul de
calcul la nivel consolidat aferent abordării avansate de evaluare.
(3) Instituţiile de credit trebuie să dispună de
metodologii solide şi raţionale de alocare pe care să le implementeze în mod
consecvent, just şi cu integritate.
(4) Instituţiile de credit trebuie să adopte mecanisme
de alocare care să reflecte în mod corect nivelul de risc operaţional al
entităţilor juridice şi în cadrul grupului, precum şi contribuţia efectivă a
acestora la cerinţa de capital determinată la nivel consolidat.
(5) Instituţiile de credit trebuie să depună eforturi
pentru îmbunătăţirea senzitivităţii la risc a tehnicilor de alocare a
capitalului aferent riscului operaţional, inclusiv ulterior obţinerii aprobării
de utilizare a abordării avansate de evaluare.
(6) Instituţiile de credit trebuie să poată demonstra
îndeplinirea alin. (3).
Art. 77. - Structura de conducere a fiecărei instituţii
de credit este responsabilă de realizarea unei evaluări proprii a riscului
operaţional, a mediului de activitate şi a mediului de control ale instituţiei
de credit şi de asigurarea unei capitalizări adecvate a acesteia pentru riscul
operaţional, inclusiv prin luarea în considerare a eventualelor obstacole în
transferul de capital dintre societatea-mamă şi aceasta.
CAPITOLUL V
Dispoziţii tranzitorii
Art. 78. - (1) Instituţiile de credit care beneficiază
de aprobarea de utilizare a abordării avansate de evaluare în scopul
determinării cerinţei de capital reglementate pentru riscul operaţional
anterior publicării prezentului regulament în Monitorul Oficial al României,
Partea I, trebuie să finalizeze demersurile necesare în vederea conformării cu
prevederile art. 8 şi cu cele relevante ale cap. III şi IV din regulament în
termen de 6 luni de la data publicării sale.
(2) Instituţiile de credit, persoane juridice române,
pentru care există cereri de aprobare în curs de analiză la momentul publicării
prezentului regulament în Monitorul Oficial al României, Partea I, trebuie să
finalizeze demersurile necesare în vederea conformării cu prevederile art. 8 şi
cu cele relevante ale cap. III şi IV în termen de 3 luni de la data publicării
sale.
(3) In cazul cererilor pentru obţinerea aprobării de
utilizare a abordării avansate de evaluare formulate în condiţiile prevăzute la
art. 182 alin. (1) sau la art. 193 alin. (1) din Ordonanţa de urgenţă a
Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr.
227/2007, cu modificările şi completările ulterioare, şi în condiţiile în care
Banca Naţională a României este autoritatea competentă responsabilă cu
supravegherea pe bază consolidată, precum şi în cazul cererilor pentru
obţinerea aprobării de utilizare a abordării avansate de evaluare din partea
instituţiilor de credit, persoane juridice române, care intenţionează să
determine cerinţa de capital pentru riscul operaţional prin utilizarea
abordării la nivel individual, cereri aflate în analiză la momentul publicării
prezentului regulament în Monitorul Oficial al României, Partea I, instituţiile
de credit trebuie să finalizeze demersurile necesare în vederea conformării cu
prevederile relevante ale art. 5-7 şi 9-26.
(4) In cazul instituţiilor de credit care intenţionează
să utilizeze abordarea avansată de evaluare în scopul determinării cerinţei de
capital reglementate pentru riscul operaţional de la 1 ianuarie 2011, perioada
de cel puţin un an prevăzută la art. 27 alin. (7) se va reduce în mod
corespunzător.
(5) Instituţiile de credit care intenţionează să
utilizeze abordarea avansată de evaluare în scopul raportării cerinţei de
capital reglementate pentru riscul operaţional trebuie să facă, prin
documentaţia transmisă Băncii Naţionale a României, dovada îndeplinirii
cerinţei de a dispune de fonduri proprii cel puţin egale cu nivelul în cauză indicat
la art. 4 din Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale
a Valorilor Mobiliare nr. 13/18/2006, aprobat prin Ordinul Băncii Naţionale a
României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 10/107/2006.
CAPITOLUL VI
Sancţiuni şi dispoziţii finale
Art. 79. -In cazul în care o instituţie de credit care
a obţinut aprobare de utilizare a abordării avansate de evaluare din partea
Băncii Naţionale a României nu mai îndeplineşte cerinţele şi standardele
relevante, aceasta trebuie să notifice Banca Naţională a României în acest
sens.
Art. 80. - Nerespectarea dispoziţiilor prezentului
regulament atrage aplicarea măsurilor şi/sau a sancţiunilor prevăzute la art.
226, 227 şi 229 din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu
modificări şi completări prin Legea nr. 227/2007, cu modificările şi
completările ulterioare.
Art. 81. - Anexa face parte integrantă din prezentul
regulament.
Preşedintele Consiliului de administraţie al Băncii
Naţionale a României,
Mugur Constantin Isărescu
Aspecte cantitative ale abordării avansate de
evaluare care trebuie cuprinse în documentaţia internă a unei institutii de
credit
ANEXA
1. Ipotezele implicite în model
2. Modul în care au fost determinate clasele de risc
operaţional
3. Modul în care date reale şi construite sunt obţinute
şi modul în care acestea sunt folosite sau încorporate în model
4. Etapele de introducere, execuţie şi obţinere de
rezultate ale modelului
5. Modul în care un standard de rigurozitate comparabil
cu un nivel de încredere de 99,9% a fost respectat
6. Modul în care pierderile aşteptate şi neaşteptate au
fost calculate; dacă şi modul în care pierderile aşteptate au fost reflectate
în practicile interne
7. Metodologia de agregare folosită pentru calculul
estimării (sau cuantificării) globale de risc operaţional a instituţiei de
credit pe baza estimărilor (sau cuantificărilor) individuale de risc
operaţional. In mod special, documentaţia trebuie să detalieze dacă şi modul în
care corelaţiile dintre estimările individuale de risc operaţional au fost
calculate şi modul în care acestea au fost validate
8. Dacă şi modul în care impactul asigurării a fost
recunoscut în cadrul modelului
9. Procesul adoptat pentru validarea modelului, în
special: criteriile de decizie şi/sau testele statistice pentru identificarea
situaţiilor în care datele interne sunt considerate suficiente/ insuficiente
pentru calculul cuantificărilor riscului operaţional
10. Politica privind actualizarea modelului.