Email Print

ЎDLUKA м SISTEMIMA UPRAVLJANJA I UNUTRAšNJIH KONTROLA PLATNIH INSTITUCIJA I INSTITUCIJA ELEKTRONSKOG NOVCA I O ZAšTITI NOVčANIH SREDSTAVA KORISNIKA PLATNIH USLUGA I IMALACA ELEKTRONSKOG NOVCA


Narodna banka Srbije obajvila je Odluku о sistemima upravljanja i unutrašnjih kontrola platnih institucija i institucija elektronskog novca i o zaštiti novčanih sredstava korisnika platnih usluga i imalaca elektronskog novca.

Primedbe i sugestije potrebno je dostaviti Sektoru za kontrolu poslovanja banaka elektronskim putem na imejl adresu: kontrola.banaka@nbs.rs do 18. juna 2015. godine u 12 časova. Naknadno dostavljene primedbe i sugestije neće se uzeti u razmatranje.

ОDLUKA О SISTEMIMA UPRAVLJANJA I UNUTRAŠNJIH KONTROLA PLATNIH INSTITUCIJA I INSTITUCIJA ELEKTRONSKOG NOVCA I O ZAŠTITI NOVČANIH SREDSTAVA KORISNIKA PLATNIH USLUGA I IMALACA ELEKTRONSKOG NOVCA

1. Ovom odlukom bliže se propisuju način i uslovi uspostavljanja, održavanja i unapređenja sistema upravljanja i unutrašnjih kontrola platnih institucija i institucija elektronskog novca, likvidni i niskorizični oblici imovine u koje platna institucija i institucija elektronskog novca mogu da ulažu novčana sredstva u skladu sa čl. 93. i 133. Zakona o platnim uslugama (u daljem tekstu: Zakon), kao i uslovi i način ulaganja platne institucije i institucije elektronskog novca u te oblike imovine radi zaštite novčanih sredstava korisnika platnih usluga i imalaca elektronskog novca.

Pod institucijom u smislu ove odluke podrazumevaju se platna institucija i institucija elektronskog novca, ako nisu posebno označene.

Sistemi upravljanja i unutrašnjih kontrola institucije

2. Institucija je dužna da uspostavi, održava i unapređuje pouzdane, efikasne i sveobuhvatne sisteme upravljanja i unutrašnjih kontrola koji obezbeđuju odgovorno i pouzdano upravljanje institucijom.

Sistemi iz stava 1. ove tačke moraju biti srazmerni prirodi, obimu i složenosti usluga koje institucija pruža.

 Sistemi iz stava 1. ove tačke smatraju se pouzdanim, efikasnim i sveobuhvatnim ako instituciji omogućavaju da upravlja rizicima kojima je izložena ili može biti izložena po osnovu svih svojih poslovnih aktivnosti u vezi s pružanjem platnih usluga i/ili izdavanjem elektronskog novca.

Pod poslovnim aktivnostima iz stava 3. ove tačke podrazumevaju se i operativni poslovi čije je obavljanje institucija poverila drugom licu.

Institucija je dužna da utvrdi postupke za procenu i preispitivanje akata, postupaka i procedura kojim se uspostavljaju sistemi iz stava 1. ove odluke, da redovno utvrđuje da li su ti sistemi adekvatni i efikasni i srazmerni prirodi, obimu i složenosti usluga koje institucija pruža, i da ih po potrebi menja i dopunjuje.

Sistem upravljanja institucijom

3. Sistem upravljanja institucijom obuhvata:

- organizacionu strukturu s precizno i jasno utvrđenim, transparentnim i doslednim podelama i razgraničenjima poslova, kao i dužnostima i odgovornostima koje se odnose na pružanje platnih usluga i/ili izdavanje elektronskog novca, uključujući i pružanje ovih usluga preko ogranaka i/ili zastupnika, odnosno poveravanje pojedinih operativnih poslova u vezi s pružanjem tih usluga;

- efektivne i efikasne procedure za identifikovanje, merenje i praćenje rizika kojima je institucija izložena ili bi mogla da bude izložena, kao i za upravljanje ovim rizicima, odnosno izveštavanje o tim rizicima;

- odgovarajući informacioni sistem.

Organizaciona struktura

 4. Institucija je dužna da u skladu sa pravnom formom u kojoj posluje i uslugama koje pruža, uspostavi takvu organizacionu strukturu, odnosno unutrašnju organizaciju koja obezbeđuje jasnu podelu dužnosti i odgovornosti između organa upravljanja institucije, kao i između članova ovih organa, lica koje neposredno rukovodi poslovima pružanja platnih usluga i/ili izdavanja elektronskog novca u instituciji i drugih zaposlenih (u daljem tekstu: zaposleni), na način kojim se onemogućava koncentracija funkcija koje su međusobno nespojive, obezbeđuje jasna linija odgovornosti i sprečavanje sukoba interesa, adekvatan sistem unutrašnjih kontrola i efikasna kontrola rizika poslovanja institucije.

Institucija je dužna da obezbedi:

- da se unutrašnjim aktima institucije kojima se uređuje organizacija njenog poslovanja na nedvosmislen način utvrde poslovi, dužnosti i odgovornosti zaposlenih;

- da svi zaposleni budu upoznati sa svojim poslovima, dužnostima i odgovornostima;

- efikasnu komunikaciju i saradnju na svim organizacionim nivoima, kao i blagovremeno i pouzdano informisanje organa upravljanja institucijom i rukovodioca institucije o svim podacima neophodnim za donošenje odluka;

- da proces donošenja i sprovođenja odluka bude transparentan, dokumentovan i zasnovan na principima sigurnog i opreznog upravljanja institucijom.

5. Institucija je dužna da, u skladu s pravnom formom u kojoj posluje i uslugama koje pruža, utvrdi i primenjuje poslovnu strategiju koja sadrži jasno definisane poslovne ciljeve čije se ostvarenje može lako pratiti, kao i da utvrdi postupke za praćenje ostvarenja ovih ciljeva.

6. Institucija je dužna da, u skladu sa obimom, vrstom i složenošću poslova koje obavlja, utvrdi i primenjuje politiku upravljanja ljudskim resursima zasnovanu na principima koji obezbeđuju zapošljavanje kadrova koji raspolažu odgovarajućim znanjem, stručnošću i profesionalnim iskustvom, da utvrdi politiku napredovanja i nagrađivanja zaposlenih koja podrazumeva procenu rezultata rada zaposlenih i podstiče razumno i oprezno preuzimanje rizika.

 7. Institucija je dužna da omogući adekvatnu komunikaciju, razmenu informacija i saradnju na svim organizacionim nivoima - radi sprovođenja poslovne strategije, strategije i politika za upravljanje rizicima i nesmetanog funkcionisanja sistema unutrašnjih kontrola.

Institucija je dužna da obezbedi da članovi organa upravljanja institucije imaju kontinuiran pristup svim podacima i informacijama značajnim za poslovanje institucije, a naročito:

- podacima i informacijama o stanju likvidnosti i kapitala institucije, odnosno o potencijalnom pogoršanju tog stanja,

- podacima o usklađenosti poslovanja institucije sa pravilima utvrđenim propisima i internim aktima, kao i o značajnim odstupanjima od ovih pravila u praksi.

Identifikovanje, merenje i praćenje rizika

8. Institucija je dužna da obezbedi da se, na dugoročnoj osnovi, na jedinstven i dosledan način identifikuju, mere i prate rizici kojima je institucija izložena ili može biti izložena u svom poslovanju, odnosno upravljanje tim rizicima i izveštavanje o tim rizicima.

Institucija je u svom poslovanju naročito izložena ili može biti izložena sledećim rizicima:

1) operativnom riziku, pod kojim se podrazumeva rizik mogućnosti nastanka negativnih efekata na finansijski rezultat i kapital institucije usled propusta u radu zaposlenih, neodgovarajućih unutrašnjih procedura i procesa, neadekvatnog upravljanja informacionim i drugim sistemima, kao i usled nepredvidivih eksternih događaja, a koji uključuje i rizike koji nastaju usled pružanja usluga preko ogranka, odnosno zastupnika, kao i operativnih poslova koje je institucija poverila trećim licima;

2) riziku usklađenosti poslovanja, pod kojim se podrazumeva rizik mogućnosti nastanka negativnih efekata na finansijski rezultat i kapital institucije usled propuštanja usklađivanja poslovanja sa zakonom i drugim propisom, standardima poslovanja i unutrašnjim opštim aktima, uključujući propise i unutrašnje opšte akte o sprečavanju pranja novca i finansiranja terorizma, a posebno obuhvata rizik od sankcija regulatornog tela, rizik od finansijskih gubitaka i reputacioni rizik;

3) rizicima koji nastaju prilikom uvođenja novih proizvoda institucije, uključujući i nove aktivnosti u vezi sa procesima i sistemima u instituciji;

4) ostalim značajnim rizicima koji zavise od prirode, obima i složenosti poslovanja institucije.

9. Institucija je dužna da usvoji strategiju za upravljanje rizicima koja naročito sadrži:

- pregled i definicije svih rizika kojima je institucija izložena ili može biti izložena;

- dugoročne poslovne ciljeve utvrđene poslovnom strategijom institucije, kao i sklonost ka rizicima određenu u skladu s tim ciljevima;

- osnovna načela preuzimanja rizika i upravljanja rizicima;

- osnovna načela za upravljanje kapitalom institucije. Strategija za upravljanje rizicima treba da bude usklađena s poslovnom strategijom institucije, kao i sa prirodom, obimom i složenošću poslova koje obavlja.

Institucija je dužna da strategiju za upravljanje rizicima periodično razmatra i da je, po potrebi, menja, a naročito u slučaju značajnijih izmena poslovne strategije institucije, odnosno promena u makroekonomskom okruženju u kome institucija posluje.

10. Radi identifikovanja, merenja i praćenja rizika i utvrđivanja svog rizičnog profila, institucija usvaja politike, odnosno procedure za upravljanje rizicima kojima se naročito uređuje:

- način organizovanja procesa upravljanja rizicima institucije i jasno razgraničenje odgovornosti zaposlenih u svim fazama tog procesa;

- način (metodologiju) za identifikovanje i procenu rizika, odnosno procenu pojedinačnih vrsta rizika;

- mere za ublažavanje pojedinačnih vrsta rizika, pravila za primenu i način praćenja tih mera;

- način praćenja i kontrole pojedinačnih vrsta rizika i uspostavljanje sistema prihvatljivih nivoa (limita) izloženosti institucije tim rizicima;

- način odlučivanja o poslovnim transakcijama koje dovode do prekoračenja uspostavljenih limita, kao i definisanje izuzetnih okolnosti u kojima je odobravanje tog prekoračenja moguće u zakonskim okvirima.

11. Institucija je dužna da politikama, odnosno procedurama za identifikovanje rizika naročito obezbedi da to identifikovanje bude blagovremeno i sveobuhvatno, kao i da obezbedi analizu uzroka koji dovode do nastanka rizika.

Politike, odnosno procedure za merenje rizika naročito sadrže kvantitativne i/ili kvalitativne metode na osnovu kojih institucija utvrđuje svoj rizični profil, odnosno vrstu i visinu rizika kojima je izložena u svom poslovanju, kao i sklonost ka rizicima, odnosno one rizike koje može prihvatiti radi ostvarivanja svojih poslovnih ciljeva, i na osnovu kojih može blagovremeno uočiti promene svog rizičnog profila, uključujući i nastanak novih rizika.

Politike i procedure za upravljanje rizicima naročito sadrže opis postupaka za ublažavanja rizika, kao i opis postupaka za praćenje i kontrolu rizika.

Institucija je dužna da politike i procedure za upravljanje rizicima preispituje najmanje jednom godišnje, a ako nastanu značajnije promene u rizičnom profilu institucije - i češće, kao i da ih, po potrebi, menja.

Informacioni sistem

12. Institucija je dužna da, u skladu s pravnom formom, prirodom, obimom i složenošću njenog poslovanja, uspostavi adekvatan informacioni sistem koji ispunjava uslove propisane odlukom Narodne banke Srbije kojom se uređuju minimalni standardi upravljanja informacionim sistemom finansijske institucije.

13. Institucija je dužna da uspostavi takav sistem izveštavanja koji će svim nivoima u instituciji obezbediti blagovremene, tačne i dovoljno detaljne informacije koje su neophodne za donošenje poslovnih odluka i efikasno upravljanje rizicima, odnosno za sigurno i stabilno poslovanje institucije.

 U sistem izveštavanja o rizicima blagovremeno se uključuje i izveštavanje o nastanku rizika koji ranije nisu identifikovani, kao i o uočavanju neočekivanog intenziteta ranije identifikovanih rizika.

Sistem unutrašnjih kontrola institucije

14. Institucija je dužna da, u skladu s pravnom formom, prirodom, obimom i složenošću njenog poslovanja uspostavi i primeni efikasan i pouzdan sistem unutrašnjih kontrola, koji je uključen u sve njene poslovne aktivnosti i koji obezbeđuje kontinuirano praćenje rizika kojima je institucija izložena ili može biti izložena u svom poslovanju, kao i sigurnost i stabilnost poslovanja institucije.

Sistem unutrašnjih kontrola predstavlja skup procesa i procedura utvrđenih ovom odlukom uspostavljenih radi efikasnog i efektivnog upravljanja institucijom, adekvatnog upravljanja i kontrole rizika, praćenja efektivnosti i efikasnosti poslovanja, pouzdanosti finansijskih i ostalih podataka i informacija institucije, kao i radi obezbeđivanja usklađenosti poslovanja institucije sa propisima kojima se uređuje sprečavanje pranja novca i finansiranje terorizma, kao i drugim propisima, unutrašnjim aktima i poslovnim standardima, a koji se naročito sastoji od:

-           funkcije upravljanja rizicima,

-           funkcije usklađenosti poslovanja,

-           funkcije interne revizije.

Funkcije iz stava 2. ove tačke institucija organizuje u skladu sa svojom pravnom formom i prirodom, obimom i složenošću usluga koje pruža, s tim što je dužna da obezbedi funkcionalnu i organizacionu odvojenost aktivnosti upravljanja rizicima od funkcija usklađenosti poslovanja i interne revizije.

15. Sistemom unutrašnjih kontrola institucije obezbeđuje se blagovremeno informisanje nadležnih zaposlenih u instituciji o uočenim nedostacima, zatim primena mera kojima će se ti nedostaci otkloniti, kao i eventualne izmene sistema unutrašnjih kontrola kad je to potrebno.

Institucija je dužna da obezbedi da unutrašnje kontrole budu sastavni deo svih svakodnevnih aktivnosti njenih zaposlenih, kao i da zaposleni, u skladu s dobrim poslovnim običajima, profesionalnim i etičkim standardima, razumeju svrhu i značaj ovih kontrola, kao i svoj doprinos efektivnom sprovođenju tih kontrola.

Institucija je dužna da sistemom unutrašnjih kontrola uspostavi, tamo gde je to primenljivo, kontrole kojima se ograničava pristup materijalnoj imovini institucije, odnosno obezbeđuje sigurnost te imovine. Ove kontrole uključuju različite načine ograničenja pristupa materijalnoj imovini institucije (npr. višestruke provere ili zajedničke provere više lica), kao i periodični popis ove imovine.

Upravljanje rizicima

16. Institucija je dužna da uspostavi sveobuhvatnu i pouzdanu funkciju upravljanja rizicima, koja je uključena u sve njene poslovne aktivnosti i koja obezbeđuje da njen rizični profil uvek bude u skladu s već utvrđenom sklonošću ka rizicima.

Funkcija upravljanja rizicima se, u smislu stava 1. ove tačke, smatra sveobuhvatnom i pouzdanom ako omogućava instituciji da upravlja rizicima kojima je izložena ili može biti izložena po osnovu svojih poslovnih aktivnosti.

Funkcija upravljanja rizicima se, u smislu stava 1. ove tačke, smatra uključenim u sve poslovne aktivnosti institucije ako institucija svaku poslovnu odluku kojom preuzima rizike (uključujući poveravanje operativnih poslova drugom licu, odlučivanje o uvođenju novih proizvoda, kao i uslove pod kojima se ugovaraju pojedine transakcije) donosi uzimajući u obzir prethodnu procenu zaposlenih odgovornih za upravljanje rizicima.

 17. Institucija je dužna da na osnovu strategija, politika i procedura iz tač. 9. i 10. ove odluke uspostavi efektivan i efikasan proces upravljanja rizicima, koji obuhvata ublažavanje, praćenje i kontrolu rizika kojima je institucija izložena ili može biti izložena a koje je identifikovala i izmerila, odnosno procenila.

Pod ublažavanjem rizika podrazumeva se diversifikacija, prenos, smanjenje i/ili izbegavanje rizika, a institucija ga sprovodi imajući u vidu svoj rizični profil i sklonost ka rizicima.

Pod praćenjem i kontrolom rizika podrazumeva se učestalost i način praćenja rizika kojima je institucija izložena, kao i praćenje i kontrola limita u okviru uspostavljenog sistema limita.

Usklađenost poslovanja

18. Institucija je dužna da uspostavi odgovarajuće mehanizme i postupke za identifikaciju i praćenje rizika usklađenosti poslovanja institucije i za upravljanje tim rizikom, koji posebno obuhvataju ispitivanje usklađenosti unutrašnjih akata institucije sa relevantnim propisima, međusobne usklađenosti unutrašnjih propisa institucije i usklađenosti poslovne prakse institucije sa relevantnim propisima i njenim unutrašnjim aktima.

Rizik usklađenosti poslovanja institucije je mogućnost nastanka negativnih efekata na finansijski rezultat i kapital institucije usled propuštanja usklađivanja poslovanja sa zakonom i drugim propisom, standardima poslovanja, procedurama o sprečavanju pranja novca i finansiranja terorizma, kao i s drugim aktima kojima se uređuje poslovanje institucije, a posebno obuhvata rizik od sankcija regulatornog tela, rizik od finansijskih gubitaka i reputacioni rizik.

19. Nadzorni odbor institucije ili drugi nadležni organ dužan je da usvoji odgovarajuće procedure koje omogućavaju kontinuirano praćenje i merenje rizika usklađenosti poslovanja institucije na nivou svih njenih organizacionih jedinica, a pod kojima se naročito podrazumevaju odgovarajuće računovodstvene procedure i procedure za ocenu usklađenosti s propisima kojima se uređuju sprečavanje pranja novca i finansiranja terorizma.

Interna revizija

20. Institucija je dužna da funkciju interne revizije organizuje na način koji obezbeđuje samostalnost i nezavisnost u njenom radu, kao i da ovu funkciju vrši u skladu sa zakonom kojim se uređuje revizija, ovom odlukom i drugom zakonskom, profesionalnom i internom regulativom.

Institucija je dužna da funkciji interne revizije omogući kontinuirano sprovođenje sveobuhvatne revizije svih aktivnosti institucije, a naročito:

- ocenu adekvatnosti, pouzdanosti i efikasnosti uspostavljenog sistema upravljanja i sistema unutrašnjih kontrola institucije;

- adekvatnosti i pouzdanosti utvrđenih procedura za identifikovanje i merenje, odnosno procenu rizika i za upravljanje rizicima, uključujući procedure za praćenje i merenje rizika usklađenosti poslovanja institucije;

- adekvatnosti i pouzdanosti računovodstvenih politika i procedura institucije;

- pouzdanost, tačnost i ažurnost sistema izveštavanja unutar institucije, kao i sistema za izveštavanje Narodne banke Srbije;

- davanje odgovarajućih preporuka za otklanjanje uočenih nepravilnosti i nedostataka i za unapređenje primenjenih akata institucije.

Institucija je dužna da obezbedi da se plan rada funkcije interne revizije donosi godišnje, da obuhvata najmanje aktivnosti iz stava 2. alineje prva i druga ove tačke.

Institucija je dužna da obezbedi da funkcija interne revizije redovno sastavlja izveštaje o izvršenim revizijama i da ih dostavlja nadzornom odboru ili drugom nadležnom organu institucije, a taj organ je dužan da ove izveštaje razmatra.

Institucija je dužna da uspostavi i primeni odgovarajuće mehanizme za praćenje sprovođenja aktivnosti iz preporuka koje su donete na osnovu nalaza iz izveštaja iz stava 4. ove tačke.

Likvidni i niskorizični oblici imovine u koje institucija može da ulaže novčana sredstva i uslovi i način ulaganja u te oblike imovine

21. Institucija je dužna da novčana sredstva primljena od korisnika platnih usluga, odnosno novčana sredstva primljena radi zamene za izdati elektronski novac zaštiti ulaganjem u likvidne i niskorizične oblike imovine, u skladu sa čl. 93. i 133. Zakona.

Imovinu iz stava 1. ove tačke čine:

1) dužnički finansijski instrumenti koje su izdale Republika Srbija ili Narodna banka Srbije, odnosno za koje garantuje Republika Srbija, dužnički finansijski instrumenti koje su izdale ili za koje garantuju Evropska centralna banka, država članica Evropske unije (ili njena centralna banka), kojoj je dodeljen kreditni rejting kome odgovara najmanje nivo kreditnog kvaliteta 3 (investicioni rang) u smislu odluke Narodne banke Srbije kojom se uređuje adekvatnost kapitala banke, a koji su izraženi i izmiruju se u valuti bilo koje države članice;

2) dužnički finansijski instrumenti koje je izdala, odnosno za koje garantuje međunarodna razvojna banka, odnosno međunarodna organizacija, u smislu odluke iz odredbe pod 1) ovog stava;

3) dužnički finansijski instrumenti izdati od strane ili sa garancijom države, centralne banke, teritorijalne autonomije ili lokalne samouprave, javnog administrativnog tela, lica u finansijskom sektoru ili privrednog društva, a kojima bi u skladu sa odlukom iz odredbe pod 1) ovog stava bio dodeljen ponder kreditnog rizika od najviše 50%;

4) jedinice investicionih fondova koji ulažu samo u instrumente iz odredaba od 1) do 3) ovog stava.

Institucija je dužna da utvrdi politiku ulaganja u oblike imovine iz stava 2. ove tačke, da tom politikom utvrdi limite ulaganja u svaki pojedinačni oblik imovine, kao i da ovu politiku preispituje najmanje jednom u tri godine ili češće u slučaju znatne promene uslova ulaganja.

22. Ako se instituciji elektronskog novca novčana sredstva primljena radi zamene za izdati elektronski novac prenose

plaćanjem posredstvom platnog instrumenta, ta institucija nije dužna da zaštiti ova sredstva pre njihovog odobravanja na njen platni račun ili stavljanja na raspolaganje ovih sredstava instituciji elektronskog novca na drugi način u skladu sa Zakonom.

Institucija elektronskog novca dužna je da novčana sredstva iz stava 1. ove tačke u svakom slučaju zaštiti u roku od pet poslovnih dana od dana izdavanja elektronskog novca.

23. Ako pruža platne usluge koje nisu neposredno povezane sa izdavanjem elektronskog novca, institucija elektronskog novca dužna je da zaštiti novčana sredstva koja je primila od korisnika platnih usluga ili od drugih pružalaca platnih usluga u vezi sa izvršenjem platne transakcije, u skladu s odredbama čl. 93. i 94. Zakona i tačke 21. ove odluke.

24. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku RS", a primenjuje se od 1. oktobra 2015. godine.

Izvor: Press služba Narodne banke Srbije, 16.06.2015.