نظام المخاطر التشغيلية
C 163/2018 يسري تنفيذه من تاريخ 29/8/2018مقدمة
يسعى المصرف المركزي إلى تعزيز التطوير والتحقق من عمل النظام المصرفي على نحو كفء وفعّال. ولتحقيق هذه الغاية، يجب أن تتوفر لدى البنوك السياسات والعمليات والإجراءات والنظم والضوابط الملائمة لتحديد، ومراقبة، وتخفيف المخاطر التشغيلية.
يهدف المصرف المركزي من إدخال هذا النظام والمعايير المرفقة به، إلى التحقق من أن منهجية البنوك في إدارة المخاطر التشغيلية تتماشى مع الممارسات الدولية الرائدة في هذا المجال.
وقد تم إصدار هذا النظام والمعايير المرفقة به، عملا بالصلاحيات الممنوحة للمصرف المركزي بموجب أحكام قانون المصرف المركزي.
وحيثما يتضمن هذا النظام أو المعايير المصاحبة له، متطلبات بتقديم معلومات، أو اتخاذ إجراءات، أو التعامل مع بنود بعينها، مشار إليها كحد أدنى، يجوز للمصرف المركزي أن يفرض متطلبات تكون إضافة لقائمة المتطلبات الواردة في المادة ذات الصلة.
الهدف
يهدف هذا النظام إلى وضع حد أدنى من المعايير المقبولة لمنهجية البنوك في إدارة المخاطر التشغيلية، وذلك بهدف:
i. التحقق من سلامة أوضاع البنوك؛ و
ii. تعزيز الاستقرار المالي.
وتعتبر المعايير المرفقة مكملة للنظام، وتوضح بشكل مفصل توقعات المصرف المركزي الإشراقية المتعلقة بإدارة المخاطر التشغيلية.
التطبيق
ينطبق هذا النظام والمعايير المرفقة به على كافة البنوك. ويجب على البنوك المؤسسة في دولة الإمارات العربية المتحدة التي لديها علاقات مجموعات هامة، بما في ذلك أي شركات تابعة أو شركات شقيقة أو فروع دولية، أن تتحقق من الالتزام بالنظام والمعايير، من جانب كل كيان على حدة، وعلى مستوى المجموعة ككل.
يجب أن يقرأ هذا النظام والمعايير بالارتباط مع نظام ومعايير إدارة المخاطر التي تحدد متطلبات المنهجية الشاملة للبنوك في إدارة المخاطر.
المادة 1: تعريفات
- شركة شقيقة: كيان يكون، بصورة مباشرة أو غير مباشرة، مسيطرا، أو مسيطر عليه، أو تحت سيطرة مشتركة مع كيان آخر. ويعني مصطلح السيطرة المستخدم هنا الامتلاك المباشر أو غير المباشر لحقوق التصويت في كيان آخر، أو السلطة لتوجيه أو التسبب في توجيه إدارة كيان آخر.
- البنك: منشأة مالية مصرح لها بواسطة المصرف المركزي بقبول الودائع كبنك؛
- مجلس الإدارة: مجلس إدارة البنك
- المصرف المركزي: مصرف الإمارات العربية المتحدة المركزي؛
- قانون المصرف المركزي: القانون الاتحادي رقم (10) لسنة 1980 في شأن المصرف المركزي، والنظام النقدي، وتنظيم المهنة المصرفية، حسبما يتم تعديله أو استبداله من وقت لآخر.
- أنظمة المصرف المركزي: أي قرار أو نظام أم تعميم أو لائحة أو معيار أو إشعار صادر عن المصرف المركزي.
- مجموعة: مجموعة من الكيانات التي تتضمن كيانا ("الكيان الأول")، و:
- خدمات مالية إسلامية: الخدمات المالية المتوافقة مع الشريعة الإسلامية التي توفرها البنوك الإسلامية والبنوك التقليدية التي توفر منتجات بنكية إسلامية (نوافذ إسلامية).
- المخاطر التشغيلية: مخاطر الخسائر الناجمة عن عدم كفاية أو إخفاق العمليات الداخلية، أو الأشخاص، أو النظم، أو عن أحداث خارجية. ويشمل هذا التعريف المخاطر القانونية، ولكنه لا يشمل المخاطر الاستراتيجية أو مخاطر السمعة.
- الشركة الأم: الكيان ("الكيان الأول") الذي:
- أ) يمتلك أغلبية حقوق التصويت في كيان آخر ("الكيان الثاني")؛
- ب) يكون مساهما في الكيان الثاني، ولديه حق تعيين أو إقالة أغلبية أعضاء مجلس الإدارة، أو مديري الكيان الثاني؛
- ج) يكون مساهما في الكيان الثاني، ويسيطر، وحده، عملا بأحكام اتفاقية مبرمة مع مساهمين آخرين، على أغلبية حقوق التصويت في الكيان الثاني.
أو؛
إذا كان الكيان الثاني شركة تابعة لكيان آخر، يكون هو نفسه شركة تابعة للكيان الأول.
- تقبل المخاطر: المستوى الإجمالي وأنواع المخاطر التي يكون البنك على استعداد لتحملها، والتي يقررها مسبقا، ضمن قدرته على تحمل المخاطر، بهدف تحقيق أهدافه الاستراتيجية وخطة عمله.
- حدود المخاطر: تدابير كمية محددة لا يجب تجاوزها تستند، مثلا، على افتراضات مستقبلية تُوزُع إجماليَّ تقبل المخاطر للبنك على خطوط أعمال أو كيانات قانونية أو وحدات إدارية داخل البنك أو المجموعة على شكل فئات مخاطر محددة أو تركزات أو تدابير أخرى حسب الاقتضاء.
- سمات المخاطر: تقييم في وقت ما لإجمالي (قبل تطبيق أي عامل من عوامل تقليل المخاطر) أو صافي (بعد أخذ عوامل التقليل من المخاطر في الاعتبار) تعرضات البنك للمخاطر المجمعة ضمن وعبر كل فئة من فئات المخاطر ذات الصلة على أساس افتراضات حالية أو مستقبلية.
- إطار حوكمة المخاطر: هي جزء من المنهجية الكلية لحوكمة الشركات، تمثل الإطار الذي يقوم من خلاله مجلس الإدارة والإدارة بوضع وأخذ القرار حول استراتيجية ومنهجية البنك في التعامل مع المخاطر، ويتولون صياغة حدود تقبل المخاطر ومراقبة الالتزام بها في ضوء استراتيجية البنك؛ ويقومون بتحديد وقياس وإدارة وضبط المخاطر.
- الإدارة العليا: الإدارة التنفيذية للبنك المسؤولة والمساءلة أمام مجلس الإدارة عن الإدارة اليومية للبنك على نحو سليم ومتبصّر، وتشمل بصورة عامة، الرئيس التنفيذي والمدير المالي، ومدير وظيفة المخاطر ومديري وظيفتي الانضباط، والتدقيق الداخلي.
- شركة تابعة: يكون الكيان ("الكيان الأول") شركة تابعة لكيان آخر ("الكيان الثاني") إذا كان الكيان الثاني:
- أ) يملك أغلبية حقوق التصويت في الكيان الأول؛
- ب) مساهم في الكيان الأول، ولديه الحق في تعيين أو إقالة أغلبية أعضاء مجلس الإدارة أو مديري الكيان الأول؛
- ج) مساهم في الكيان الأول، ويسيطر، وحده، عملا بأحكام اتفاقية مبرمة بينه وبين مساهمين آخرين، على أغلبية حقوق التصويت في الكيان الأول.
أو؛ - ل) إذا كان الكيان الأول شركة تابعة لكيان آخر، يكون هو نفسه شركة تابعة للكيان الثاني.
- شركة شقيقة: كيان يكون، بصورة مباشرة أو غير مباشرة، مسيطرا، أو مسيطر عليه، أو تحت سيطرة مشتركة مع كيان آخر. ويعني مصطلح السيطرة المستخدم هنا الامتلاك المباشر أو غير المباشر لحقوق التصويت في كيان آخر، أو السلطة لتوجيه أو التسبب في توجيه إدارة كيان آخر.
المادة 2: إطار حوكمة المخاطر التشغيلية
- يجب أن تكون لدى البنك استراتيجيات، وسياسات، وإجراءات ملائمة لتحديد، وتقدير، وتقييم، ومراقبة المخاطر التشغيلية، والسيطرة عليها أو تقليلها، ورفع التقارير بشأنها في المواقيت المحددة.
- يتحمّل أعضاء مجلس إدارة البنك المسئولية النهائية عن ضمان وجود إطار ملائم لحوكمة المخاطر التشغيلية للبنك، والذي يجب أن يدمج بالكامل في إطار الحوكمة العام للبنك.
- يجب على البنك التحقق من أن استراتيجية، وسياسات، وإجراءات وعمليات المخاطر التشغيلية تتسق مع ملف المخاطر، والأهمية النظامية، وبيان تقبل المخاطر، ومتانة رأس المال، وتأخذ أوضاع السوق وأوضاع الاقتصاد الكلي في الاعتبار.
- يجب على البنك أن يعالج جميع الجوانب الرئيسية للمخاطر التشغيلية السائدة في أعمال البنك، على مستوى البنك ككل وعلى مستوى المجموعة، حسب الأحوال.
- يجب أن تكون لدى البنك استراتيجيات، وسياسات، وإجراءات ملائمة لتحديد، وتقدير، وتقييم، ومراقبة المخاطر التشغيلية، والسيطرة عليها أو تقليلها، ورفع التقارير بشأنها في المواقيت المحددة.
المادة 3: مجلس الإدارة
- يجب على مجلس الإدارة أن يعتمد استراتيجيات وسياسات وعمليات المخاطر التشغيلية بالبنك، بما في ذلك خطط التعافي من الكوارث واستمرارية الأعمال، كما يجب عليه مراجعتها، سنويا مرة واحدة على الأقل.
- يجب على مجلس الإدارة أن يضع إجراءات رسمية للإشراف على الإدارة العليا، والتحقق من أن الاستراتيجيات والسياسات والعمليات يتم تطبيقها على نحو فعال على كافة مستويات صنع القرار.
- يجب على مجلس الإدارة أن يعتمد استراتيجيات وسياسات وعمليات المخاطر التشغيلية بالبنك، بما في ذلك خطط التعافي من الكوارث واستمرارية الأعمال، كما يجب عليه مراجعتها، سنويا مرة واحدة على الأقل.
المادة 4: الإدارة العليا
- يجب على الإدارة العليا التحقق من أن استراتيجية إدارة المخاطر التشغيلية وسياساتها وعملياتها الرئيسية المعتمدة بواسطة مجلس الإدارة، يتم تطبيقها على نحو كفء وفعال، وأنها مدمجة بشكل كامل في عملية الإدارة الكلية للمخاطر المعتمدة لدى البنك.
المادة 5: التحديد والتقييم
- يجب لاستراتيجية إدارة المخاطر التشغيلية المعتمدة بواسطة مجلس الإدارة أن تتضمن أحكاما بشأن تحديد وتقييم المخاطر التشغيلية المتأصلة في كافة المنتجات، والأنشطة، والعمليات والنظم الرئيسية.
المادة 6: الضبط والتقليل
- يجب لاستراتيجية إدارة المخاطر التشغيلية المعتمدة بواسطة مجلس الإدارة أن ترسي بيئة ضبط قوية، توظّف مجموعة من السياسات والعمليات والنظم والضوابط الداخلية، بجانب إجراءات ملائمة لتقليل وتحويل المخاطر.
المادة 7: إدارة التعافي من الكوارث واستمرارية الأعمال
- يجب أن تكون لدى البنك خطط للتعافي عقب وقوع الكوارث، وخطط لاستمرارية الأعمال للتحقق من قدرته على العمل على أساس مستمر، وللحد من الخسائر في حالة التعطّل الحاد في الأعمال. ويجب أن تتناسب تلك الخطط مع وضعية مخاطر، وطبيعة، وحجم ودرجة تعقّد أعمال البنك وهيكله، كما يجب لها أن تأخذ في الاعتبار مختلف السيناريوهات التي قد يكون البنك عرضة لها.
- يجب لخطط التعافي عقب الكوارث، واستمرارية الأعمال أن تتحقق من إمكانية المحافظة على وظائف الأعمال الجوهرية أو استعادتها في المواقيت المحددة، كي يتسنى تقليل المخاطر المالية، والقانونية، والرقابية، ومخاطر السمعة التي يمكن أن تنشأ عن تعطّل في سير الأعمال، إلى أدنى حد ممكن.
- يجب على مجلس الإدارة أن يتحقق من وجود مراجعة دورية مستقلة لخطط التعافي عقب الكوارث واستمرارية الأعمال للتأكد من كفايتها واتساقها مع مستويات العمليات، والمخاطر، والمهددات الحالية، ومستويات وأولويات الاستعادة الحالية.
- يجب أن تكون لدى البنك خطط للتعافي عقب وقوع الكوارث، وخطط لاستمرارية الأعمال للتحقق من قدرته على العمل على أساس مستمر، وللحد من الخسائر في حالة التعطّل الحاد في الأعمال. ويجب أن تتناسب تلك الخطط مع وضعية مخاطر، وطبيعة، وحجم ودرجة تعقّد أعمال البنك وهيكله، كما يجب لها أن تأخذ في الاعتبار مختلف السيناريوهات التي قد يكون البنك عرضة لها.
المادة 8: تقنية المعلومات
- يجب على البنك أن يضع سياسات وعمليات ملائمة لتقنية المعلومات، تمكّن من تحديد، وتقييم، ومراقبة، وإدارة مخاطر التكنولوجيا.
- يجب أن تتوفر لدى البنك بنية تحتية ملائمة لتقنية المعلومات، لتلبية متطلبات أعماله الحالية والمتوقعة في الظروف العادية، وخلال فترات الضغط. ويجب لهذه البنية التحتية أن تضمن سلامة، وأمن وتوفر البيانات والنظم، كما يجب أن تدعم إدارة شاملة ومتكاملة للمخاطر.
- يجب على البنك أن يضع سياسات وعمليات ملائمة لتقنية المعلومات، تمكّن من تحديد، وتقييم، ومراقبة، وإدارة مخاطر التكنولوجيا.
المادة 9: النظم ورفع التقارير الداخلية
- يجب أن تكون لدى البنك نظم معلومات ملائمة وفعالة تمكّن من التالي:
- أ) مراقبة المخاطر التشغيلية؛
- ب) تجميع وتحليل بيانات المخاطر التشغيلية؛ و
- ج) تسهيل آليات ملائمة لرفع التقارير على مستوى مجلس الإدارة، والإدارة العليا، وخطوط الأعمال، والتي من شأنها أن تدعم الإدارة التفاعلية للمخاطر التشغيلية.
المادة 10: متطلبات رفع التقارير والإفصاح
- يجب على البنك أن يبلغ المصرف المركزي على الفور عندما يغدو على علم بأي تجاوز جوهري لبيان تقبل المخاطر التشغيلية، أو سياساتها أو إجراءاتها المعتمدة بواسطة مجلس الإدارة، أو إذا بات على علم بأن هنالك مخاطر تشغيلية جوهرية لم يتم التعامل معها على نحو كاف.
- يجب على البنك أن يقدم، عند الطلب، أية معلومات محددة تتعلق بالمخاطر التشغيلية قد يطلبها المصرف المركزي.
- يجب أن تكون المعلومات التي يفصح عنها البنك للعموم موائمة بحيث تسمح لأصحاب المصالح بتقييم منهجية البنك في إدارة المخاطر التشغيلية في ضوء حجم، وسمات مخاطر البنك، ودرجة تعقيد العمليات والممارسات المتطورة في القطاع.
- يجب على البنك أن يبلغ المصرف المركزي على الفور بأي حدث من أحداث المخاطر التشغيلية يستلزم، أو يرجح أن يستلزم تفعيل خطط التعافي من الكوارث واستمرارية الأعمال، أو يرجح أن يكون له تأثير جوهري على عمليات أو ربحية أو رأس مال البنك.
- يجب على البنك أن يبلغ المصرف المركزي على الفور عندما يغدو على علم بأي تجاوز جوهري لبيان تقبل المخاطر التشغيلية، أو سياساتها أو إجراءاتها المعتمدة بواسطة مجلس الإدارة، أو إذا بات على علم بأن هنالك مخاطر تشغيلية جوهرية لم يتم التعامل معها على نحو كاف.
المادة 11: الأعمال والمنتجات والنظم الجديدة
- يجب لإجراءات الموافقة على الأعمال، أو المنتجات، أو النظم الجديدة، أو التعديلات الجوهرية على الأعمال أو المنتجات أو النظم القائمة المطلوبة بموجب نظام ومعايير إدارة المخاطر، أن تتناول المخاطر التشغيلية، على نحو صريح.
المادة 12: الصيرفة الإسلامية
- يجب على البنك الذي يقدم خدمات مالية إسلامية أن يتحقق من أن إطار إدارة المخاطر التشغيلية المعتمد لديه يتناول أية مخاطر تشغيلية تنشأ عن أي عدم التزام محتمل بأحكام ومبادئ الشريعة الإسلامية.
المادة 13: التنفيذ
- تخضع المخالفة لأي من أحكام هذا النظام والمعايير المرفقة به للإجراءات الرقابية التي يراها المصرف المركزي ملائمة.
المادة 14: تفسير النظام
- تكون وحدة تطوير الأنظمة لدى دائرة الرقابة على البنوك بالمصرف المركزي هي المرجع في تفسير أحكام هذا النظام والمعايير المرفقة به.
المادة 15: إلغاء الإشعارات السابقة
- يحل هذا النظام والمعايير المرفقة به محل كافة أنظمة المصرف المركزي السابقة المتعلقة بالمخاطر التشغيلية.
المادة 16: النشر والتطبيق
- ينشر هذا النظام والمعايير المرفقة به في الجريدة الرسمية باللغتين العربية والإنجليزية، وتسري أحكامه بعد مرور شهر واحد من تاريخ النشر.