Contract
ПРАВИЛА ЗА УПРАВЛЕНИЕ НА РИСКА НА ”ЕЛАНА ФОНД МЕНИДЖМЪНТ” АД
ГЛАВА ПЪРВА ОСНОВНИ ПОЛОЖЕНИЯ
Чл. 1. С настоящите правила се регламентират:
1. Организационна структура, нива на отговорност и отчетност във връзка с управлението на рисковете в УД „Елана Фонд Мениджмънт” АД, наричано за краткост „Управляващото дружество” или „Дружеството”;
2. Политиката за управление на рисковете в Управляващото дружество, която включва:
• Процедури за установяване на рисковете, свързани с дейността и определяне на допустимо ниво на риск, ако такова може да бъде установено;
• Политики и процедури за управление на всеки отделен вид риск, свързан с дейността;
• Механизми за осъществяване на наблюдение върху адекватността и ефективността на политиката и процедурите и върху спазването от управляващото дружество и лицата, които работят по договор за управляващото дружество, на процедурите и мерките за управлението на риска;
• Механизми за наблюдение върху адекватността и ефективността на предприетите мерки за отстраняване на констатирани непълноти и несъответствия в политиката и процедурите, вкл. невъзможност за спазването им от лицата.
3. Основни положения и рамка на план за действие при възникване на кризисни ситуации.
ГЛАВА ВТОРА
ОРГАНИЗАЦИОННА СТРУКТУРА, СВЪРЗАНА С УПРАВЛЕНИЕТО НА РИСКА
Чл. 2. (1) Организационната структура в Управляващото дружество, свързана с управлението на риска е организирана на четири нива:
1. Съвет на директорите;
2. Изпълнителен директор и прокурист (Висше ръководство);
3. Комитет по управление на активите и пасивите /ALCO/;
4. Оперативните звена и служителите, работещи по договор в Управляващото дружество.
(2) Когато организационната структура, определена в ал. 1, се промени, следва да се гарантира спазването на основния принцип за разделянето на отговорностите между служителите с цел предотвратяване конфликти на интереси.
Чл. 3. Съветът на директорите при Управляващото дружество има следните отговорности по управление на риска:
1. Приема правила за управление на риска по предложение на Висшето ръководство на дружеството и след становище на ALCO, както и следи за своевременната им актуализация и спазване; най-малко веднъж на тримесечие
преглежда и оценява правилата за управление на риска, като при непълноти и/или необходимост от подобряване управлението на риска приема изменения и допълнения в правилата. Независимо от изискването по предходното изречение, приема изменения и допълнения в правилата по управление на риска при констатиране на необходимост от това;
2. Определя рисковата политика относно управлението на колективните инвестиционни схеми и индивидуалните клиентски портфейли, която може да бъде:
а) консервативна;
б) умерено-консервативна;
в) умерено-рискова;
г) рискова.
3. Определя:
а) допустимото ниво на риск на инвестициите на колективните инвестиционни схеми и индивидуалните клиентски портфейли;
б) насоките за развитие на системата за управление на риска, основаващи се на два основни принципа – подбор на финансови инструменти със сериозна фундаментална стойност и комбиниране на различни активи /портфейлен мениджмънт/;
в) конкретните стойности на лимитите за сделки на вътрешните и международните финансови пазари;
г) оторизираните длъжностни лица, с правото да разрешават надвишаване на индивидуално установените лимити за сключване на сделки и нивата на риск, когато те са основателни, като определя граница на допустимото превишение, както и случаите и условията за това;
д) политиките за хеджиране на риска чрез деривативни инструменти и неговата редукция, както и политиките и процедурите за наблюдение на постоянната ефективност на процесите по хеджиране и редукция на риска.
4. Взема решения относно намаляване на позиции във финансови инструменти, както и по отношение на общата рискова експозиция на Фонда, когато това е необходимо.
5. Контролира рисковите фактори за колективните инвестиционни схеми и клиентски портфейли чрез обсъждане на доклади, внесени от изпълнителните директори заедно със становище на АLCO, и взема решения в границите на своите правомощия.
6. Извършва периодичен ежегоден преглед на политиките и стратегиите за управление на рисковете.
7. Взема решения за кадрово, софтуерно и друго осигуряване на дейностите по управление на риска.
8. Участва активно в процеса по управление на риска;
9. Прави преглед и оценка на политиките и процедурите по установяване и мерките за управление на рисковете, свързани с дейностите, вътрешните процедури и системите на Дружеството най-малко веднъж на тримесечие или при констатиране на необходимост от изменения и допълнения на политиките и процедурите.
Чл. 4. Висшето ръководство на Управляващото дружество има следните отговорности по управлението на риска:
1. Организира работата по правилно провеждане на приетата от Съвета на директорите политика по управление на риска и по изпълнението на приетите Правила за управление на риска;
2. Създава организация на работа, която осигурява спазването на определените нива на риск, както и идентифициране, събиране и разпространяване в подходяща форма и срокове на надеждна и достоверна информация, която позволява на всяко лице в Управляващото дружество да поеме определена отговорност;
3. Следи за съответствие на използваните от съответните служители процедури по измерване, наблюдение и оценка на риска с приетите вътрешно-дружествени документи от Съвета на директорите;
4. организира и следи за изпълнението на решенията на Съвета на директорите относно кадрово, материално-техническо и методическо осигуряване на дейностите по управление на риска.
Чл. 5. (1) ALCO е консултативен орган по управление на активите и риска с цел да осигури ефективна комуникация по хоризонтална и вертикална линия и на всички йерархични нива в дружеството, адекватно капиталово равнище и оптимална ликвидност в съответствие с рисковия профил на колективните инвестиционни схеми и клиентски портфейли, които управлява и в изпълнение Стратегията за развитие на дружеството.
(2) ALCO осъществява следните функции и има следните отговорности по управление на риска:
1. Анализира количествените и качествени параметри на ликвидността, вътрешния капитал и промените в нормативните изисквания, отнасящи се до Управляващото дружество и отражението им върху дейността и способността на дружеството да посрещне своите задължения, с оглед предотвратяване на неблагоприятните последици от общ ликвиден, лихвен, валутен и друг вид риск;
2. Изготвя мотивирани предложения чрез изпълнителните директори до Съвета на директорите на Дружеството за утвърждаване нива на риск за сделки на вътрешните и международните финансови пазари;
3. Организира текущия контрол по спазването на приетите нива на риск и при нарушения уведомява Висшето ръководство, като предлага и мерки за отстраняването и недопускането им в бъдеще;
4. Разглежда измененията в нормативната уредба отнасяща се до управляващите дружества и тяхното влияние върху финансовото състояние и ликвидност на Дружеството и при необходимост внася пред Съвета на директорите чрез Висшето ръководство предложения за изменения и допълнения на вътрешно-дружествени документи;
5. Разглежда предложенията за актуализиране и усъвършенстване на правилата за управление на риска и след одобрението им от Висшето ръководство ги внася за утвърждаване от Съвета на директорите;
6. Предлага чрез Висшето ръководство на Съвета на директорите мерки за преодоляване на евентуални извънредни кризисни ситуации, с оглед гарантиране платежоспособността на дружеството и подобряване на ликвидността, при разумно балансиране на риск и доходност;
7. Осъществява надзор над капиталовата адекватност на Дружеството и вътрешния капитал и при необходимост предлага мерки пред Съвета на директорите.
(3) Членове на ALCO са:
1. Изпълнителен директор оторизиран от Съвета на директорите на Елана Финансов Холдинг ЕАД да ръководи текущо цялостната дейност по управление на риска на управляващото дружество;
2. Изпълнителен директор на управляващото дружество – председател на комитета;
3. Прокурист на Управляващото дружество;
4. Представител на отдел „Управление на риска”;
5. Представител на отдел „Управление на активи”;
6. Представител на отдел „Счетоводство и бек-офис”;
7. Представител на отдел „Вътрешен контрол и нормативно съответствие”.
(4) По покана на председателя на ALCO на дадено заседание на комитета могат да присъстват и други служители на Управляващото дружество, ако разглежданата материя го налага.
(5) ALCO заседава редовно поне един път месечно в ден и час, определен от председателя, за което членовете на ALCO са уведомени предварително. Ако текущата дейност го налага председателят може да насрочи и извънредно заседание на ALCO, за което уведомява останалите членове поне 2 часа предварително. ALCO може да заседава, ако присъстват най-малко две трети от членовете му лично или от упълномощено лице. Комитетът по управление на активите и пасивите взема решения с обикновено мнозинство, като при равенство на гласовете, решаващ е гласът на председателя.
Чл. 6. Отделът по управление на риска действа независимо от другите звена в Управляващото дружество, включително от звеното за сключване на сделки, отчита се пряко пред Висшето ръководство и има следните функции:
1. Разработва и внедрява системата за управление на риска, като подпомага с конкретни разработки, утвърдени от ALCO, Съвета на директорите и изпълнителните директори при определяне политиката по управление на риска, и пределно допустимите нива по основните видове риск.
2. Подпомага оперативните звена при определяне на количествено измеримите и неизмеримите рискове, както и наблюдава, анализира и оценява риска при различните дейности осъществявани от Управляващото дружество.
3. Изготвя и анализира ежедневните отчети с цел оценка на риска на всяка позиция и на портфейла като цяло и предприема мерки за ограничаване на рисковите експозиции.
4. Извършва първоначална и текуща проверка на методите за оценка на риска и прави предложение за тяхната корекция.
5. Контролира входящите данни, необходими за оценка на риска, а именно: данните за всяка позиция в портфейлите на КИС и за портфейла им като цяло; за контрагентите на КИС и държавите, в които те извършват дейност; за организацията на работата на УД и дейността му във връзка с управлението на КИС; както и данните за входящите и изходящи парични потоци, свързани с дейността на КИС.
6. Участва в ежедневните процеси по планиране, наблюдение, управление и контрол на рисковете.
7. До 10-о число на всеки месец изготвя и, след утвърждаване от ALCO, внася за разглеждане, обсъждане и приемане от Съвета на директорите доклад за състоянието на риска и дейността на отдела по управление на риска през предходния месец, в който посочва констатираните непълноти и несъответствия, както и предприетите мерки за отстраняването им, относно политиките и процедурите за установяване и управление на рисковете свързани с дейностите, процедурите и системите на управляващото дружество в съответствие с допустимото ниво на риск.
8. Контролира спазването на установените от Съвета на директорите правила по управление на риска и при констатиране на нарушения сигнализира чрез ALCO и Висшето ръководство.
9. Управляващото дружество осигурява на отдела по управление на риска съответните правомощия и достъп до цялата информация, необходима за изпълнение на функциите му.
Чл. 7. Служители, работещи по договор в управляващото дружество извън лицата по чл. 3, 4, 5 и 6 са задължени да се запознаят и да спазват процедурите, описани в настоящите правила по Управление на риска.
ГЛАВА ТРЕТА
ПОЛИТИКА ЗА УПРАВЛЕНИЕ НА РИСКA НА УД “ЕЛАНА ФОНД МЕНИДЖМЪНТ”АД
Чл. 8. (1) Политиката по управление на риска на УД действа и се прилага интегрирано с всички вътрешно-нормативни документи на дружеството.
(2) Целта на настоящата политика е да се документират процедурите по установяване, управление, наблюдение и оценка на рисковете, свързани с дейността на дружеството по реда на Наредба № 44 от 20.11.2011 г. за изискванията към дейността колективните инвестиционни схеми, инвестиционните дружества от затворен тип и на управляващите дружества.
Чл. 9. (1) Управляващото дружество разграничава следните видове рискове, свързани с дейностите, процедурите и системите:
1. Вътрешни - свързани с организацията на работа на Управляващото Дружество, които най-общо са :
• Рискове, свързани с персонала;
• Рискове, свързани с процесите;
• Рискове, свързани със системите.
2. Външни - свързани с макроикономически, политически и други фактори, които оказват и/или могат да окажат влияние върху дейността на Управляващото Дружество и най-общо са:
• Риск на обкръжаващата среда;
• Риск от физическо вмешателство.
(2) Оценката на рисковете се отчита от отдела за управление на риска, въз основа на резултатите от описаната по-долу „Процедура по идентификация, оценка и контрол на риска”, прилагана от всички функционални звена на УД.
(3) Въз основа на отчетените резултати, съгласно процедурата, УД установява допустимо ниво на риск за организацията и осигурява извършването на дейността да бъде в рамките на определеното допустимо ниво.
Чл. 10. (1) Рисковете, свързани с персонала, са рискове от загуби в резултат на:
1. Измами и кражби на лица, работещи по договор за УД;
2. Недобросъвестно поведение от страна на служителите на УД, както и некоректно отношение на Висшето ръководство към служителите;
3. Недостатъчна квалификация и липса на подготовка на лицата, работещи по договор за УД;
4. Неблагоприятни изменения в трудовото законодателство;
5. Неосигурена безопасност на трудовата среда;
6. Текучество.
(2) Процедури/мерки за управление на рисковете, свързани с персонала включват:
1. Ясно дефиниране на вътрешни правила относно правата и задълженията на служителите, както и изготвяне и запознаване на служителите с индивидуални длъжностни характеристики;
2. Ясно дефинирани нива за достъп до информационните системи и бази данни на Управляващото Дружество;
3. Регулярни обучения на персонала по теми, свързани с: финансова теория и практика, управление на риска, нормативната база, имаща отношение към дейността на УД, информационни технологии и сигурност, други;
4. Регулярни срещи между отделните звена на Управляващото Дружество за обмяна на опит, впечатления и препоръки, по отношение на източниците на риск и търсене на решения за управлението и минимизирането им;
5. Ежегодни събеседвания и оценка на персонала;
6. Поддържане на отворени, открити комуникации между различните звена в Управляващото Дружество;
7. Извършване на начален и периодичен инструктаж, свързан с безопасните условия на труд.
Чл. 11. (1) Рискове, свързани с процесите, са рисковете, възникващи от накърняване интереса на клиента в резултат на:
1. Действия в нарушение на определената инвестиционна стратегия;
2. Неправилна преценка за рисковия профил на клиента и избор на неподходяща и неуместна за клиента инвестиционна стратегия;
3. Виновно причинени вреди, които са в пряка причинна връзка с предоставяне на неверни, неточни или непълни анализи и прогнози в конкретна инвестиционна консултация;
4. Извършване на транзакции с инструменти, с които Клиента няма право да търгува;
5. Недобросъвестно използване на поверителна информация, предоставена от клиента (неупълномощен достъп до поверителна информация на клиента), нарушаване на търговска тайна;
6. Злоупотреба с поверителна информация;
7. Конфликт на интереси;
8. Грешки при събиране, въвеждане и осчетоводяване на данни;
9. Действие в нарушение на политиката за най-добро изпълнение и дължима грижа към клиента;
10. Грешки при подаване на информация към клиента;
11. Грешки при преоценка на клиентски активи;
12. Неправилна отчетност и съхранение на клиентски активи.
(2) Процедури/мерки за управление на рисковете, свързани с процесите, включват:
1. Изчерпателно и максимално точно уговаряне в договорните отношения с клиента обхватът на управлението и конкретните сделки и действия, които УД е овластенo да извършва;
2. С цел коректната оценка на рисковия профил на клиента УД класифицира клиентите си съгласно Правилата за класификация на клиентите като професионални, непрофесионални или приемлива насрещна страна.
3. Изискване към клиентите и потенциалните клиенти в писмена форма информация за установяване на съществени факти относно финансовите им възможности, инвестиционните цели, знания, опит относно услугите по управление на портфейл и предоставяне на инвестиционни консултации и за
готовността им да рискуват. При промяна на горепосочените факти Клиентът се задължава своевременно да уведоми управляващото дружество.
4. Поддържане на системи и процедури, които осигуряват трайното и конфиденциално съхранение на получената от клиентите информация за техните финансови възможности, инвестиционни цели, знания, опит и готовност да рискуват, както и за дадените им съвети и препоръки.
5. Предварително подробно запознаване на клиентите с вида и характеристиките на конкретния вид финансов инструмент и на конкретните рискове, свързани с него;
6. Разработване на система за отчитане пред клиента в съответствие с профила на клиента и законоустановените изисквания, която да гарантира навременното и точно подаване на изискуемата информация. При предоставяне на информация до клиента, УД се стреми да предоставя максимално релевантна такава, която да осигури на клиента възможност да направи преценка за обекта инвестициите.
7. УД създава вътрешна организация и условия за установяване на потенциалните конфликти на интереси.
8. УД приема ефективни процедури и мерки за третиране на конфликт на интереси, уредени в правилата по чл. 75 от Наредба № 38 за изискванията към дейността на инвестиционните посредници, със съдържание в съответствие с действащото законодателство и добрите международни практики.
9. УД прилага подходящи мерки за съхраняване на финансовите инструменти и паричните средства на клиентите и за отделяне на собствения портфейл от финансови инструменти от този на инвеститорите, да отчита отделно паричните средства на клиентите от сделки с финансови инструменти
10. УД приема и прилага политика, която да осигурява постигането на най-добър резултат за клиента отчитайки факторите по чл. 30, ал. 1 ЗПФИ, като политиката определя по отношение на всеки клас финансови инструменти лицата, до които УД подава нарежданията или на които предава нарежданията за изпълнение.
11. УД организира права и нива на достъп до клиентска информация, които осигуряват превенция на лицата, работещи по договор за УД да разгласяват, и да ползват за облагодетелстване на себе си или на други лица факти и обстоятелства, засягащи наличностите и операциите по паричните сметки и по сметките за финансови инструменти на клиенти на УД, както и всички други факти и обстоятелства, представляващи търговска тайна, които са узнали при изпълнение на служебните и професионалните си задължения.
Чл. 12. (1) Рискове, свързани със системите:
1. Достоверност и пълнота на данните, липса на прецизност в методите на обработка;
2. Грешки на софтуерни продукти;
3. Несъвършенство на използваните технологии;
4. Срив на информационните и комуникационни системи.
(2) Процедури/мерки за управление на технологичните рискове включват:
1. Архивиране на информационната система на УД, поддържане на „back-up” системи;
2. Процедура за възстановяване на работоспособността на информационната система;
3. Организация и управление на достъпа на потребителите до информационната система, която да не позволява неволни или умишлени нарушения в интегритета на системите, ползвани от УД;
4. Дефиниране на различни класове информация, съхранявана в УД;
5. Дефиниране на нива на достъп на служителите на Управляващото Дружество според длъжностната им характеристика;
6. УД разработва и разполага с план за действие в кризисни ситуации, който осигурява продължаването и поддържането за достатъчно дълъг период нормалната работа на дружеството при спазване на законоустановените норми за дейността.
Чл. 13. (1) Рискове на обкръжаващата среда включва:
1. Неблагоприятни промени в нормативната уредба;
2. Риск, свързан с финансови средства с незаконен произход;
3. Рискове, свързани с прехвърлянето на важни дейности на трета страна изпълнител;
4. Политически изменения;
5. Изменения в данъчната уредба.
(2) Процедури/мерки за управление на рисковете, свързани с окръжаващата среда:
1. УД поддържа актуална база данни с нормативната регламентация, имаща отношение към дейността на УД; организира мерки за следене на съответствието на прилаганите политики с изискванията на законодателството и използва външни консултанти и юридическа кантора в случай на необходимост за привеждане на дейността на Управляващото Дружество в съответствие с нормативните изисквания и промените в тях;
2. При встъпване в трайни отношения (сключване на договор), УД извършва идентификация на клиентите в съответствие с изискванията на Закона за мерките срещу изпирането на пари и Закона за финансиране на тероризма, както и актовете по прилагането им. УД изисква от клиентите декларация за произход на средствата и съхранява събраните по идентификация на клиента данни и документи по начин, който позволява да бъдат достъпни при поискването им по законоустановения ред;
3. УД взема активно участие в публичните обсъждания по отношение планирани промени в нормативната уредба, касаеща дейността на Управляващото Дружество;
4. При възлагане за изпълнение на съществени функции, УД постоянно следи за ефективността и качеството на изпълнение от страна на лицата, до които УД подава или предава нареждания за изпълнение, и когато е необходимо взема мерки за отстраняване на установени нередности.
Чл. 14. (1) Риск от физическо вмешателство:
1. Природни бедствия;
2. Пожар;
3. Външни измами и кражби;
4. Терористични актове;
5. Непозволено проникване в системите за сигурност.
(2) Процедури/мерки за управление на риска от физическо вмешателство:
1. Осигуряване на подходящ начин на наблюдение и контрол на помещенията в които се намират технологичните средства и архивите на Управляващото дружество;
2. Профилактика на регулярна база на въведените системи за наблюдение и контрол;
3. Разработване на процедура за евакуация на служителите в случаите на непосредствено физическо вмешателство в дейността на Управляващото дружество;
4. Процедура за докладване на инциденти.
Чл. 15. Процедура за идентификация, оценка и контрол на риска.
Процедурата по идентификация, оценка и контрол на риск обхваща следните 4 фази:
1. Идентификация на рисковете – риск и контрол самооценка, идентификация на рисковете, които не са обект на контрол
2. Оценка на риска – оценка на честота на настъпване и степента на въздействие на рисковете, както и промяна в нивата на риск:
а) Отчитане на Съществени Рискови Показатели; б) Отчитане за настъпили инциденти.
3. Наблюдение на риска – наблюдение на неприемливите рискове, промяна в рисковете/рисковите нива и процеси за управление на риска:
а) Отдел за управление на риска; б) Съвет на директорите;
4. Намаляване на риска – управление за намаляване на риска, съобразно допустимото ниво на риск:
а) проследяване на открития риск при извършване на проверки от регистрирани одитори;
б) установяване на контролни стандарти; в) застраховане срещу риска.
Чл. 16. Идентификация на риска - идентификацията на риска започва с вътрешно за всяко звено изследване, което представлява дейност по установяване на факти. За целта, всеки отдел се задължава да информира по подходящ начин ръководителя на отдел „Управление на риска” относно броя на засечените инциденти, както и информация за размера на понесените щети, в случаите когато е налична информация за това.
Чл. 17. (1) Риск и Контрол на самооценката.
Целта на процеса по Риск и Контрол на самооценката е:
1. да се подобри навременното установяване на неидентифицирани рискове;
2. да се подобри преценката за приемливостта на нивото на идентифицираните рискове;
3. да се доразвият и подобрят алтернативни механизми за контролиране на неприемливите рискове;
4. да се улесни прилагането на навременни и адекватни действия за ограничаване на риска;
5. да се ангажират отделните функционални звена в УД в процеса по установяване и оценка на риска, като по този начин се постига по-голяма отговорност на служителите на дружеството за управлението на рисковете.
(2) Резултатите от процеса по Риск и Контрол на самооценката се използват за определянето на Съществени Рискови Показатели за отделните аспекти от дейността на управляващото дружество.
Чл. 18. (1) Оценка на риска - действията, които се предприемат в тази фаза се предопределят от резултатите получени във фазата идентификация. Оценката се
определя съвместно от съответния отдел, който идентифицира риска и звеното по управление на риска.
(2) Идентифицираните рискове се анализират от гледна точка на следните 2 характеристики:
1. честота на възникване;
2. степен на въздействие.
(3) Съгласно тази оценка, рисковете се категоризират на приемливи и неприемливи, съобразно определеното за допустимо ниво на риск в дружеството.
Чл. 19. (1) Ограничаване на риска - въз основа на резултатите от оценката на риск се определят възможни мерки за ограничаването му. Необходимо е да се оцени и остатъчният риск, след предприемане на ограничителните мерки.
(2) Ограничаването на риска се налага в случаите когато, идентифицираните нива на риск надхвърлят приетите за допустими. Ограничаването може да бъде осъществено по няколко начина, някои от които:
1. избягване на риска чрез прекратяване на дейността, която го поражда или заменянето и с алтернативна.
2. намаляване на възможността на проява на риска – чрез внедряването на контролни процеси, подобряване на надзора върху дейността, обучения;
3. намаляване ефекта от проявяването на риска – чрез застраховане;
4. прехвърляне на риска към трети страни, които по същество са обект на същия тип риск;
5. предварително установяване и приемане на част от ефекта на риска, като присъща за решението на управителните органи за продължаване на съответната дейност.
(3) Последната стъпка е извършване на действия съобразно одобрените ограничителни мерки.
Чл. 20. Наблюдение на риска - предприемането на конкретни действия по ограничаването на риска е отговорност на упълномощените лица в съответните звена. Отделите по управление на риска, вътрешен контрол и сигурността подпомагат внедряването на контролните механизми и установяването на вътрешни контролни стандарти. Отговорните лица се отчитат пред Висшето ръководство.
Чл. 21. (1) Отчитане на настъпили инциденти – отчитането на настъпили инциденти цели:
1. да спомага за формирането на информационна база за загуби, предизвикани от операционни инциденти;
2. да спомага за увеличаване на риск културата, съответно подобряване на процеса по управление на риска и възможностите за ограничаване чрез подобряване на информацията за действителната цена на операционния риск;
3. периодично да измерва стойността на възникващите следствие операционен риск инциденти, осигурявайки по-добра възможност на мениджмънта за ограничаване на разходите;
4. да подобри възможността за реагиране при значителни операционни инциденти;
5. да приведе в съответствия изискванията на нормативната уредба на ниво функционална единица.
6. да създаде изцяло синхронизирана процедура за събиране на данни и отчитане, както и избягване на дублиране на информация и празноти.
(2) Политиката по управление на риска изисква незабавно отчитане на инциденти, които са: значими; имат заплашителен характер; имат отношение към репутацията на дружеството; имат незаконно или осквернително действие.
Чл. 22. Отчитане на Съществените Рискови Показатели:
1. Съществените Рискови Показатели дават информация на Висшето ръководство дали специфичните рискове са в предварително определените граници и дали е необходимо предприемането на действия за ограничаването им до допустимото ниво за дружеството;
2. Наличието на Съществените Рискови Показатели се определя на базата на резултати от процеса по Риск и Контрол на Самооценката;
3. Отделите сами идентифицират Съществените Рискови Показатели, свързани с тяхната дейност с помощта на звеното по управление на риска;
4. След оценката на Съществените Рискови Показатели, Комитетът за управление на активите и пасивите определя реалистични нива на рискова поносимост;
5. Съветът на директорите се уведомява при възникването на Съществени рискови показатели.
ГЛАВА ЧЕТВЪРТА
ПЛАН ЗА ДЕЙСТВИЕ ПРИ ВЪЗНИКВАНЕ НА КРИЗИСНИ СИТУАЦИИ
Чл. 23. (1) Планът за действие при кризисни ситуации установява процедурите по възстановяване работоспособността на информационните и комуникационни системи на УД и на организацията като цяло в случаите на възникване на извънредни неблагоприятни обстоятелства. Планът е неразделна част от политиката по управление на риска и непосредствен резултат от процедурите по установяване, оценка, наблюдение и управление на рисковете в УД. Той има за цел да сведе до минумум времето на прекъсване на обичайната дейност на управляващото дружество и да предпази критичните за дейността на дружеството функционални/информационни центрове от отрицателните въздействия на възникнали кризисни ситуации.
(2) Като кризисни ситуации се определят тези, които имат за резултат прекъсване на дейността на управляващото дружество, загуба/нанасяне на щети върху съоръжения, функционален/информационен център на УД, загуба на персонал и др. Без да се изчерпват, кризисните ситуации се свеждат до:
• Пожари, земетресения, наводнения и други природни бедствия;
• Спиране на тока, прекъсване на комуникациите, срив на хардуерни системи, срив на софтуерни системи, нарушаване на конфиденциалността, интегритета и достъпа до фирмените бази данни и др.;
• Терористични атаки, заплахи.
(3) Конструктивни елементи при изготвяне на Плана за действие в кризисни ситуации са:
1. Цел на плана;
2. Запознати лица: списък на лицата (вътрешни или външни за дружеството), които са запознати с процедурите за действие в настоящия план и техните координати за връзка.
3. Лица, отговорни за изпълнение на плана:
• Определяне на лицето/лицата, които разполагат с правомощия за разпореждане със системата в случай на кризисна ситуация, както и лицето/лицата, които ще ръководят дейностите по преодоляване на възникналата ситуация – Висшето ръководство на дружеството.
• Определяне на лицето/лицата, които ще следят за изпълнението на плана – Съвета на директорите на дружеството.
4. Определяне на причините/факторите, които могат да доведат до възникване на кризисна ситуация. В случая на срив в телекомуникационните системи това са:
• Срив на телефонните линии/интернет достъп;
• Срив на факс/принтер линиите;
• Прекъсвания на електрозахранването: пълно или частично;
• Физически повреди по телекомуникационните линии.
5. Определяне на показателите, които сигнализират за възникване на кризисна ситуация. В случая на срив в телекомуникационните системи това са:
• Спад в броя на входящи обаждания;
• Трудности или невъзможност за извършване на изходящо обаждане;
• Невъзможност за отпечатване на справки/отчети.
• Невъзможност на модемите да установят връзка.
• Получаване на съобщения за невъзможност за изпращане/получаване на факс съобщения.
6. Определяне на засегнатите функционални звена, процеси, съоръжения. В случая на срив в телекомуникационните системи това са:
• Комуникациите вътре в организацията.
• Комуникация с клиенти, доставчици.
7. Определяне на целеви времеви интервал за възстановяване на системата: това е времевият интервал, в който системата се наблюдава и след изтичането на който се пристъпва към изпълнението на настоящия план с цел избягване на сериозни смущения в дейността на управляващото дружество.
8. Известяване: изискване на съдействие и уведомяване на отговорните лица. Тази част от плана съдържа лицата (вътрешни или външни за дружеството), които следва да бъдат уведомени в случай на възникване на кризисна ситуация и след изтичане на времевия интервал за възстановяване на системата. Това са: прекият ръководител, Висшето ръководство на УД, IT специалист.
9. Изброяване на средствата за известяване: това са мобилни телефони, вътрешни телефонни линии и др.
10. Проверка на резервни ресурси/съоръжения: генератори, UPS системи, хранилища за документи и др. В тази фаза се извършва проверка на състоянието на резервните ресурси съоръжения и при необходимост възстановяване на тяхната функционалност.
11. Първоначални действия по справяне с кризисната ситуация:
• При възможност - оценка на очакваната продължителност на действие на съответната ситуация (А) и сравняване с определения целеви интервал за възстановяване на системата (Б). Ако (А) < (Б), премини към дейностите по мониторинг на кризисната ситуация. Ако (А) > (Б), премини към първоначални дейностите по справяне с кризисната ситуация.
• Дейности по мониторинг на кризисната ситуация: определяне на процедури за нормално провеждане на дейностите на управляващото дружество до отминаване на кризисната ситуация. Определяне на лицата и отговорностите по извършване на процедурите.
• Първоначални дейности по справяне с кризисната ситуация: определяне на алтернативни дейности за провеждане на обичайната функции на управляващото дружество. Определяне на лицата и отговорностите по извършване на алтернативните дейности.
12. Поддържащи дейности по преодоляване на кризисната ситуация: мониторинг на ситуацията и периодична оценка на определен интервал от време.
• Поддържащите дейности са организиране на работни станции за извършване на рутинните дейности, изготвяне на график за работа на смени и при необходимост - възлагане на дейности на външни изпълнители до отминаване на кризисната ситуация.
• Определяне на лицата и отговорностите им по извършване на поддържащи дейности.
• Фаза на възстановяване на работоспособността на системите
/функционалността на съоръженията. При потвърждение, че кризисната ситуация е отминала, следва да се започнат дейности по възстановяване нормалния ход на работа в управляващото дружество. Лицата отговорни за изпълнението на плана следва да се уверят, че са налице всички предпоставки за безпрепятствено функциониране на системите и отделите в УД. Посочват се лицата, от които да се изисква необходимата информация, както и нивата на нейното докладване.
(4) За оценка на възникналата рискова ситуация и на адекватността и ефективността на предприетите мерки УД следва да изготвя Дневник на регистрирани инциденти. Целта е повишаване на адекватността и ефективността на предприеманите мерки.