Având în vedere prevederile art. 126, 138-140, 384 şi 385 din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, şi ale art. 17 şi 18 din Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 24/29/2006 privind determinarea cerinţelor minime de capital ale instituţiilor de credit şi ale firmelor de investiţii pentru riscul operaţional, aprobat prin Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 21/118/2006,
în temeiul prevederilor art. 420 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, precum şi ale art. 48 din Legea nr. 312/2004 privind Statutul Băncii Naţionale a României,
Banca Naţională a României emite prezentul regulament.
CAPITOLUL I
Dispoziţii generale
Art. 1. - (1) Prezentul regulament stabileşte standarde şi cerinţe ce trebuie respectate în vederea utilizării abordării avansate de evaluare pentru determinarea cerinţei de capital pentru riscul operaţional în conformitate cu prevederile secţiunii a 4-a a cap. II din Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 24/29/2006 privind determinarea cerinţelor minime de capital ale instituţiilor de credit şi ale firmelor de investiţii pentru riscul operaţional, aprobat prin Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 21/118/2006 (denumit în continuare Regulamentul BNR-CNVM nr. 24/29/2006), precum şi în vederea obţinerii de la Banca Naţională a României a aprobării necesare în acest sens.
(2) Prezentul regulament se aplică instituţiilor de credit, persoane juridice române, precum şi sucursalelor din România ale instituţiilor de credit din state terţe.
(3) Casele centrale sunt responsabile pentru reglementarea cadrului general aferent utilizării abordării avansate de evaluare pentru determinarea cerinţei de capital pentru riscul operaţional, pentru cooperativele de credit din cadrul reţelelor cooperatiste. Reglementările emise vor avea în vedere prevederile prezentului regulament în ceea ce priveşte utilizarea abordării avansate de evaluare pentru riscul operaţional de către cooperativele de credit şi nu vor putea stabili cerinţe mai puţin restrictive decât cele prevăzute de acesta. În acest sens, reglementările emise de casa centrală vor fi transmise spre avizare Băncii Naţionale a României.
(4) Prezentul regulament se aplică la nivel individual şi, după caz, la nivel consolidat, în conformitate cu Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 17/22/2006 privind supravegherea pe bază consolidată a instituţiilor de credit şi a firmelor de investiţii, aprobat prin Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 14/111/2006.
(5) Fără a aduce atingere alin. (4), în cazul cererilor pentru obţinerea aprobării de utilizare a abordării avansate de evaluare formulate în condiţiile prevăzute la art. 182 alin. (1) sau la art. 193 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006 privind instituţiile de credit şi adecvarea capitalului, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, şi în condiţiile în care Banca Naţională a României nu este autoritatea competentă responsabilă cu supravegherea pe bază consolidată, instituţiile de credit, persoane juridice române, sunt exceptate, dacă nu se decide altfel de către/împreună cu celelalte autorităţi competente implicate, de la aplicarea prevederilor art. 5-7, 9-26, art. 27 alin. (6) şi (7), art. 50 alin. (5), art. 50 alin. (8), art. 55 alin. (2), art. 60 alin. (4), art. 61 alin. (3) şi (7), art. 67 alin. (3), art. 75 alin. (2), art. 76, art. 78 alin. (4) şi (5) şi art. 79.
(6) Casele centrale sunt responsabile pentru aplicarea prezentului regulament la nivel de reţea cooperatistă.
Art. 2. - (1) Termenii şi expresiile utilizate în prezentul regulament au semnificaţiile prevăzute în Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, şi în Regulamentul BNR-CNVM nr. 24/29/2006.
(2) Expresiile "structură de conducere", "funcţie de supraveghere", "funcţie de conducere" şi "control intern" au semnificaţiile prevăzute de Regulamentul Băncii Naţionale a României nr. 18/2009 privind cadrul de administrare a activităţii instituţiilor de credit, procesul intern de evaluare a adecvării capitalului la riscuri şi condiţiile de externalizare a activităţilor acestora.
(3) Termenul "instituţie" are semnificaţia prevăzută de Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 13/18/2006 privind determinarea cerinţelor minime de capital pentru instituţiile de credit şi firmele de investiţii, aprobat prin Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 10/107/2006.
(4) În înţelesul prezentului regulament, termenii şi expresiile de mai jos au următoarele semnificaţii:
a) clasă de risc operaţional - categorie a riscului operaţional omogenă din punct de vedere al riscurilor acoperite şi al datelor disponibile pentru analiza acestora;
b) estimare de risc operaţional - distribuţia pierderilor identificate în cadrul unei clase de risc operaţional;
c) cuantificare a riscului operaţional - statistică singulară sau parametru singular extrase din estimarea de risc operaţional;
d) set de date pentru calcul - partea din datele privind riscul operaţional ale instituţiei de credit utilizată pentru generarea estimărilor şi cuantificărilor de risc operaţional reglementate;
e) eveniment cu pierdere recuperată prompt - eveniment din riscul operaţional soldat cu pierdere recuperată complet într-un interval scurt;
f) eveniment nesoldat cu pierdere - eveniment din riscul operaţional care nu s-a soldat cu pierdere sau câştig;
g) eveniment din riscul operaţional soldat cu un câştig - eveniment din riscul operaţional care a generat un câştig;
h) pierderi secvenţiale - ansamblu de pierderi succesive produse în perioade diferite, dar relaţionate cu acelaşi eveniment din riscul operaţional;
i) pierderi cu efect multiplu - ansamblu de pierderi asociate care au afectat entităţi sau linii de activitate, unităţi etc. diferite, dar care sunt relaţionate cu acelaşi eveniment cauzal;
j) corelaţie - orice formă de dependenţă, liniară sau nonliniară, relaţionată cu toate datele (reale ori construite) sau doar cu extremitatea ori restul distribuţiei, dintre două sau mai multe clase de risc operaţional, cauzată de prezenţa unor factori comuni de natură diferită, interni ori externi instituţiei de credit, factori care pot influenţa frecvenţa sau impactul pierderilor observate în mai mult de o singură clasă de risc operaţional.
Art. 3. - (1) Instituţiile de credit trebuie să dispună de sisteme de administrare şi cuantificare a riscului operaţional de o complexitate corespunzătoare complexităţii operaţiunilor/activităţii desfăşurate.
(2) Aplicarea principiului proporţionalităţii nu exceptează instituţiile de credit de la obligativitatea respectării standardelor şi cerinţelor minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare.
Art. 4. - Prevederile cap. II se aplică, în mod corespunzător, în cazul cererilor pentru obţinerea aprobării de utilizare a abordării avansate de evaluare din partea instituţiilor de credit, persoane juridice române, care intenţionează să determine cerinţa de capital pentru riscul operaţional prin utilizarea abordării la nivel individual.
CAPITOLUL II
Solicitarea aprobării de utilizare a abordării avansate de evaluare
SECŢIUNEA 1
Aspecte generale şi cererea de aprobare
Art. 5. - (1) În cazul instituţiilor de credit care intenţionează să utilizeze abordarea avansată de evaluare în vederea determinării cerinţei de capital pentru riscul operaţional la nivel individual, cererea de aprobare propriu-zisă trebuie să precizeze că instituţia de credit solicită aprobarea la care se face referire la art. 138 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, precum şi la art. 17 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, avându-se în vedere detaliile din documentaţia ce însoţeşte cererea.
(2) În cazul utilizării abordării avansate de evaluare de către o instituţie de credit-mamă la nivelul Uniunii Europene şi filialele acesteia sau de către filialele unei societăţi financiare holding- mamă la nivelul Uniunii Europene, cererea de aprobare propriu-zisă trebuie să precizeze faptul că membrii grupului la nivelul Uniunii Europene solicită împreună aprobarea la care se face referire la art. 138 alin. (1) şi art. 140 din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, precum şi la art. 17 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, avându-se în vedere detaliile din documentaţia ce însoţeşte cererea.
Art. 6. - (1) Documentaţia minimă ce trebuie furnizată Băncii Naţionale a României odată cu cererea de aprobare a utilizării abordării avansate de evaluare se constituie din următoarele:
a) documentaţia privind sistemele de cuantificare a riscului operaţional;
b) documentaţia privind mediul de control al sistemului de cuantificare a riscului operaţional, procedurile de implementare şi infrastructura aferentă tehnologiei informaţiei (IT);
c) planul de implementare (incluzând implementarea graduală) şi, dacă este cazul, detalii privind utilizarea parţială permanentă;
d) documentul în care este descris procesul de autoevaluare şi în care sunt prezentate concluziile acestuia prin care să se certifice conformitatea cu standardele şi cerinţele impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare, documentul în care sunt descrise concluziile programului de validare internă derulat în vederea solicitării aprobării de utilizare a abordării avansate de evaluare şi raportul de audit; se vor include rezultatele examinării independente solicitate la art. 23 alin. (1), precum şi descrierea urmării rezultatelor programului de validare internă;
e) Formularul 13: OPR - Riscul operaţional, Formularul 14: OPR Details - Riscul operaţional: valori brute ale pierderilor pe linii de activitate şi categorii de evenimente în ultimul an şi Formularul 15: OPR Loss Details - Pierderi majore din riscul operaţional înregistrate în ultimul an sau care sunt încă nefinalizate, prevăzute în anexa nr. I la Ordinul Băncii Naţionale a României nr. 12/2007 privind raportarea cerinţelor minime de capital pentru instituţiile de credit, cu modificările şi completările ulterioare, completate.
(2) Cu excepţia cazurilor în care se indică altfel, documentaţia minimă ce însoţeşte cererea de aprobare, la care se face referire la alin. (1), trebuie să conţină informaţii generale privind aplicarea abordării avansate de evaluare.
Art. 7. - (1) Cererea de aprobare trebuie semnată de către un membru executiv al structurii de conducere a fiecărei entităţi juridice dintre cele care solicită aprobarea, membru care este împuternicit să angajeze legal entitatea respectivă.
(2) Semnatarul sau, după caz, semnatarii trebuie să confirme în cadrul cererii de aprobare că documentaţia însoţitoare reprezintă un rezumat adevărat şi just al subiectelor acoperite.
(3) Pentru scopurile alin. (2), prin rezumat se înţelege faptul că documentaţia furnizează o prezentare pe scurt - care redă doar aspectele principale - a subiectului în cauză, prin adevărat faptul că informaţiile cuprinse în rezumat nu sunt false şi/sau nu induc în eroare, iar prin just faptul că informaţiile prezintă un rezumat de ansamblu rezonabil, fără a omite aspecte semnificative; documentaţia minimă ce însoţeşte cererea de aprobare, la care se face referire la art. 6 alin. (1), trebuie să ofere un rezumat al practicilor curente sau planificate ale instituţiei de credit/instituţiilor suficient de detaliat pentru a permite Băncii Naţionale a României să facă o evaluare iniţială a solicitării de acordare a aprobării de utilizare a abordării avansate de evaluare şi să stabilească, pe baza riscului, un plan pentru o evaluare mai aprofundată.
(4) Instituţiile de credit trebuie să comunice Băncii Naţionale a României persoana responsabilă cu menţinerea relaţiei cu Banca Naţională a României şi înlocuitorul acesteia.
Art. 8. - Pe parcursul perioadei de observare istorică de cel puţin 5 ani, respectiv de minimum 3 ani, prevăzute la art. 21 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, instituţiile de credit care intenţionează să utilizeze abordarea avansată de evaluare în scopul raportării cerinţei de capital pentru riscul operaţional trebuie să poată completa şi transmite Băncii Naţionale a României, la solicitarea acesteia, Formularul 14: OPR Details - Riscul operaţional: valori brute ale pierderilor pe linii de activitate şi categorii de evenimente în ultimul an şi Formularul 15: OPR Loss Details - Pierderi majore din riscul operaţional înregistrate în ultimul an sau care sunt încă nefinalizate prevăzute în anexa nr. I la Ordinul Băncii Naţionale a României nr. 12/2007, cu modificările şi completările ulterioare.
SECŢIUNEA a 2-a
Documentaţia privind sistemele de cuantificare
a riscului operaţional
Art. 9. - (1) Pentru scopurile art. 6 alin. (1) lit. a), documentaţia privind sistemele de cuantificare a riscului operaţional trebuie să includă cel puţin următoarele:
a) un plan cu modelele ce vor fi utilizate - o declaraţie prin care sunt explicate care operaţiuni şi/sau riscuri operaţionale sunt acoperite de fiecare model şi prin care este justificată utilizarea de modele diferite;
b) o descriere generală a tuturor modelelor;
c) descrierea alocării capitalului pentru riscul operaţional între entităţi diferite din cadrul grupului şi a utilizării efectelor diversificării;
d) în cazul în care instituţia de credit utilizează instrumente de diminuare a cerinţei de capital pentru riscul operaţional, documentaţia privind acoperirea şi cuantificarea pierderilor aşteptate, documentaţia cuprinzând politica instituţiei de credit cu privire la asigurarea la riscul operaţional sau alte mecanisme de transfer al acestui risc, precum şi documentaţia privind examinarea şi recunoaşterea de corelaţii.
(2) Pentru scopurile alin. (1) lit. b), documentaţia aferentă descrierii generale a modelului/modelelor trebuie să cuprindă cel puţin următoarele:
a) o listă cu definiţiile stabilite de instituţia de credit pentru riscul operaţional, pierderile din riscul operaţional, liniile de activitate, categoriile de evenimente şi orice alţi termeni utilizaţi şi consideraţi de instituţia de credit ca prezentând relevanţă;
b) o descriere generală a modelului/modelelor, respectiv atât o descriere nonmatematică, cât şi o descriere matematică, precum şi justificarea alegerii acestuia/acestora; pentru fiecare model vor fi avute în vedere cel puţin următoarele:
- prezentarea claselor de risc operaţional identificate utilizate la calculul cerinţei de capital, inclusiv a legăturii dintre acestea şi liniile de activitate şi categoriile de evenimente de risc operaţional stabilite prin Regulamentul BNR-CNVM nr. 24/29/2006;
- descrierea modului în care se asigură generarea cuantificării riscului operaţional la un standard de rigurozitate comparabil cu un nivel de încredere de 99,9% şi, dacă este cazul, precizarea nivelului de încredere la care este calculată cuantificarea iniţială, precum şi a metodei de ajustare de tip scaling utilizate;
- rezultatele evaluării acurateţei cerinţei de capital pentru riscul operaţional;
c) politica instituţiei de credit privind datele aferente riscului operaţional - documentaţia aferentă trebuie să cuprindă cel puţin următoarele aspecte:
- perioada de observare istorică folosită;
- o descriere a fluxurilor operaţionale, procedurilor şi sistemelor legate de colectarea şi stocarea datelor, inclusiv a celor privind colarea datelor relevante pentru calculul cerinţei de capital pentru riscul operaţional, cu indicarea oricăror intervenţii manuale; se includ de asemenea descrierea caracteristicilor pierderilor înregistrate în bazele de date şi descrierile bazelor de date utilizate în cadrul abordării avansate de evaluare - formalizarea bazelor de date semnificative trebuie să fie suficientă pentru a permite instituţiilor de credit să furnizeze Băncii Naţionale a României informaţiile necesare în vederea determinării solidităţii bazelor de date, precum o descriere generală a bazelor de date (mărime aproximativă, data la care baza de date a fost construită, "proprietarul" etc.), sursa datelor, procesele utilizate pentru obţinerea şi încărcarea datelor, filtrele utilizate pentru a crea şi depana baza de date (precum valori minime şi maxime), controale ale transparenţei, accesului, coerenţei etc.;
- pragurile de pierdere minimă folosite pentru colectarea de date interne şi prezentarea de dovezi ale îndeplinirii prevederilor art. 60 alin. (3);
- informaţii pertinente cu privire la politica de identificare a pierderilor, criteriile de repartizare a pierderilor pe linii de activitate şi categorii de evenimente de pierdere, incluzând criteriile la care se face referire la art. 21 alin. (9) din cadrul Regulamentului BNR-CNVM nr. 24/29/2006, şi politica la care se face referire la art. 61 alin. (1), incluzând tratamentul evenimentelor cu pierdere recuperată prompt;
- politica instituţiei de credit privind pierderile din riscul operaţional legate de riscul de credit şi riscul de piaţă;
- dacă este cazul, fundamentarea faptului că activităţile sau expunerile excluse, luate atât individual, cât şi în combinaţie, nu au impact semnificativ asupra estimărilor de risc globale;
- descrierea procedurilor pentru evaluarea relevanţei în timp a datelor interne privind pierderile din riscul operaţional;
- descrierea datelor externe: descrierea naturii datelor externe utilizate şi indicarea surselor de date externe; descrierea condiţiilor şi practicilor de utilizare a datelor externe, inclusiv descrierea oricărei ajustări pentru a le face relevante pentru instituţia de credit; evaluarea relevanţei datelor externe; politica instituţiei de credit cu privire la revizuirea cu regularitate a condiţiilor şi practicilor de utilizare a datelor externe şi la supunerea acestora unei examinări independente;
- descrierea analizelor de scenarii: procedurile privind construirea de scenarii, evaluarea, validarea şi revizuirea lor; descrierea modului şi a gradului în care analizele de scenarii sunt utilizate;
- descrierea factorilor legaţi de mediul de afaceri şi controlul intern: descrierea modului în care factorii importanţi legaţi de mediul de afaceri şi controlul intern sunt aleşi şi luaţi în considerare în cadrul sistemului de cuantificare a riscului operaţional; justificarea senzitivităţii estimărilor de risc operaţional la modificările intervenite în factorii legaţi de mediul de afaceri şi controlul intern consideraţi, precum şi a ponderării relative a acestora; procedurile de validare şi revizuire ale factorilor legaţi de mediul de afaceri şi controlul intern ale instituţiei de credit; prezentarea celor mai importanţi determinanţi de risc operaţional şi evaluarea abilităţii sistemului de cuantificare de surprindere a acestora;
- descrierea modului în care se asigură evitarea luării în considerare de mai multe ori a rezultatelor pozitive ale evaluărilor calitative sau a tehnicilor de diminuare a riscului operaţional;
- descrierea modului în care cele patru elemente utilizate în cadrul abordării avansate de evaluare, indicate la art. 20 alin. (3) din Regulamentul BNR-CNVM nr. 24/29/2006, sunt combinate şi/sau ponderate, cu indicarea, dacă este cazul, a variaţiei acestui mod de la o clasă de risc operaţional la alta, incluzând descrierea importanţei elementelor calitative în cadrul sistemului de cuantificare;
- planul global cuprinzând punctele slabe ale datelor şi sistemelor IT descoperite în timpul procesului de examinare şi validare internă, precum şi descrierea modului în care instituţia de credit planifică să corecteze sau să diminueze punctele slabe.
(3) Pentru scopurile alin. (1) lit. c), documentaţia aferentă alocării capitalului şi utilizării efectelor diversificării, ce trebuie să însoţească cererea de aprobare, trebuie să cuprindă cel puţin descrierea şi justificarea metodologiei de alocare a cerinţei de capital pentru riscul operaţional către entităţile din cadrul grupului, incluzând demonstrarea îndeplinirii prevederilor art. 76 alin. (3) şi (4), şi descrierea efectelor diversificării, inclusiv a motivaţiei şi mărimii acestora.
(4) Pentru scopurile alin. (1) lit. d), documentaţia privind acoperirea şi cuantificarea pierderilor aşteptate, ce trebuie să însoţească cererea de aprobare, trebuie să cuprindă cel puţin următoarele:
a) descrierea modului de cuantificare a pierderilor aşteptate, justificarea alegerii lui, precum şi tratarea consecvenţei acestuia cu modul în care este calculată cerinţa de capital în cadrul modelului aferent abordării avansate de evaluare; şi
b) descrierea practicilor interne ale instituţiei de credit care reflectă în mod adecvat pierderile aşteptate, a modului în care acoperirile pierderilor aşteptate îndeplinesc principiile generale prevăzute de art. 50 alin. (3)-(6) şi, după caz, demonstraţia solicitată la art. 50 alin. (9).
(5) Pentru scopurile alin. (1) lit. d), documentaţia cuprinzând politica instituţiei de credit cu privire la asigurarea la riscul operaţional sau alte mecanisme de transfer al acestui risc, ce trebuie să însoţească cererea de aprobare, trebuie să cuprindă cel puţin următoarele:
a) demonstrarea caracterului semnificativ al reducerii expunerii la pierderi din riscul operaţional ca urmare a asigurărilor la acest risc şi a altor mecanisme de transfer al acestuia şi precizarea gradului de diminuare a cerinţei de capital ca urmare a recunoaşterii impactului acestora;
b) descrierea politicii instituţiei de credit privind utilizarea de asigurări sau alte mecanisme de transfer al riscului operaţional, inclusiv, dacă este cazul, descrierea condiţiilor avute în vedere pentru recunoaşterea efectului acestora în sensul diminuării cerinţei de capital; şi
c) descrierea metodologiei pentru recunoaşterea efectului asigurărilor şi altor mecanisme de transfer al riscului operaţional în calculul cerinţei de capital.
(6) Pentru scopurile alin. (1) lit. d), documentaţia privind examinarea şi recunoaşterea de corelaţii, ce trebuie să însoţească cererea de aprobare, trebuie să cuprindă cel puţin următoarele:
a) justificarea luării în considerare a corelaţiilor la determinarea cerinţei de capital pentru riscul operaţional;
b) descrierea şi justificarea alegerii metodei/metodelor de calcul al corelaţiilor, prezentarea ipotezelor aferente şi descrierea procesului de validare şi asigurare a fiabilităţii, relevanţei şi acurateţei acestora pe bază continuă; şi
c) descrierea modului în care corelaţiile sunt recunoscute în cadrul modelului la determinarea cerinţei de capital pentru riscul operaţional.
Art. 10. - Banca Naţională a României poate solicita unei instituţii de credit să întreprindă analize suplimentare celor indicate în cadrul acestei secţiuni în vederea facilitării evaluării sistemului de cuantificare a riscului operaţional.
SECŢIUNEA a 3-a
Documentaţia privind mediul de control
Art. 11. - Pentru scopurile art. 6 alin. (1) lit. b), documentaţia privind mediul de control, procedurile de implementare şi infrastructura IT trebuie să cuprindă cel puţin următoarele:
a) o prezentare de ansamblu a cadrului de administrare a activităţii instituţiei de credit, respectiv:
- o prezentare a rolului şi responsabilităţilor structurii de conducere în ceea ce priveşte administrarea riscului operaţional, cu indicarea, dacă este cazul, a delegării anumitor atribuţii;
- o prezentare a rolului şi responsabilităţilor funcţiei de administrare a riscului operaţional, incluzând o descriere a modului în care este asigurată independenţa acesteia;
- o prezentare a rolului auditului intern;
- după caz, o prezentare a rolului oricăror altor comitete implicate în cadrul de administrare a activităţii în ceea ce priveşte riscul operaţional;
- o prezentare a structurilor de raportare aferente riscului operaţional, incluzând modul şi frecvenţa de raportare pe cale ierarhică; şi
- o scurtă prezentare de ansamblu a procesului de luare a deciziilor aferente riscului operaţional şi a modului în care acesta se desfăşoară la diferite niveluri organizaţionale;
b) descrierea modului şi a gradului în care instituţia de credit integrează sistemele interne de cuantificare a riscului operaţional în procesele curente de administrare a acestui risc, prin raportare la prevederile art. 27 alin. (2)-(5);
c) prezentarea responsabilităţilor părţilor implicate în modelare;
d) documentaţia privind validarea, cuprinzând descrierea şi justificarea metodologiei de validare internă adoptate de către instituţia de credit, formalizarea validării interne a sistemului de cuantificare a riscului operaţional la care se face referire la art. 72 alin. (4), precum şi o prezentare generală a procesului de validare;
e) informaţii generale privind structura IT a instituţiei de credit, în ceea ce priveşte abordarea avansată de evaluare.
SECŢIUNEA a 4-a
Prezentarea de ansamblu şi planul de implementare
Art. 12. - Pentru scopurile art. 6 alin. (1) lit. c), instituţiile de credit trebuie să furnizeze Băncii Naţionale a României o prezentare de ansamblu a ariei de cuprindere a abordării în cauză vizate de cererea de aprobare, respectiv:
a) o listă a membrilor grupului, inclusiv structura juridică şi modul de stabilire a cerinţei de capital pentru riscul operaţional pentru fiecare dintre aceştia, cu indicarea, dacă este cazul, a excepţiilor de la aplicarea abordării avansate de evaluare, prevăzute a rămâne după implementarea graduală, şi a raţionamentului pentru utilizarea permanentă parţială; pentru fiecare sucursală situată într-un stat terţ se va indica autoritatea responsabilă cu supravegherea ei;
b) o prezentare a structurii organizaţionale a grupului - linii de activitate şi cadrul de administrare a activităţii; şi
c) informaţii generale privind modificările structurale sau organizaţionale semnificative planificate care pot avea impact asupra cererii de aprobare a utilizării abordării avansate de evaluare.
Art. 13. - (1) Pentru scopurile art. 6 alin. (1) lit. c), instituţiile de credit care intenţionează să utilizeze abordarea avansată de evaluare a riscului operaţional trebuie să întocmească un plan de implementare clar, realist şi adecvat, care să acopere atât perioada de timp până la obţinerea aprobării, cât şi perioada de implementare graduală - respectiv implementarea ulterioară obţinerii aprobării, şi să îl furnizeze Băncii Naţionale a României odată cu cererea de aprobare.
(2) Prin planul de implementare la care se face referire în cadrul alin. (1), o instituţie de credit se angajează să implementeze abordarea avansată de evaluare, la datele prevăzute, în ceea ce priveşte toate operaţiunile pentru care solicită aprobare de utilizare a abordării avansate de evaluare.
(3) Pentru scopurile alin. (1), instituţiile de credit trebuie să stabilească norme interne cu prevederi detaliate privind planificarea în timp şi conţinutul, pentru următoarele:
a) organizarea implementării (distribuirea responsabilităţilor etc.);
b) dezvoltarea proceselor de administrare a riscului operaţional, în special pentru colectarea de date;
c) dezvoltarea metodologiei de cuantificare;
d) implementarea infrastructurii IT utilizate în scopurile administrării şi cuantificării riscului operaţional;
e) instruirea personalului, inclusiv a personalului de conducere;
f) testul de utilizare - utilizarea planificată a diferitelor sisteme de cuantificare a riscului operaţional, respectiv modul în care, concret, se intenţionează să se utilizeze în activitatea curentă diferitele modele.
Art. 14. - (1) Instituţiile de credit trebuie să formalizeze, în sensul descrierii şi justificării, modul în care asigură îndeplinirea prevederilor art. 30 alin. (1) lit. c) şi d) din Regulamentul BNR-CNVM nr. 24/29/2006, precum şi acoperirea tuturor operaţiunilor de către una dintre abordările prevăzute de regulamentul menţionat şi trebuie să transmită Băncii Naţionale a României documentaţia aferentă.
(2) Banca Naţională a României decide, de la caz la caz, asupra îndeplinirii prevederilor art. 30 alin. (1) lit. c) şi d) din Regulamentul BNR-CNVM nr. 24/29/2006.
Art. 15. - (1) Politica privind implementarea graduală trebuie să trateze cel puţin aspectele prevăzute la alin. (2) şi (3).
(2) Planul de implementare graduală trebuie să prevadă un termen de implementare stabilit, termen ce trebuie să fie, pe de o parte, suficient de apropiat pentru ca instituţia de credit să-şi impună disciplina necesară pentru a putea aplica, într-o perioadă rezonabilă, abordarea avansată de evaluare într-o măsură extinsă şi, pe de altă parte, suficient de îndepărtat pentru ca instituţia de credit să asigure calitatea continuă a cadrului de administrare a activităţii, datelor, metodologiei şi rezultatelor; termenul de implementare trebuie să fie mai mic de 7 ani şi doar în situaţii excepţionale, precum cea a unui grup deosebit de complex, poate fi de până la 10 ani.
(3) Instituţia de credit trebuie să stabilească succesiunea includerii operaţiunilor în abordarea avansată de evaluare; planul de implementare graduală trebuie stabilit în baza unor considerente practice şi de fezabilitate, un factor important în acest sens fiind nivelul de risc al operaţiunilor care nu sunt încă acoperite de abordarea avansată de evaluare; succesiunea includerii operaţiunilor în aria de cuprindere a abordării avansate de evaluare face obiectul acordului Băncii Naţionale a României.
(4) Planul de implementare trebuie să cuprindă justificarea succesiunii stabilite pentru includerea operaţiunilor în abordarea avansată de evaluare.
Art. 16. - (1) Pe parcursul implementării graduale, anterior implementării abordării avansate de evaluare asupra unor operaţiuni adiţionale sau riscuri operaţionale adiţionale, instituţiile de credit trebuie să realizeze o autoevaluare pentru a asigura conformitatea cu standardele şi cerinţele minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare.
(2) După caz, pentru scopurile alin. (1), în documentul prin care Banca Naţională a României comunică instituţiei de credit decizia de aprobare a utilizării abordării avansate de evaluare, se vor indica, de la caz la caz, obligaţiile ce revin instituţiei de credit pe parcursul implementării graduale.
Art. 17. - Instituţiile de credit trebuie să dispună de sisteme şi proceduri de monitorizare în mod oportun şi adecvat ale coerenţei şi consecvenţei utilizărilor combinate de abordări diferite şi a aspectelor ce ţin de semnificativitate, substanţialitate şi planificare în timp ale planului de implementare graduală.
Art. 18. - (1) Instituţiile de credit trebuie să notifice în scris, în timp util, Banca Naţională a României cu privire la orice modificări relevante în mediul organizaţional sau de afaceri, datorate fie unor circumstanţe normale sau excepţionale, precum o achiziţie sau vânzare majore ori o modificare majoră în acţionariat, conducere sau organizare, care ar putea avea impact semnificativ asupra planurilor iniţiale de implementare graduală şi utilizare parţială ale instituţiilor de credit.
(2) Instituţiile de credit trebuie să discute cu Banca Naţională a României asupra oricăror modificări ale planului de implementare graduală ce ar putea fi necesare.
Art. 19. - O instituţie de credit care ulterior obţinerii aprobării de utilizare a abordării avansate de evaluare achiziţionează o instituţie ce nu utilizează această abordare şi/sau nu a obţinut aprobare în acest sens trebuie să notifice în acest sens Banca Naţională a României în scris şi, după caz, va trebui fie să depună un plan de aducere în conformitate cu standardele şi cerinţele minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare, fie să depună o nouă cerere de aprobare în sensul cap. II, secţiunea a 4-a, subsecţiunea 1 "Cererea de aprobare" din Regulamentul BNR-CNVM nr. 24/29/2006, însoţită de o politică privind implementarea graduală şi utilizarea parţială nouă.
SECŢIUNEA a 5-a
Autoevaluarea
Art. 20. - (1) Pentru scopurile art. 6 alin. (1) lit. d), instituţiile de credit trebuie să realizeze o autoevaluare a stadiului de conformitate cu standardele şi cerinţele minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare în contextul riscului operaţional.
(2) Autoevaluarea trebuie să înceapă cu o evaluare globală, dintr-o perspectivă consolidată, a modului în care diversele modele se îmbină şi se armonizează în cadrul instituţiei sau al grupului, evaluare globală ce trebuie să acopere gradul de adecvare a structurii organizaţionale în ceea ce priveşte cadrul de administrare a activităţii, gradul de adecvare a resurselor alocate sistemului de cuantificare a riscului operaţional, comparabilitatea în cadrul grupului cu privire la date şi metodologie şi coerenţa şi consecvenţa în organizarea IT.
(3) Autoevaluarea trebuie să acopere toate aspectele sistemului de cuantificare a riscului operaţional: metodologie, calitate a datelor, proceduri cantitative şi calitative de validare, cadru de administrare a activităţii şi mediu tehnologic.
(4) După caz, instituţiile de credit trebuie să stabilească un plan de acţiune în vederea remedierii omisiunilor şi deficienţelor identificate, precum şi o planificare pentru obţinerea conformităţii; omisiunile şi deficienţele identificate nu trebuie să fie semnificative.
Art. 21. - În cadrul documentului în care este descris procesul de autoevaluare şi în care sunt cuprinse concluziile acestuia trebuie prezentate dovezi ale îndeplinirii art. 19 alin. (2) din Regulamentul BNR-CNVM nr. 24/29/2006, prin raportare la prevederile art. 27 alin. (2)-(5), începând cu cel puţin un an înainte de data la care cererea de aprobarea a utilizării abordării avansate de evaluare este transmisă Băncii Naţionale a României.
Art. 22. - Autoevaluarea poate fi realizată de personalul unei funcţii independente de evaluare a riscului, cu sprijinul, în cazul în care este necesar, al auditorilor interni.
Art. 23. - (1) Anterior depunerii cererii de aprobare a utilizării abordării avansate de evaluare, respectiv în etapa de dezvoltare a modelului, instituţiile de credit trebuie să deruleze un program complet de validare internă, iar procesele de validare internă şi rezultatele validării trebuie supuse unei examinări independente.
(2) Instituţiile de credit trebuie să realizeze periodic o autoevaluare a stadiului de conformitate cu standardele şi cerinţele minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare.
SECŢIUNEA a 6-a
Alte aspecte privind cererea de aprobare
Art. 24. - (1) Cererea de aprobare trebuie redactată în limba română.
(2) Documentaţia ce însoţeşte cererea de aprobare trebuie întocmită într-o limbă sau în mai multe limbi stabilită/stabilite de comun acord de către Banca Naţională a României, autorităţile competente din statele gazdă şi instituţia de credit. Pentru documentele redactate într-o limbă străină se va prezenta şi traducerea legalizată a acestora. Pentru documentele redactate într-o limbă străină de circulaţie internaţională, Banca Naţională a României poate excepta, de la caz la caz, aplicarea cerinţei privind traducerea legalizată.
Art. 25. - (1) Atât în contextul cererii iniţiale, cât şi ulterior, instituţia de credit trebuie să pună la dispoziţia Băncii Naţionale a României orice informaţii mai detaliate, inclusiv documentele rezultate în contextul art. 10, ca şi toată documentaţia internă, la solicitarea acesteia din urmă.
(2) În cazul în care o instituţie de credit apreciază că dispune de documente interne suplimentare celor menţionate în prezentul capitol, relevante pentru obţinerea aprobării, aceasta trebuie să transmită Băncii Naţionale a României lista documentelor respective, odată cu cererea de aprobare.
Art. 26. - (1) În cazul în care o instituţie de credit nu furnizează Băncii Naţionale a României o parte din documentaţia solicitată în baza art. 6 sau documentaţia şi/sau cererea de aprobare transmise acesteia nu îndeplinesc cerinţele prevăzute în prezentul capitol, Banca Naţională a României consideră solicitarea instituţiei de credit ca incompletă.
(2) Banca Naţională a României şi, după caz, autorităţile competente implicate realizează o evaluare preliminară a întregii solicitări, respectiv a cererii de aprobare şi a documentaţiei însoţitoare, imediat după primire. Banca Naţională a României notifică instituţia de credit cu privire la caracterul complet al solicitării.
(3) În cazul cererilor de aprobare formulate în condiţiile prevăzute la art. 182 alin. (1) sau la art. 193 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea 227/2007, cu modificările şi completările ulterioare, şi în condiţiile în care Banca Naţională a României este autoritatea responsabilă cu supravegherea pe bază consolidată, perioada de 6 luni stabilită la art. 182 alin. (3), respectiv la art. 193 alin. (3) din ordonanţa menţionată începe să curgă de la data primirii de către Banca Naţională a României a unei solicitări - respectiv, cerere de aprobare şi documentaţie însoţitoare - complete din perspectiva prezentului regulament.
(4) În situaţia prevăzută la alin. (3), Banca Naţională a României confirmă începerea curgerii termenului de 6 luni.
CAPITOLUL III
Standarde de utilizare a abordării avansate de evaluare
în aplicarea şi în completarea dispoziţiilor secţiunii a 4-a
din cap. II al Regulamentului BNR-CNVM nr. 24/29/2006
SECŢIUNEA 1
Standarde calitative
Art. 27. - (1) Pentru îndeplinirea testului de utilizare prevăzut la art. 19 alin. (2) din Regulamentul BNR-CNVM nr. 24/29/2006, o instituţie de credit trebuie să ia în considerare cel puţin principiile generale prevăzute de alin. (2)-(5).
(2) Scopul şi utilizarea abordării avansate de evaluare nu trebuie să fie limitate la determinarea cerinţei de capital reglementate.
(3) Abordarea avansată de evaluare trebuie să evolueze pe măsură ce instituţia de credit dobândeşte experienţă în soluţiile şi tehnicile de administrare a riscului operaţional.
(4) Abordarea avansată de evaluare trebuie să sprijine şi să îmbunătăţească administrarea riscului operaţional în cadrul instituţiei de credit.
(5) Utilizarea abordării avansate de evaluare trebuie să furnizeze instituţiei de credit beneficii în administrarea şi controlul riscului operaţional.
(6) Instituţiile de credit trebuie să poată demonstra Băncii Naţionale a României modul şi gradul de îndeplinire a testului de utilizare la toate nivelurile organizaţionale, prin prezentarea de dovezi convingătoare.
(7) Instituţiile de credit trebuie să îndeplinească prevederile art. 19 alin. (2) din Regulamentul BNR-CNVM nr. 24/29/2006 pe bază continuă, inclusiv pe o perioadă de cel puţin un an înainte de data la care cererea de aprobarea a utilizării abordării avansate de evaluare este transmisă Băncii Naţionale a României.
Art. 28. - (1) Pentru un cadru de administrare a activităţii solid, procesul de luare a deciziilor aferente administrării riscului operaţional trebuie formalizat în mod clar în cadrul fiecărei instituţii de credit, în ceea ce priveşte ierarhia şi nivelul de responsabilitate.
(2) Structura de conducere a unei instituţii de credit trebuie să aibă o înţelegere generală a sistemelor de cuantificare a riscului operaţional şi o înţelegere detaliată a rapoartelor de management aferente care i-au fost predate, precum şi a modului în care riscul operaţional are impact asupra instituţiei de credit.
(3) Fără a aduce atingere prevederilor alin. (4), în vederea îmbunătăţirii înţelegerii sistemului de cuantificare a riscului operaţional de către membrii organelor cu funcţie de supraveghere şi a îmbunătăţirii eficienţei, organele cu funcţie de supraveghere pot, acolo unde este adecvat, să stabilească comitete care să le asiste cu privire la anumite aspecte ale cadrului aferent abordării avansate de evaluare; organele cu funcţie de conducere, la rândul lor, pot delega anumite atribuţii.
(4) Organele cu funcţie de supraveghere poartă răspunderea finală pentru cadrul aferent abordării avansate de evaluare utilizat de către instituţia de credit şi trebuie să aibă o cunoaştere şi o conştientizare generale ale cadrului; organele cu funcţie de conducere poartă responsabilitatea dezvoltării şi implementării cadrului şi, de asemenea, trebuie să aibă o cunoaştere şi o conştientizare generale ale acestuia.
Art. 29. - Structura de conducere este responsabilă de aprobarea tuturor aspectelor semnificative ale cadrului de ansamblu aferent riscului operaţional, printre care se regăsesc următoarele:
a) activităţile direcţionate către identificarea, evaluarea şi/sau cuantificarea, monitorizarea, controlul şi diminuarea riscului operaţional;
b) politicile şi strategiile de administrare proactivă a riscului operaţional;
c) structura organizaţională a funcţiilor de control; şi
d) stabilirea nivelurilor de risc acceptabil.
Art. 30. - (1) Structura de conducere este responsabilă pentru luarea de decizii formale cu privire la implementarea abordării avansate de evaluare.
(2) Pentru scopurile alin. (1) se includ aprobarea de ansamblu a proiectului, specificarea obiectivelor şi desemnarea structurilor organizaţionale responsabile cu implementarea; o planificare în timp a etapelor necesare şi o estimare a costurilor şi beneficiilor aferente trebuie furnizate odată cu aprobarea proiectului.
Art. 31. - În vederea exercitării de către organele cu funcţie de supraveghere a supravegherii efective, organele cu funcţie de conducere trebuie să notifice organele cu funcţie de supraveghere sau un comitet desemnat al acestora din urmă cu privire la modificările sau excepţiile semnificative de la politicile stabilite, care vor avea impact semnificativ asupra proceselor de administrare şi a sistemelor de cuantificare ale riscului operaţional ale instituţiei de credit.
Art. 32. - (1) Atât organele cu funcţie de supraveghere, cât şi organele cu funcţie de conducere trebuie să se implice, pe bază continuă, în supravegherea procedurilor de control şi a sistemelor de cuantificare adoptate de funcţia de administrare a riscului operaţional, pentru a asigura că acestea sunt adecvate şi că procesele şi sistemele de administrare şi cuantificare ale riscului operaţional în ansamblu rămân eficace în timp.
(2) Pentru obiectivul indicat la alin. (1), organele cu funcţie de supraveghere trebuie să se implice, pe bază continuă, în supravegherea procedurilor de control ale auditului intern.
Art. 33. - Organele cu funcţie de conducere trebuie să asigure că următoarele sarcini sunt îndeplinite:
a) asigurarea solidităţii proceselor de administrare a riscului operaţional;
b) informarea organelor cu funcţie de supraveghere - sau a unui comitet desemnat al acestora - asupra modificărilor semnificative sau excepţiilor de la politicile stabilite, care vor avea impact semnificativ asupra operaţiunilor şi profilului de risc operaţional ale instituţiei de credit;
c) identificarea şi evaluarea principalilor determinanţi ai riscului, pe baza informaţiilor furnizate de către funcţia de administrare a riscului operaţional;
d) stabilirea atribuţiilor funcţiei de administrare a riscului operaţional şi evaluarea adecvării abilităţilor şi competenţelor profesionale ale personalului aferent acesteia;
e) monitorizarea şi administrarea tuturor surselor de potenţiale conflicte de interese;
f) stabilirea de canale de comunicaţie eficace în vederea asigurării familiarizării întregului personal cu procedurile şi politicile relevante;
g) definirea conţinutului raportărilor către organele cu funcţie de supraveghere sau către diferite structuri desemnate ale acestora;
h) examinarea de rapoarte de audit intern cu privire la sistemele şi procesele de cuantificare şi administrare ale riscului operaţional; şi
i) evaluarea în mod adecvat, anterior introducerii, a riscului operaţional inerent ariilor noi - produse, activităţi, procese şi sisteme - şi identificarea riscurilor legate de dezvoltarea unui produs nou şi alte modificări semnificative în vederea asigurării că profilurile de risc ale liniilor de produs sunt actualizate cu regularitate.
Art. 34. - (1) Raportarea aferentă riscului operaţional trebuie să constituie o parte esenţială a sistemului de raportare internă şi trebuie să sprijine administrarea proactivă a riscului operaţional.
(2) Organele cu funcţie de conducere trebuie să asigure adecvarea continuă a cadrului de raportare.
Art. 35. - Destinatarii raportării aferente riscului operaţional trebuie să fie organele cu funcţie de supraveghere, organele cu funcţie de conducere, auditul intern, comitetele care asistă organele cu funcţie de supraveghere şi, dacă este cazul, funcţiile interne responsabile cu identificarea, evaluarea, monitorizarea şi diminuarea/controlul riscului operaţional, funcţii interne ce pot include, spre exemplu, funcţii operative, funcţii centralizate - cum ar fi funcţia IT sau funcţia contabilă - şi funcţii de risc.
Art. 36. - (1) Frecvenţa şi conţinutul raportării trebuie aprobate în mod formal de structura de conducere.
(2) Frecvenţa, conţinutul şi formatul raportării trebuie să depindă de destinatar şi de modul în care informaţiile vor fi utilizate; informaţiile furnizate trebuie să fie suficient de clare şi exacte pentru ca destinatarii acestora să le interpreteze corect, în special în ceea ce priveşte rezultatele generate de model.
(3) Sfera de cuprindere a informaţiilor incluse în raportarea internă poate varia în funcţie de natura, dimensiunea şi gradul de complexitate ale activităţii, ca şi ale instituţiei de credit, cu respectarea regulii generale potrivit căreia cu cât o activitate prezintă un risc mai ridicat, cu atât informaţiile furnizate trebuie să fie mai detaliate; frecvenţa şi formatul raportării interne trebuie să fie corespunzătoare nivelului de risc.
Art. 37. - (1) Instituţia de credit este responsabilă de proiectarea cadrului de raportare.
(2) Raportarea poate include:
a) estimări ale capitalului reglementat şi ale celui economic;
b) practici, proceduri şi politici de administrare noi sau îmbunătăţite;
c) strategii de transfer al riscului şi de diminuare a acestuia;
d) expunerea la riscul operaţional;
e) istoricul de pierderi interne şi, în cazul în care prezintă relevanţă, istoricul de pierderi externe;
f) identificarea şi evaluarea ariilor de vulnerabilitate; şi
g) îmbunătăţirea calităţii sistemelor şi proceselor de cuantificare şi administrare ale riscului operaţional.
Art. 38. - (1) Funcţia de administrare a riscului operaţional trebuie să conceapă, să dezvolte, să implementeze şi să execute procesele şi sistemele de administrare şi cuantificare ale riscului operaţional.
(2) Funcţia de administrare a riscului operaţional trebuie să asigure cu regularitate că procesele de cuantificare şi sistemele de administrare a riscului operaţional, precum şi toate componentele acestora funcţionează conform planificărilor.
(3) Funcţia de administrare a riscului operaţional trebuie să dispună de suficiente resurse şi competenţe în metodele de cuantificare şi administrare ale riscului operaţional şi trebuie să cunoască procesele instituţiei.
Art. 39. - Funcţia de administrare a riscului operaţional trebuie să asigure că următoarele atribuţii şi arii, printre altele, sunt îndeplinite sau acoperite pe bază continuă:
a) procesele relaţionate cu definirea, formalizarea şi colectarea celor 4 elemente ale abordării avansate de evaluare;
b) metodologia de cuantificare;
c) sistemele de monitorizare şi raportare;
d) verificarea îndeplinirii standardelor şi cerinţelor minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare şi, îndeosebi, a testului de utilizare;
e) procesele de cuantificare a riscului operaţional şi de alocare, incluzând calculul oricăror ajustări (pierdere aşteptată, dependenţă, asigurare), în cazul în care se dispune de date suficiente - testare ex-post (backtesting) şi analiză tip referinţă (benchmarking) şi metodologia pentru cheile de alocare.
Art. 40. - (1) Ori de câte ori este posibil, personalul responsabil cu validarea internă a sistemelor de cuantificare şi a proceselor de administrare nu trebuie să fie acelaşi cu personalul responsabil cu proiectarea acestora.
(2) Rolul de validare a proceselor de administrare şi a sistemelor de cuantificare aferente abordării avansate de evaluare poate fi îndeplinit de către aceeaşi funcţie cu cea implicată în proiectarea, dezvoltarea şi implementarea cadrului aferent riscului operaţional doar în mod excepţional şi/sau temporar.
(3) Orice lipsă potenţială de obiectivitate trebuie compensată printr-o examinare independentă în conformitate cu art. 69 alin. (1) lit. e).
(4) Instituţiile de credit trebuie să treacă la un proces de validare internă independent imediat ce este posibil.
Art. 41. - În cazul general al instituţiilor de credit care dispun de o unitate centrală pentru riscul operaţional şi de personal alocat riscului operaţional în entităţile locale, instituţiile de credit trebuie să asigure faptul că acesta din urmă respectă instrucţiunile stabilite de către unitatea centrală pentru riscul operaţional; responsabilităţile şi liniile de raportare trebuie stabilite în mod clar.
Art. 42. - (1) Auditul intern trebuie să dezvolte un program pentru examinarea cadrului aferent riscului operaţional, care să acopere toate activităţile semnificative - inclusiv activităţile externalizate - ce expun instituţia de credit la risc operaţional semnificativ.
(2) Examinarea cadrului de administrare a riscului operaţional de către auditul intern trebuie să aibă ca rol principal asigurarea eficacităţii proceselor de administrare şi a sistemelor de cuantificare a riscului operaţional ale instituţiei de credit şi a activităţii desfăşurate de funcţia de administrare a riscului operaţional, precum şi verificarea conformităţii cu standardele şi cerinţele minime impuse de Banca Naţională a României în vederea utilizării abordării avansate de evaluare.
(3) Auditul intern trebuie să furnizeze o evaluare a gradului de adecvare în ansamblu a cadrului aferent riscului operaţional, precum şi a funcţiei de administrare a riscului operaţional; auditul intern trebuie să desfăşoare examinări proprii în vederea evaluării gradului real de independenţă al funcţiei de administrare a riscului operaţional.
(4) Programul la care se face referire la alin. (1) trebuie actualizat cu regularitate în ceea ce priveşte dezvoltarea de procese interne pentru identificarea, evaluarea, monitorizarea şi controlul/diminuarea riscului operaţional şi implementarea de produse, procese şi sisteme noi care expun instituţia de credit la risc operaţional semnificativ.
Art. 43. - (1) Este permisă o colaborare limitată între funcţia de audit intern şi funcţia de administrare a riscului operaţional, în special în cazul unor procese şi activităţi relaţionate cu riscul operaţional în care auditul intern dispune de experienţă bogată şi abilităţi şi competenţe bine dezvoltate, precum analiza proceselor, colectările de date privind pierderile, evaluările riscului şi controlului.
(2) Colaborarea cu funcţia de administrare a riscului operaţional permisă în conformitate cu alin. (1) nu trebuie să afecteze independenţa auditului intern; indiferent de recomandările sau informaţiile furnizate de auditul intern, proiectarea, implementarea şi actualizarea cadrului aferent riscului operaţional rămân responsabilitatea exclusivă a funcţiei de administrare a riscului operaţional, iar funcţia de audit intern nu trebuie să fie implicată în activităţile curente legate de riscul operaţional.
Art. 44. - Activitatea auditului intern trebuie să acopere aspecte precum adecvarea infrastructurii IT, a colectărilor de date şi a mentenanţei datelor; trebuie derulate teste special pentru verificarea procesului de introducere de date.
Art. 45. - Personalul dedicat funcţiei de audit intern trebuie să posede abilităţile, competenţele şi experienţa necesare şi trebuie, în mod deosebit, să fie familiarizat cu strategia şi procesele de identificare, evaluare, monitorizare şi control/diminuare ale riscului operaţional ale instituţiei de credit.
SECŢIUNEA a 2-a
Standarde cantitative
SUBSECŢIUNEA 1
Aspecte generale
Art. 46. - (1) Modelul aferent abordării avansate de evaluare trebuie aplicat în mod consecvent claselor de risc operaţional comparabile ale instituţiei de credit.
(2) Datele de intrare şi modul în care acestea sunt tratate trebuie să fie transparente şi uşor de verificat.
(3) Modelul trebuie să fie robust, în sensul includerii tuturor determinanţilor semnificativi ai profilului de risc operaţional al instituţiei de credit, şi trebuie să prezinte senzitivitate la modificările semnificative în profilul de risc operaţional al instituţiei de credit.
Art. 47. - (1) Modelul trebuie formalizat în detaliu, iar documentaţia aferentă trebuie să fie oportună şi actualizată; documentaţia internă a instituţiei de credit trebuie îndeosebi să specifice în detaliu modul în care cele 4 elemente ale abordării avansate de evaluare sunt combinate şi/sau ponderate şi să includă o descriere a procesului de modelare care să ilustreze utilizarea celor 4 elemente.
(2) Documentaţia internă privind aspectele cantitative ale abordării avansate de evaluare a unei instituţii de credit trebuie să cuprindă aspectele prevăzute în anexă.
Art. 48. - (1) Instituţiile de credit trebuie să adopte metode şi proceduri adecvate pentru a garanta consecvenţa, coerenţa şi calitatea etapelor de introducere de date, execuţie şi obţinere de rezultate ale modelului.
(2) Instituţiile de credit trebuie să depună eforturi pentru identificarea claselor de risc operaţional în cadrul cărora valorile pierderilor sunt distribuite identic şi independent.
(3) Ca alternativă la dispoziţiile alin. (2), în baza justificării, instituţiile de credit îşi pot ajusta datele în funcţie de determinanţii cunoscuţi, în vederea simplificării procesului de modelare.
(4) Execuţia modelelor pentru generarea cerinţelor de capital reglementate pentru riscul operaţional trebuie să fie sprijinită de un proces coerent şi transparent.
(5) În vederea stabilirii unei cerinţe de capital de ansamblu pentru riscul operaţional credibile şi justificabile, modelul trebuie construit astfel încât să se asigure producerea de rezultate cât mai stabile posibil; instituţiile de credit trebuie să fie capabile să evalueze acurateţea cerinţelor de capital pentru riscul operaţional.
Art. 49. - (1) Pentru a genera o cuantificare a riscului operaţional la un standard de rigurozitate comparabil cu un nivel de încredere de 99,9%, în situaţiile în care realizarea unui calcul direct la nivelul de încredere de 99,9% afectează fiabilitatea şi stabilitatea cuantificării riscului operaţional, în vederea obţinerii unei cuantificări mai stabile şi mai fiabile, o instituţie de credit poate calcula o cuantificare iniţială la un nivel de încredere mai redus, pe care apoi să o transpună printr-o tehnică de ajustare de tip scaling la nivelul de încredere de 99,9% utilizând metode adecvate.
(2) În cazul în care se utilizează o tehnică de ajustare de tip scaling, instituţiile de credit trebuie să poată demonstra soliditatea, adecvarea şi fiabilitatea tehnicii de ajustare de tip scaling şi analiza acurateţea de ansamblu a mecanismului de ajustare de tip scaling.
(3) Instituţia de credit trebuie să demonstreze că metoda de ajustare de tip scaling conduce la un rezultat plauzibil şi fiabil; nivelul de încredere folosit nu trebuie interpretat în mod obligatoriu ca o demarcaţie între extremitate şi restul distribuţiei.
(4) Nivelul de încredere la care poate fi calculată cuantificarea iniţială a riscului operaţional trebuie să fie localizat în extremitatea dreaptă a distribuţiei pierderilor şi trebuie să fie adecvat.
Art. 50. - (1) Pentru a demonstra că pierderile aşteptate sunt reflectate în mod adecvat în practicile interne pentru scopurile art. 20 alin. (1) din Regulamentul BNR - CNVM nr. 24/29/2006, o instituţie de credit trebuie să respecte principiile generale prevăzute la alin. (2)-(6).
(2) Modul în care instituţia de credit estimează pierderile aşteptate trebuie să fie consecvent cu modul în care cerinţa de capital, însumare a pierderilor aşteptate şi a pierderilor neaşteptate, este calculată prin utilizarea modelului aferent abordării avansate de evaluare, pentru care a fost obţinută aprobare.
(3) Acoperirile pentru pierderile aşteptate trebuie să fie substitute clare de capital sau elemente care sunt, într-un alt mod, disponibile pentru a acoperi pierderile aşteptate cu un nivel ridicat de certitudine pe un orizont de timp de un an.
(4) În cazul în care acoperirea nu constă în capital deţinut sau provizioane constituite în acest scop, aceasta este disponibilă doar pentru acele operaţiuni cu pierderi cu natură de rutină, ce au un grad ridicat de previzibilitate şi sunt rezonabil de stabile.
(5) Acoperirea maximă trebuie să fie mai mică decât pierderea aşteptată calculată pe baza distribuţiei complete a pierderilor prin utilizarea modelului aferent abordării avansate de evaluare pentru care a fost obţinută aprobare.
(6) Rezervele special constituite pentru pierderile cu impact negativ major din riscul operaţional nu reprezintă acoperire acceptabilă pentru pierderile aşteptate.
(7) Instituţiile de credit trebuie să formalizeze cu claritate modul în care pierderile aşteptate sunt cuantificate şi reflectate în practicile lor interne, inclusiv modul în care oricare acoperiri pentru pierderile aşteptate îndeplinesc principiile generale prevăzute la alin. (3)-(6).
(8) Instituţiile de credit trebuie să justifice alegerea modului de estimare a pierderilor aşteptate folosit, având în vedere natura distribuţiilor ce caracterizează riscul operaţional.
(9) În cazul indicat la alin. (4), instituţiile de credit trebuie să poată demonstra că procesul de estimare este aplicat în mod coerent şi este consecvent în timp.
Art. 51. - Instituţiile de credit care examinează şi recunosc corelaţii în modelele aferente abordării avansate de evaluare pentru scopurile art. 20 alin. (5) din Regulamentul BNR - CNVM nr. 24/29/2006 trebuie să îndeplinească următoarele cerinţe:
a) fiecare estimare de risc operaţional trebuie construită pe baza unui set de evenimente de pierdere şi valori ale pierderilor (reale sau construite) care sunt în cea mai ridicată măsură posibil independente;
b) dependenţele dintre evenimentele cu frecvenţă redusă şi impact negativ major, situate la extremitatea distribuţiei, de obicei principalii determinanţi ai estimărilor de risc operaţional, trebuie studiate cu deosebită atenţie;
c) dată fiind natura diferită a evenimentelor situate în extremitatea distribuţiei şi a celor situate în restul distribuţiei, trebuie avută în vedere posibila necesitate a utilizării unor instrumente calitative şi cantitative diferite pentru determinarea şi estimarea impactului structurilor efective de dependenţă asupra cerinţei de capital;
d) în cazul dependenţelor dintre evenimentele situate în extremitatea distribuţiei pentru care este dificilă sau puţin pertinentă aplicarea validării cu tehnici cantitative dezvoltate pentru corelaţiile dintre evenimentele cu frecvenţă ridicată şi impact redus, soliditatea ipotezelor aferente dependenţelor care au impact semnificativ asupra cuantificării de ansamblu aferente abordării avansate de evaluare trebuie demonstrată, cel puţin, prin tehnici calitative de validare şi, unde este posibil, tehnici cantitative şi/sau o formă de analiză prin simulare de criză (stress-test analysis);
e) dependenţele trebuie, în cea mai mare măsură posibilă, identificate şi tratate direct în informaţiile de introdus; procedurile de minimizare a impactului unor astfel de dependenţe trebuie aplicate şi formalizate cât mai clar posibil;
f) în cadrul documentaţiei aferente modelului trebuie identificate şi justificate ipotezele aferente corelaţiilor şi trebuie inclusă evaluarea senzitivităţii modelului la aceste ipoteze.
Art. 52. - Instituţiile de credit care nu examinează corelaţii în cadrul modelelor aferente abordării avansate de evaluare trebuie să calculeze cerinţa de capital de ansamblu ca sumă a cuantificărilor de risc operaţional individuale rezultând din estimări de risc operaţional diferite.
Art. 53. - (1) Instituţiile de credit trebuie să stabilească modul în care cele 4 elemente esenţiale la care se face referire la art. 20 alin. (3) din Regulamentul BNR - CNVM nr. 24/29/2006 sunt ponderate şi combinate.
(2) Procesele de evaluare a disponibilităţii celor 4 elemente trebuie să fie consecvente cadrului general de administrare a riscului al instituţiei de credit.
SUBSECŢIUNEA a 2-a
Colectarea datelor şi utilizarea celor 4 elemente esenţiale
Art. 54. - (1) Instituţiile de credit trebuie să asigure calitatea datelor.
(2) Instituţiile de credit trebuie să lucreze pe bază continuă pentru a asigura o calitate a datelor de care dispun suficient de ridicată pentru sprijinirea proceselor de administrare a riscului operaţional şi calculului cerinţelor de capital.
(3) Instituţiile de credit trebuie să stabilească standarde proprii pentru asigurarea calităţii datelor, standarde pe care trebuie să urmărească să le dezvolte şi să le îmbunătăţească în timp.
(4) Instituţiile de credit trebuie să poată demonstra că respectă standarde ridicate în ceea ce priveşte integralitatea, adecvarea şi acurateţea datelor colectate peste pragurile stabilite.
(5) Instituţiile de credit trebuie să stabilească o politică explicită privind datele relaţionate cu riscul operaţional, politică ce ar putea face parte dintr-o politică generală privind datele.
(6) Instituţiile de credit trebuie să formalizeze fluxurile operaţionale, procedurile şi sistemele legate de colectarea şi stocarea datelor.
Art. 55. - (1) Instituţiile de credit trebuie să dispună de politici privind toleranţa faţă de orice date lipsă din cadrul datelor lor interne; instituţiile de credit trebuie să poată justifica integral abordările proprii privind ajustarea valorilor.
(2) Instituţiile de credit care utilizează date calitative trebuie să poată furniza Băncii Naţionale a României dovezi care să ateste faptul că sunt suficient de abilitate în utilizarea de date calitative, că au întreprins toate demersurile posibile pentru eliminarea distorsiunilor (biases), că datele calitative sunt relevante pentru variabile de risc stabilite exact şi pentru obiectivele de risc proiectate.
Art. 56. - (1) Instituţiile de credit trebuie să dispună de sisteme IT care să asigure următoarele:
a) disponibilitate şi mentenanţă adecvată ale tuturor bazelor de date relevante;
b) capacitate de modelare şi calcul adecvată; şi
c) controale adecvate asupra procesului de colectare de date.
(2) Sistemele IT ale instituţiilor de credit la care se face referire la alin. (1) trebuie incluse în planurile generale pentru situaţii neprevăzute, pentru a garanta recuperarea informaţiilor; controalele implementate trebuie să prevină accesul persoanelor neautorizate şi să asigure integritatea datelor.
(3) Instituţiile de credit trebuie să întocmească un plan global cu toate punctele slabe ale datelor şi sistemelor IT descoperite în timpul procesului de examinare şi validare internă; instituţiile de credit trebuie să precizeze modul în care intenţionează să corecteze sau să reducă punctele slabe.
Art. 57. - (1) O funcţie independentă trebuie să realizeze verificări minime pentru a asigura integralitatea datelor interne şi relevanţa datelor externe.
(2) Pentru a asigura calitatea datelor, examinarea independentă realizată de către instituţiile de credit trebuie să cuprindă cel puţin următoarele:
a) o examinare periodică a controalelor;
b) o examinare a sistemelor prin care instituţiile de credit asigură îndeplinirea standardelor de calitate a datelor.
(3) Instituţiile de credit trebuie să realizeze verificări ale coerenţei, care să includă trasabilitatea surselor de date; discrepanţele trebuie investigate.
Art. 58. - (1) Fără a aduce atingere prevederilor art. 21 alin. (1) din Regulamentul BNR - CNVM nr. 24/29/2006, instituţiile de credit trebuie să ia în considerare faptul că o clasă de risc operaţional caracterizată prin evenimente cu frecvenţă redusă poate necesita o perioadă de observare istorică mai mare de 5 ani în vederea colectării de date suficiente pentru a genera cuantificări ale riscului operaţional fiabile.
(2) Instituţiile de credit pot utiliza metode pentru a obţine date suficiente, care să reflecte profilul actual de risc operaţional, cum ar fi:
a) reducerea impactului celor mai vechi şi puţin relevante date interne prin tehnici de ponderare adecvate, prin utilizarea de indicatori cantitativi sau factori calitativi care să reflecte schimbările intervenite în mediul intern/extern al instituţiei de credit;
b) suplimentarea datelor interne aferente celor mai recenţi ani cu date externe aferente aceloraşi ani, provenind de la instituţii/grupuri similare, ajustate în mod corespunzător;
c) construirea de date privind pierderi din riscul operaţional pentru anii trecuţi prin intermediul datelor generate prin scenarii sau prin ajustare de tip scaling retrogradă a observaţiilor interne/externe aferente celor mai recenţi ani prin tehnici sau indicatori adecvaţi.
(3) În cazul în care datele nu sunt suficiente, instituţiile de credit trebuie să facă estimări de risc prudente.
Art. 59. - (1) Pentru scopul art. 21 alin. (4) din Regulamentul BNR - CNVM nr. 24/29/2006, instituţiile de credit trebuie să stabilească un tratament pentru pierderile din riscul operaţional legate de riscul de credit şi să formalizeze acest tratament în vederea evitării reducerii necorespunzătoare a cerinţei de capital totale.
(2) Pentru scopul art. 21 alin. (5) din Regulamentul BNR - CNVM nr. 24/29/2006, instituţiile de credit trebuie să formalizeze criteriile de identificare a pierderilor din riscul operaţional care sunt legate de riscul de piaţă; în cazul evenimentelor şi/sau pierderilor din riscul operaţional legate de riscul de piaţă care fac parte din aria de cuprindere a riscului operaţional, valoarea întreagă a pierderii înregistrate, incluzând partea de pierdere datorată condiţiilor de piaţă adverse, trebuie considerată ca pierdere din riscul operaţional.
Art. 60. - (1) Instituţiile de credit sunt responsabile pentru stabilirea pragului pentru o clasă de risc operaţional, în conformitate cu art. 21 alin. (7) din Regulamentul BNR - CNVM nr. 24/29/2006.
(2) În stabilirea pragului pentru o clasă de risc operaţional instituţiile de credit trebuie să dea dovadă de acurateţe, având în vedere faptul că acesta poate influenţa rezultatele modelului în mod considerabil, şi pot întreprinde analize cost - beneficiu ale colectării de date privind pierderile aflate sub prag, fără a omite faptul că acesta este determinat de riscul şi complexitatea inerente clasei.
(3) Pragurile stabilite pentru clasele de risc operaţional trebuie să fie rezonabile, nu trebuie să conducă la excluderea de date importante privind evenimentele de pierdere şi nu trebuie să afecteze credibilitatea şi acurateţea cuantificărilor riscului operaţional.
(4) Instituţiile de credit trebuie să poată furniza Băncii Naţionale a României dovezi ale îndeplinirii prevederilor alin. (3).
(5) Instituţiile de credit trebuie să evite distorsiuni (biases) posibile în estimarea de parametri ai modelului, luând în considerare în mod explicit în cadrul modelului faptul că setul de date pentru calcul este incomplet datorită prezenţei pragurilor.
Art. 61. - (1) O instituţie de credit trebuie să dispună de o politică de identificare a pierderilor sau evenimentelor înregistrate în baza de date interne privind evenimentele de pierdere care trebuie incluse în setul de date pentru calcul, politică ce trebuie să asigure un tratament consecvent al datelor privind pierderile în cadrul întregii instituţii de credit.
(2) Instituţiile de credit trebuie să fie capabile să separe în setul de date pentru calcul evenimentele din riscul operaţional relaţionate cu poliţele de asigurare şi alte mecanisme de transfer al riscului existente.
(3) Pentru scopul alin. (1), instituţiile de credit trebuie să decidă cu privire la includerea evenimentelor cu pierdere recuperată prompt în setul de date pentru calcul; în cazul instituţiilor de credit care decid să nu includă evenimentele cu pierdere recuperată prompt în setul de date pentru calcul, dacă nu s-a produs decât o recuperare parţială, în setul de date pentru calcul se va include valoarea netă de recuperări.
(4) Pierderile secvenţiale trebuie incluse în setul de date pentru calcul ca sume ale pierderilor succesive înregistrate în perioade diferite.
(5) Pierderile cu efect multiplu trebuie incluse în setul de date pentru calcul ca sume ale pierderilor asociate relaţionate cu acelaşi eveniment cauzal; instituţiile de credit trebuie să formalizeze eventualele excepţii şi să le trateze în mod adecvat pentru a preveni diminuarea nenecesară a cerinţelor de capital.
(6) Evenimentele soldate cu câştiguri nu pot fi incluse în setul de date pentru calcul în sensul diminuării nenecesare a cerinţei de capital.
(7) Instituţiile de credit trebuie să stabilească proceduri pentru identificarea incidentelor sau evenimentelor nesoldate cu pierderi în vederea unei conştientizări mai bune a profilului de risc operaţional al instituţiei de credit şi a îmbunătăţirii proceselor de administrare a riscului operaţional.
(8) Datele aferente evenimentelor cu pierdere recuperată prompt şi evenimentelor soldate cu câştiguri pot fi utilizate în vederea unei conştientizări mai bune a profilului de risc operaţional al instituţiei de credit şi a îmbunătăţirii proceselor de administrare a riscului operaţional.
Art. 62. - Îndeosebi în situaţiile în care instituţiile de credit dispun de date interne limitate, precum cazul unor activităţi noi, acestea pot utiliza ca date externe pentru determinarea capitalului pentru riscul operaţional informaţii obţinute de la consorţii care colectează date privind pierderile aflate peste praguri joase, apropiate de cele stabilite pe plan intern de către instituţiile participante, către care instituţiile participante au furnizat date clasificate omogen şi care cuprind informaţii complete şi fiabile.
Art. 63. - (1) În cazul în care datele externe provenind de la consorţii conforme cu cerinţele stabilite în acest sens la art. 62 sunt insuficiente pentru obţinerea de informaţii privind evenimentele cu impact negativ major situate la extremitatea distribuţiei, în special privind cauzele acestora, instituţiile de credit pot recurge la surse publice pentru obţinerea de informaţii suplimentare folositoare.
(2) O instituţie de credit care foloseşte numai date din surse publice trebuie să manifeste prudenţă deosebită pentru a asigura că acestea sunt adecvate, nedistorsionate (unbiased) şi relevante pentru activităţile şi profilul de risc operaţional ale instituţiei.
Art. 64. - Diferenţele în dimensiunile instituţiilor sau alţi factori individuali trebuie luate în considerare la includerea de date externe în sistemul de cuantificare, de exemplu prin formularea de ipoteze cu privire la care evenimente de pierdere externe sunt relevante şi la măsura în care datele trebuie ajustate printr-o tehnică de tip scaling sau în vreun alt mod.
Art. 65. - (1) Instituţiile de credit pot utiliza analize de scenarii şi pentru alte scopuri decât cel prevăzut de art. 23 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, precum furnizarea de informaţii asupra expunerii de ansamblu a instituţiei de credit la riscul operaţional.
(2) Pentru a genera date verosimile şi fiabile, instituţiile de credit trebuie să asigure un grad ridicat de repetabilitate a procesului de generare de date din scenarii, prin pregătire riguroasă şi aplicare consecventă a rezultatelor cantitative şi calitative.
(3) Instituţiile de credit trebuie să asigure că procesul prin care scenariile sunt stabilite este menit să minimizeze în cea mai mare măsură posibilă subiectivitatea şi distorsiunile (biases), în acest sens fiind necesară îndeplinirea îndeosebi a următoarelor cerinţe:
a) ipotezele folosite în scenarii trebuie să se bazeze cât mai mult posibil pe dovezi empirice; în construirea scenariului trebuie utilizate date interne şi externe disponibile relevante;
b) la alegerea numărului de scenarii de aplicat, instituţiile de credit trebuie să poată explica raţionamentul care stă la baza stabilirii nivelului la care scenariile sunt analizate şi/sau unităţilor în care acestea sunt analizate;
c) ipotezele pentru generarea de analize de scenarii şi procesul prin care scenariul este construit trebuie formalizate riguros.
Art. 66. - (1) Factorii legaţi de mediul de afaceri şi controlul intern trebuie, prin natura lor, să fie anticipativi (forward-looking) şi în concordanţă strânsă cu calitatea mediului de control intern şi de operare al instituţiei de credit, trebuie să reflecte sursele potenţiale de risc operaţional şi trebuie să furnizeze informaţii cu privire la modul în care riscul este diminuat sau amplificat de mediul intern şi/sau extern şi trebuie surprinşi în mod adecvat în sistemul de cuantificare a riscului operaţional.
(2) Instituţiile de credit trebuie să formalizeze unde în cadrul sistemului de cuantificare a riscului operaţional folosesc indicatori legaţi de mediul de afaceri şi controlul intern, precum şi raţionamentul aferent.
(3) Sistemul de cuantificare a riscului al unei instituţii de credit trebuie să încorporeze cel puţin acei factori legaţi de mediul de afaceri şi controlul intern care au o influenţă semnificativă asupra profilului de risc operaţional al instituţiei de credit.
(4) Fără a aduce atingere alin. (3) şi, implicit, art. 24 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, dacă la implementarea pentru prima dată a sistemului de cuantificare nu este posibilă justificarea adecvării senzitivităţii estimărilor de risc datorită lipsei de dovezi empirice cu privire la relaţia dintre factorii legaţi de mediul de afaceri şi controlul intern şi expunerea la riscul operaţional, instituţiile de credit trebuie să justifice cel puţin în mod calitativ adecvarea metodelor utilizate pentru încorporarea factorilor în sistemul de cuantificare.
SECŢIUNEA a 3-a
Asigurarea la riscul operaţional şi alte mecanisme de transfer
al acestui risc
Art. 67. - (1) Instituţiile de credit pot recunoaşte impactul altor mecanisme de transfer al riscului dacă acestea sunt de o calitate comparabilă cu cea a protecţiei prin asigurare conformă cu art. 26 şi 27 din Regulamentul BNR-CNVM nr. 24/29/2006, respectiv dacă acestea îndeplinesc cerinţe similare celor aplicabile asigurării.
(2) Instituţiile de credit trebuie să monitorizeze uzul de asigurare şi alte mecanisme de transfer al riscului operaţional, respectiv eficacitatea protecţiei prin acestea, şi să recalculeze cerinţa de capital pentru riscul operaţional dacă este cazul cu ocazia unei modificări semnificative în natura asigurării sau a protecţiei prin alte mecanisme de transfer al riscului.
(3) Instituţiile de credit trebuie să notifice în scris Banca Naţională a României cu privire la modificările substanţiale în protecţia prin asigurare sau alte mecanisme de transfer al riscului operaţional şi, dacă este cazul, la implicaţiile acestora asupra cerinţei de capital pentru riscul operaţional.
(4) Activităţile externalizate nu trebuie considerate ca făcând parte din alte mecanisme de transfer al riscului operaţional pentru scopurile art. 25 din Regulamentul BNR-CNVM nr. 24/29/2006.
SECŢIUNEA a 4-a
Validarea internă a abordării avansate de evaluare
SUBSECŢIUNEA 1
Sfera de cuprindere a validării interne întreprinse
de instituţiile de credit
Art. 68. - (1) O instituţie de credit trebuie să dispună de un proces de validare internă.
(2) Procesul de validare internă trebuie să includă verificarea fiabilităţii calculului cerinţei de capital pentru riscul operaţional, precum şi verificarea faptului că sistemul de cuantificare este utilizat în procesele decizionale şi în administrarea riscului operaţional.
Art. 69. - (1) O instituţie de credit trebuie să respecte următoarele principii generale de validare:
a) validarea internă este responsabilitatea instituţiei de credit; instituţia de credit trebuie să depună "cel mai bun efort" pentru a valida intern cadrul aferent abordării avansate de evaluare;
b) instituţia de credit trebuie să stabilească o metodologie clară pentru validarea internă; această metodologie trebuie să fie adecvată instituţiei şi cadrului aferent abordării avansate de evaluare al acesteia şi trebuie să fie formalizată în mod clar;
c) tehnicile de validare internă trebuie să fie proporţionale şi să ia în considerare condiţiile de operare şi de piaţă în schimbare;
d) validarea internă trebuie să cuprindă atât elemente cantitative, cât şi elemente calitative;
e) procesele de validare internă şi rezultatele acesteia trebuie să facă obiectul unei examinări independente pentru a asigura că implementarea acestora este eficace; în cazul în care validarea internă este realizată de către persoane sau unităţi implicate în derularea sistemelor de cuantificare şi a proceselor de administrare ale riscului operaţional, examinarea va trata în mod expres obiectivitatea procesului şi a rezultatelor acestuia.
(2) Instituţiile de credit trebuie să aibă în vedere faptul că nu există o metodă de validare universală.
Art. 70. - Frecvenţa validării interne trebuie stabilită în ultimă instanţă în funcţie de obiectul validării şi importanţa acestuia în cadrul sistemelor de cuantificare sau al proceselor de administrare ale riscului operaţional ale instituţiei de credit.
Art. 71. - Instituţiile de credit trebuie să analizeze periodic propriile metodologii de validare internă pentru a asigura că acestea rămân adecvate; în particular, anumite secţiuni ale sistemelor de cuantificare şi ale proceselor de administrare ale riscului operaţional trebuie revalidate, cel puţin dacă există o modificare semnificativă în profilul de risc operaţional al instituţiei şi/sau în metodologia/ipotezele modelului ori în procesele de administrare.
SUBSECŢIUNEA a 2-a
Validarea sistemelor de cuantificare a riscului operaţional
Art. 72. - (1) Procesul de validare internă al instituţiilor de credit trebuie să fie proporţional şi să ia în considerare scopul specific pentru care sistemele de cuantificare a riscului operaţional sunt utilizate.
(2) Instituţiile de credit trebuie să asigure că informaţiile introduse în sistemele de cuantificare a riscului operaţional sunt exacte şi complete într-o măsură rezonabil de ridicată.
(3) O instituţie de credit trebuie să adopte o abordare robustă cu privire la validare şi trebuie să poată explica şi justifica propria metodologie.
(4) Validarea internă a sistemelor de cuantificare a riscului a unei instituţii de credit trebuie să cuprindă atât elemente cantitative, cât şi elemente calitative şi trebuie să fie formalizată în mod clar; documentaţia aferentă trebuie să cuprindă un plan detaliat al metodologiei de validare, incluzând frecvenţa, şi trebuie să evidenţieze orice puncte slabe identificate.
Art. 73. - Instituţiile de credit trebuie să respecte următoarele cerinţe minime de validare în ariile relevante ale sistemelor de cuantificare a riscului operaţional:
a) instituţiile de credit trebuie să dispună de standarde clare pentru introducerea de date în propriile modele, standarde pe care trebuie să le respecte, în acest sens fiind avute în vedere art. 54, art. 55 alin. (1), art. 56 şi 57;
b) toate datele semnificative peste pragurile stabilite trebuie validate pentru atestarea faptului că sunt complete, adecvate şi exacte; validarea trebuie să cuprindă toate tipurile de date: date reale, date construite, numere generate prin analize de scenarii, factori legaţi de mediile de afaceri şi factori legaţi de controlul intern; îndeosebi pentru datele construite, validarea trebuie să ateste faptul că ipotezele sunt nedeplasate (unbiased) şi că rezultatele sunt verosimile;
c) instituţiile de credit trebuie să fie capabile să asigure validitatea datelor de introdus în model pe bază continuă;
d) validarea modelului trebuie să asigure că relaţia dintre datele de introdus şi rezultatele modelului este stabilă şi că tehnicile aflate la baza modelului sunt transparente şi intuitive; modelul trebuie să fie logic: la îmbunătăţirea controlului, pierderea aşteptată şi/sau pierderea neaşteptată ar trebui să se micşoreze, iar, ca urmare, ceteris paribus, ar trebui să existe o reducere aferentă a cerinţei de capital reglementate;
e) instituţiile de credit trebuie să poată asigura validitatea metodologiei modelului în etapa de dezvoltare şi ulterior modificărilor semnificative în metodologie/ipoteze şi trebuie să poată asigura validitatea rezultatelor modelului pe bază continuă.
SUBSECŢIUNEA a 3-a
Validarea proceselor de administrare a riscului operaţional
Art. 74. - Pentru a se asigura adecvarea cadrului de administrare a riscului operaţional în vederea îndeplinirii scopurilor acestuia, ca şi operarea cadrului conform aşteptărilor conducerii, instituţiile de credit trebuie, ca parte a procesului de validare internă, să evalueze adecvarea proceselor de administrare a riscului.
Art. 75. - (1) Validarea proceselor de administrare a riscului operaţional trebuie să reprezinte un exerciţiu continuu.
(2) Instituţiile de credit trebuie să fie capabile să justifice Băncii Naţionale a României modul în care îndeplinesc cerinţa prevăzută la alin. (1).
(3) Tehnicile de validare utilizate de instituţiile de credit trebuie să includă verificarea următoarelor aspecte:
a) integralitatea documentaţiei aferente administrării riscului operaţional;
b) respectarea procedurilor de raportare de informaţii către conducere;
c) îndeplinirea de către datele privind pierderile colectate a standardelor impuse privind datele;
d) derularea de acţiuni subsecvente în mod eficace şi oportun;
e) urmărirea procedurilor de examinare şi actualizare a cadrului de administrare a riscului operaţional;
f) concordanţa rapoartelor de conformitate/cuprinzând date privind pierderile/cuprinzând indicatori-cheie ai riscului şi a estimărilor de risc cu rezultatele autoevaluărilor calitative.
CAPITOLUL IV
Metodologia de alocare a capitalului
Art. 76. - (1) În cazurile indicate la art. 18 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006, instituţiile de credit trebuie să respecte prevederile alin. (2)-(6).
(2) Metodologia la care se face referire în cadrul art. 18 alin. (1) din Regulamentul BNR-CNVM nr. 24/29/2006 trebuie să realizeze alocarea capitalului deţinut la nivelul consolidat al grupului pentru riscul operaţional descendent către entităţile juridice implicate în procesul de calcul la nivel consolidat aferent abordării avansate de evaluare.
(3) Instituţiile de credit trebuie să dispună de metodologii solide şi raţionale de alocare pe care să le implementeze în mod consecvent, just şi cu integritate.
(4) Instituţiile de credit trebuie să adopte mecanisme de alocare care să reflecte în mod corect nivelul de risc operaţional al entităţilor juridice şi în cadrul grupului, precum şi contribuţia efectivă a acestora la cerinţa de capital determinată la nivel consolidat.
(5) Instituţiile de credit trebuie să depună eforturi pentru îmbunătăţirea senzitivităţii la risc a tehnicilor de alocare a capitalului aferent riscului operaţional, inclusiv ulterior obţinerii aprobării de utilizare a abordării avansate de evaluare.
(6) Instituţiile de credit trebuie să poată demonstra îndeplinirea alin. (3).
Art. 77. - Structura de conducere a fiecărei instituţii de credit este responsabilă de realizarea unei evaluări proprii a riscului operaţional, a mediului de activitate şi a mediului de control ale instituţiei de credit şi de asigurarea unei capitalizări adecvate a acesteia pentru riscul operaţional, inclusiv prin luarea în considerare a eventualelor obstacole în transferul de capital dintre societatea-mamă şi aceasta.
CAPITOLUL V
Dispoziţii tranzitorii
Art. 78. - (1) Instituţiile de credit care beneficiază de aprobarea de utilizare a abordării avansate de evaluare în scopul determinării cerinţei de capital reglementate pentru riscul operaţional anterior publicării prezentului regulament în Monitorul Oficial al României, Partea I, trebuie să finalizeze demersurile necesare în vederea conformării cu prevederile art. 8 şi cu cele relevante ale cap. III şi IV din regulament în termen de 6 luni de la data publicării sale.
(2) Instituţiile de credit, persoane juridice române, pentru care există cereri de aprobare în curs de analiză la momentul publicării prezentului regulament în Monitorul Oficial al României, Partea I, trebuie să finalizeze demersurile necesare în vederea conformării cu prevederile art. 8 şi cu cele relevante ale cap. III şi IV în termen de 3 luni de la data publicării sale.
(3) În cazul cererilor pentru obţinerea aprobării de utilizare a abordării avansate de evaluare formulate în condiţiile prevăzute la art. 182 alin. (1) sau la art. 193 alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare, şi în condiţiile în care Banca Naţională a României este autoritatea competentă responsabilă cu supravegherea pe bază consolidată, precum şi în cazul cererilor pentru obţinerea aprobării de utilizare a abordării avansate de evaluare din partea instituţiilor de credit, persoane juridice române, care intenţionează să determine cerinţa de capital pentru riscul operaţional prin utilizarea abordării la nivel individual, cereri aflate în analiză la momentul publicării prezentului regulament în Monitorul Oficial al României, Partea I, instituţiile de credit trebuie să finalizeze demersurile necesare în vederea conformării cu prevederile relevante ale art. 5-7 şi 9-26.
(4) În cazul instituţiilor de credit care intenţionează să utilizeze abordarea avansată de evaluare în scopul determinării cerinţei de capital reglementate pentru riscul operaţional de la 1 ianuarie 2011, perioada de cel puţin un an prevăzută la art. 27 alin. (7) se va reduce în mod corespunzător.
(5) Instituţiile de credit care intenţionează să utilizeze abordarea avansată de evaluare în scopul raportării cerinţei de capital reglementate pentru riscul operaţional trebuie să facă, prin documentaţia transmisă Băncii Naţionale a României, dovada îndeplinirii cerinţei de a dispune de fonduri proprii cel puţin egale cu nivelul în cauză indicat la art. 4 din Regulamentul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 13/18/2006, aprobat prin Ordinul Băncii Naţionale a României şi al Comisiei Naţionale a Valorilor Mobiliare nr. 10/107/2006.
CAPITOLUL VI
Sancţiuni şi dispoziţii finale
Art. 79. - În cazul în care o instituţie de credit care a obţinut aprobare de utilizare a abordării avansate de evaluare din partea Băncii Naţionale a României nu mai îndeplineşte cerinţele şi standardele relevante, aceasta trebuie să notifice Banca Naţională a României în acest sens.
Art. 80. - Nerespectarea dispoziţiilor prezentului regulament atrage aplicarea măsurilor şi/sau a sancţiunilor prevăzute la art. 226, 227 şi 229 din Ordonanţa de urgenţă a Guvernului nr. 99/2006, aprobată cu modificări şi completări prin Legea nr. 227/2007, cu modificările şi completările ulterioare.
Art. 81. - Anexa face parte integrantă din prezentul regulament.
Preşedintele Consiliului de administraţie al
Băncii Naţionale a României,
Mugur Constantin Isărescu
Bucureşti, 15 decembrie 2009.
Nr. 25.
ANEXĂ
Aspecte cantitative ale abordării avansate de evaluare care trebuie
cuprinse în documentaţia internă a unei instituţii de credit
1. Ipotezele implicite în model
2. Modul în care au fost determinate clasele de risc operaţional
3. Modul în care date reale şi construite sunt obţinute şi modul în care acestea sunt folosite sau încorporate în model
4. Etapele de introducere, execuţie şi obţinere de rezultate ale modelului
5. Modul în care un standard de rigurozitate comparabil cu un nivel de încredere de 99,9% a fost respectat
6. Modul în care pierderile aşteptate şi neaşteptate au fost calculate; dacă şi modul în care pierderile aşteptate au fost reflectate în practicile interne
7. Metodologia de agregare folosită pentru calculul estimării (sau cuantificării) globale de risc operaţional a instituţiei de credit pe baza estimărilor (sau cuantificărilor) individuale de risc operaţional. În mod special, documentaţia trebuie să detalieze dacă şi modul în care corelaţiile dintre estimările individuale de risc operaţional au fost calculate şi modul în care acestea au fost validate
8. Dacă şi modul în care impactul asigurării a fost recunoscut în cadrul modelului
9. Procesul adoptat pentru validarea modelului, în special: criteriile de decizie şi/sau testele statistice pentru identificarea situaţiilor în care datele interne sunt considerate suficiente/insuficiente pentru calculul cuantificărilor riscului operaţional
10. Politica privind actualizarea modelului.