Za pristup kompletnom i ažurnom tekstu ovog dokumeta, molimo vas:


Na osnovu člana 17 stav 1 tačka 2 Zakona o Centralnoj banci Crne Gore ("Sl. list RCG", br, 52/00 i 47/01) i člana 64 stav 3 Zakona o bankama ( "Sl. list RCG", br. 52/00 i 32/02), Savjet Centralne banke Crne Gore, na sjednici održanoj 23. i 24. februara 2009. godine, donio je

ODLUKU

O MINIMALNIM STANDARDIMA ZA UPRAVLjANjE OPERATIVNIM RIZIKOM U BANKAMA

(Objavljena u "Sl. listu CG", br. 24 od 1. aprila 2009)

1. Opšta odredba

Predmet regulisanja

Član l

Ovom odlukom se utvrđuju minimalni standardi za upravljanje operativnim rizikom u bankama.

2. Upravljanje operativnim rizikom

Identifikacija izvora operativnog rizika

Član 2

U postupku identifikacije izvora operativnog rizika, banka je dužna da naročito identifikuje rizike koji proizilaze iz:
1) neadekvatnog informacionog i drugih sistema u banci;
2) poremećaja u poslovanju i kvara sistema (na primjer: kvarovi vezani za informacionu tehnologiju, telekomunikacioni problemi, prekidi u radu i sl.);
3) nemogućnosti adekvatnog integrisanja ili održivosti informacionih i drugih sistema, u slučaju statusnih promjena banke;
4) protivpravnog i neadekvatnog postupanja zaposlenih u banci, kao što je pronevjera, pranje novca, neovlašćeni pristup računima klijenata, zloupotreba povjerljivih informacija, davanje lažnih ili pogrešnih informacija o stanju banke, neažurnost u izvršavanju poslova, greške pri unosu podataka, nepridržavanje dobrih poslovnih praksi u radu i sl.;
5) angažovanja lica izvan banke za obavljanje poslova za banku;
6) radnji, odnosno nečinjenja koja mogu uzrokovati sudske i druge sporove protiv banke (pravni rizik);
7) spoljnih protivpravnih radnji, kao što su krađa, neovlašćeni prenos sredstava, neovlašćeno ulaženje u bazu podataka, nezakonito pribavljanje dokumenata banke i sl.;
8) događaja koji se ne mogu predvidjeti, kao što su elementarne i druge nepogode, terorizam i sl.

Mjerenje i kontrolisanje rizika

Član 3

Banka je dužna da nakon identifikacije konkretnog izvora operativnog rizika, primjenom adekvatnih metoda mjerenja, procijeni nivo tog rizika.
Banka je dužna da, u zavisnosti od prirode i nivoa konkretnog operativnog rizika, primijeni odgovarajuće metode za njegovo smanjenje odnosno eliminisanje, ili za njegovo praćenje i kontrolisanje.
Banka koja izračunava potrebni kapital za operativni rizik primjenom standardizovanog metoda dužna je da prati i mjeri operativni rizik po svim poslovnim linijama.

Identifikacija novih izvora rizika

Član 4

Banka je dužna da prije uvođenja novih proizvoda, procesa i sistema ili prije preduzimanja novih poslovnih aktivnosti, identifikuje i procijeni operativni rizik koji je sa njima povezan.

Definisanje ovlašćenja i odgovornosti

Član 5

Banka je dužna da u svojim aktima jasno definiše ovlašćenja i odgovornosti za upravljanje operativnim rizikom.
Banka je dužna da obezbijedi da svi zaposleni budu upoznati sa obavezama u procesu upravljanja operativnim rizikom.

Interno izvještavanje

Član 6

Banka je dužna da u svojim aktima utvrdi obavezu i način internog izvještavanja o funkcionisanju sistema upravljanja operativnim rizikom i njegovog periodičnog preispitivanja.

Operativni rizik koji proizilazi iz informacionog sistema banke

Član 7

Banka je dužna, da u cilju obezbjeđenja adekvatnog upravljanja operativnim rizikom koji proizilazi iz informacionog sistema, kao minimum:
1) usvoji strategiju informacionog sistema koja mora biti u skladu sa poslovnom strategijom banke;
2) usvoji interni akt koji će biti okvir za upravljanje bezbjednošću informacionog sistema, a kojim se obezbjeđuje:
- klasifikacija i zaštita informacija prema stepenu njihove osjetljivosti, s obzirom na moguće posljedice narušavanja povjerljivosti, integriteta i raspoloživosti informacija;
- kontrolisanje pristupa resursima informacionog sistema, prostorijama sa resursima informacionog sistema, kao i sistemima koji su podrška funkcionisanju informacionog sistema i primjena odgovarajuće upravljačke, logičke i fizičke kontrole pristupa;
- uspostavljanje sistema upravljanja korisničkim pravima pristupa, koji obuhvata procese evidentiranja, autorizacije, identifikacije, potvrde autentičnosti i nadzora korisničkih prava pristupa;
- zaštita nematerijalnih resursa informacionog sistema od malicioznog programskog koda primjenom odgovarajućih upravljačkih, logičkih i fizičkih kontrola;
- izrada i čuvanje operativnih i sistemskih zapisa koji omogućavaju rekonstruisanje