ИПС "Әділет"

Примечание ИЗПИ!
Введение в действие см. п.4.

В соответствии с подпунктом 10) части второй пункта 1 статьи 4 Закона Республики Казахстан "О цифровых активах в Республике Казахстан" Правление Национального Банка Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов (далее – Правила).

2. Департаменту платежных систем и цифровых финансовых технологий Национального Банка Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

1) совместно с Юридическим департаментом Национального Банка Республики Казахстан государственную регистрацию настоящего постановления в Министерстве юстиции Республики Казахстан;

2) размещение настоящего постановления на официальном интернет-ресурсе Национального Банка Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего постановления представление в Юридический департамент Национального Банка Республики Казахстан сведений об исполнении мероприятия, предусмотренного подпунктом 2) настоящего пункта.

3. Контроль за исполнением настоящего постановления возложить на курирующего заместителя Председателя Национального Банка Республики Казахстан.

4. Настоящее постановление вводится в действие с 1 мая 2026 года и подлежит официальному опубликованию.

Приостановить до 12 июля 2026 года действие:

подпунктов 1), 8) и 27) пункта 2 Правил, установив, что в период приостановления данные подпункты действуют в следующей редакции:

"1) информационный актив – совокупность информации и объекта информационно-коммуникационной инфраструктуры, используемого для ее хранения и (или) обработки;

8) риск информационной безопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов ПУЦА;

27) риск информационных технологий – вероятность возникновения ущерба вследствие отказа (нарушения функционирования) информационно-коммуникационных технологий, эксплуатируемых ПУЦА;";

подпункта 16) пункта 2 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"16) операционный риск – риск возникновения расходов (убытков) в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны работников (человеческих ресурсов) и ходе ненадлежащего функционирования информационных систем, цифровых платформ (торговых платформ) и технологий, а также вследствие влияния внешних событий, за исключением стратегического риска и репутационного риска;";

подпункта 24) пункта 2 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"24) система управления рисками – совокупность взаимосвязанных элементов: процедур, методик, информационных систем, объединенных в единый процесс по управлению реализованными и потенциальными рисками в рамках приемлемого для акционера (участника) уровня риска и направленных на достижение целей и задач по управлению рисками. В процессе выявления и управления реализованными и потенциальными рисками, влияющими на деятельность ПУЦА, участвуют органы ПУЦА, руководящие работники и работники структурных подразделений (ответственные работники) в пределах закрепленной компетенции и ответственности. Процесс выявления и управления реализованными и потенциальными рисками включает в себя оценку риска, измерение риска, контроль риска и мониторинг риска;";

подпункта 1) пункта 3 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"1) эффективного управления рисками ПУЦА посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия деятельности ПУЦА, выбранной бизнес модели, требованиям по корпоративному управлению, функционированию информационных систем, цифровых платформ (торговых платформ) и систем управленческой информации, проведению разрешенных операций, управлению активами и обязательствами, функционированию системы учета ПУЦА и иных информационных и коммуникационных систем ПУЦА, а также уровню принимаемых им рисков и наличия соответствующего уровня ликвидности;";

подпунктов 3), 4) и 5) пункта 7 Правил, установив, что в период приостановления данные подпункты действуют в следующей редакции:

"3) проведение регулярного мониторинга систем учета, иных информационных и коммуникационных систем (цифровых платформ, торговых платформ) в целях обеспечения бесперебойности, непрерывности деятельности процесса оказания услуг цифровых активов для ПУЦА (за исключением оператора обмена необеспеченных цифровых активов), учета прав по цифровым активам и иным финансовым инструментам, расчетов в цифровых активов и (или) деньгах, а также отражения сведений, содержащихся в соответствующих системах учета;

4) проведение ежегодного внутреннего аудита программно-технического обеспечения ПУЦА, включая информационные и коммуникационные системы, используемые ПУЦА в своей деятельности;

5) разработка и реализация проектов, направленных на дальнейшее развитие и совершенствование деятельности ПУЦА в части функционирования систем учета, информационных и коммуникационных систем (цифровых платформ, торговых платформ), процесса оказания услуг цифровых активов для ПУЦА, учета ПУЦА (за исключением оператора обмена необеспеченных цифровых активов) прав по цифровым активам, расчетов в цифровых активах, отражения сведений, содержащихся в системах учета, автоматизации отдельных операций, совершаемых в ПУЦА, а также процесса сбора, ввода, учета, хранения информации и иных направлений деятельности ПУЦА;";

подпункта 2) пункта 34 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"2) недоступность технологий, в том числе информационных и коммуникационных технологий (компьютерные вирусы, отказ компьютерных аппаратных средств, потеря связи);";

подпункта 2) пункта 42 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"2) неэффективными стратегиями, политиками и (или) стандартами в области информационных технологий, недостатками в использовании программного обеспечения;";

подпункта 12) пункта 42 Правил, установив, что в период приостановления данный подпункт действует в следующей редакции:

"12) вероятностью возникновения ошибок и сбоев в функционировании программно-технического обеспечения ПУЦА, включая соответствующие системы учета, а также в эксплуатируемых информационных и коммуникационных системах и технологиях;";

глав 10 и 11 Правил, установив, что в период приостановления данные главы действуют в следующей редакции:

"Глава 10. Управление рисками информационных технологий

44. Система управления рисками информационных технологий включает, но не ограничивается:

1) политику управления рисками информационных технологий;

2) процедуры управления рисками информационных технологий;

3) систему управленческой информации;

4) оценку эффективности системы управления рисками информационных технологий подразделением внутреннего аудита (ответственным работником по внутреннему аудиту).

45. ПУЦА определяет следующих участников системы управления рисками информационных технологий (но не ограничиваясь ими):

1) подразделение (ответственный работник) по управлению рисками ПУЦА;

2) подразделение (ответственный работник) по информационным технологиям.

46. ПУЦА создает структурное подразделение (назначает ответственного работника) по управлению рисками, в функции которого входит управление рисками информационных технологий, включая:

1) разработку, внедрение и развитие системы управления рисками информационных технологий;

2) участие в разработке и согласовании планов мероприятий по реализации стратегии ПУЦА в части обеспечения доступности информационно-коммуникационных технологий;

3) участие в оценке рисков информационных технологий;

4) мониторинг уровня рисков информационных технологий;

5) взаимодействие и консультирование структурных подразделений (ответственного работника) ПУЦА по вопросам управления рисками информационных технологий;

6) планирование проведения и анализ результатов оценки рисков информационных технологий, проводимой подразделением (ответственным работником) по информационным технологиям;

7) разработка и формирование реестра рисков, включающего риски информационных технологий;

8) предоставление отчетности о реализации существенных рисков информационных технологий и мониторинг исполнения мероприятий по устранению их последствий органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

9) предоставление отчетности или иной информации по управлению рисками информационных технологий органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

10) использование результатов внутреннего аудита в части рисков информационных технологий.

47. ПУЦА создает структурное подразделение (назначает ответственного работника) по информационным технологиям, в функции которого входит:

1) проведение оценки рисков информационных технологий;

2) разработка мер по обработке рисков информационных технологий и предоставление отчетности по их реализации в подразделение по управлению рисками;

3) подготовка и предоставление отчетности о реализации существенных рисков информационных технологий в подразделение рисков ПУЦА, а также об устранении их последствий;

4) разработка планов мероприятий по реализации стратегии ПУЦА в части обеспечения доступности информационно-коммуникационных технологий для критичных бизнес-процессов.

Глава 11. Управление рисками информационной безопасности

48. Система управления рисками информационной безопасности включает, но не ограничивается:

1) политику управления рисками информационной безопасности;

2) процедуры управления рисками информационной безопасности;

3) систему управленческой информации;

4) оценку эффективности системы управления рисками информационной безопасности подразделением внутреннего аудита (ответственным работником по внутреннему аудиту).

49. ПУЦА определяет следующих участников системы управления рисками информационной безопасности (но не ограничиваясь ими):

1) подразделение (ответственный работник) по управлению рисками ПУЦА;

2) подразделение (ответственный работник) по информационной безопасности;

3) подразделение (ответственный работник) по информационным технологиям;

4) подразделения-владельцы защищаемой информации.

50. ПУЦА создает структурное подразделение (назначает ответственного работника) по управлению рисками, в функции которого входит управление рисками информационной безопасности:

1) разработка, внедрение и развитие системы управления рисками информационной безопасности;

2) участие в разработке и согласовании планов мероприятий по реализации стратегии ПУЦА в части обеспечения информационной безопасности;

3) создание и руководство рабочей группой по формированию перечня критичных информационных активов ПУЦА, включающей как минимум подразделения-владельцев защищаемой информации;

4) участие в оценке рисков информационной безопасности;

5) мониторинг уровня рисков информационной безопасности;

6) взаимодействие и консультирование структурных подразделения ПУЦА (ответственного работника) по вопросам управления рисками информационной безопасности;

7) планирование проведения и анализ результатов оценки рисков информационной безопасности, проводимых подразделением (ответственным работником) по информационной безопасности;

8) разработка и формирование реестра рисков, включающего риски информационной безопасности;

9) предоставление отчетности о реализации существенных рисков информационной безопасности и мониторинг исполнения мероприятий по устранению их последствий органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

10) предоставление отчетности или иной информации по управлению рисками информационной безопасности органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

11) использование результатов внутреннего аудита в части рисков информационной безопасности.

51. ПУЦА создает структурное подразделение (назначает ответственного работника) по информационной безопасности, в функции которого входит:

1) проведение оценки рисков информационной безопасности;

2) разработка мер по обработке рисков информационной безопасности и предоставление отчетности по их реализации в подразделение (ответственному работнику) по управлению рисками;

3) подготовка и предоставление отчетности о реализации существенных рисков информационной безопасности в подразделение рисков ПУЦА, а также об устранении их последствий;

4) разработка планов мероприятий по реализации стратегии ПУЦА в части обеспечения информационной безопасности.

ПУЦА обеспечивает раздельное функционирование структурного подразделения (ответственного работника) по управлению рисками от структурного подразделения (ответственного работника) по информационной безопасности.

52. Подразделение (ответственный работник) по управлению рисками разрабатывает внутренний документ, определяющий порядок управления рисками информационной безопасности, который включает, но не ограничивается:

1) процедуры идентификации и классификации информационных активов, с целью выявления критичных информационных активов;

2) процедуры идентификации уязвимостей критичных информационных активов;

3) процедуры идентификации потенциальных угроз в отношении критичных информационных активов;

4) процедуры идентификации существующих мер управления рисками информационной безопасности;

5) процедуры оценки вероятности и последствий нарушения конфиденциальности, целостности и доступности информационных активов, применяя качественные и (или) количественные методы оценки, в том числе на основании данных об их реализации;

6) процедуры сбора и хранения сведений о реализации существенных рисков информационной безопасности;

7) процедуры формирования реестра рисков, включающего риски информационной безопасности;

8) процедуры мониторинга исполнения мер по обработке рисков информационной безопасности.".

Председатель Национального Банка
Республики Казахстан

Т. Сулейменов

Утверждены
постановлением
Председатель
Национального Банка
Республики Казахстан
от 29 апреля 2026 года № 47

Правила формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов

Глава 1. Общие положения

1. Настоящие Правила формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов (далее – Правила) разработаны в соответствии с подпунктом 10) части второй пункта 1 статьи 4 Закона Республики Казахстан "О цифровых активах в Республике Казахстан" (далее – Закон о цифровых активах) и определяют порядок формирования системы управления рисками и внутреннего контроля для операторов обмена необеспеченных цифровых активов, операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов (далее –ПУЦА).

2. В Правилах используются понятия, предусмотренные Законом о цифровых активах и Законом Республики Казахстан "О рынке ценных бумаг", а также следующие понятия:

1) информационный актив – совокупность информации и объекта цифровой инфраструктуры, используемого для ее хранения и (или) обработки;

2) риски мошенничества и противоправных инцидентов – вероятность возникновения финансовых потерь и репутационных рисков, вовлечения ПУЦА в противоправные действия вследствие мошенничества со стороны третьих лиц и (или) работников ПУЦА, использования услуг с цифровыми активами в операциях, связанных с незаконным производством, оборотом и (или) транзитом наркотиков, организацией деятельности финансовых пирамид и для осуществления платежей и (или) переводов денег в пользу электронного казино и интернет-казино, а также иностранных букмекерских контор и (или) тотализаторов, не имеющих лицензий на право занятия деятельностью в сфере игорного бизнеса в Республике Казахстан;

3) ценовой риск – вероятность возникновения расходов (убытков) вследствие изменения стоимости цифровых активов и финансовых инструментов, возникающий в случае изменения условий рынка цифровых активов и финансовых рынков, влияющих на рыночную стоимость цифровых активов и финансовых инструментов, приобретенных за счет собственных активов ПУЦА;

4) репутационный риск – вероятность возникновения расходов (убытков) вследствие негативного общественного мнения или снижения доверия к ПУЦА;

5) бэк-тестинг – методы проверки эффективности процедур измерения рисков с использованием исторических данных по ПУЦА и сравнением рассчитанных результатов с текущими (фактическими) результатами от совершения указанных операций;

6) валютный риск – вероятность возникновения расходов (убытков), связанных с изменением курсов иностранных валют при осуществлении ПУЦА своей деятельности. Опасность расходов (убытков) возникает из-за переоценки позиций по валютам в стоимостном выражении;

7) юридический (правовой) риск – риск возникновения расходов (убытков) вследствие нарушения ПУЦА требований законодательства Республики Казахстан, в том числе несоответствия внутренних документов ПУЦА требованиям нормативных правовых актов Национального Банка Республики Казахстан, несоответствия практики деятельности ПУЦА его внутренним документам, а в отношениях с нерезидентами Республики Казахстан – нарушения требований законодательства других государств, а также условий заключенных договоров;

8) риск кибербезопасности – вероятное возникновение ущерба вследствие нарушения конфиденциальности, преднамеренного нарушения целостности или доступности информационных активов ПУЦА;

9) кредитный риск – вероятность возникновения расходов (убытков) вследствие неисполнения эмитентом цифровых финансовых активов или контрагентом своих обязательств по выпущенным цифровым финансовым активам или заключенным сделкам в соответствии с оговоренными условиями, а также неуплаты или несвоевременной оплаты клиентами услуг ПУЦА;

10) корпоративное управление – система стратегического и тактического управления ПУЦА, представляющая собой комплекс взаимоотношений между высшим органом, органом управления, исполнительным органом и иными органами ПУЦА, направленная на обеспечение эффективного функционирования ПУЦА, защиту прав и интересов его акционеров (участников), и предоставляющая акционерам (участникам) возможность эффективного контроля и мониторинга деятельности ПУЦА;

11) комплаенс-риск – вероятность возникновения потерь вследствие несоблюдения ПУЦА и его работниками требований гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения (далее – ПОД/ФТ/ФРОМУ), об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, внутренних документов ПУЦА, регламентирующих порядок оказания услуг и проведения операций на рынке цифровых активов, а также законодательства иностранных государств, оказывающего влияние на деятельность ПУЦА;

12) критичный вид деятельности – вид деятельности, от бесперебойности осуществления которой зависит устойчивость ПУЦА в целом;

13) политика инвестирования собственных активов – документ, определяющий перечень объектов инвестирования, цели, стратегии, условия и ограничения инвестиционной деятельности в отношении собственных активов ПУЦА, условия хеджирования и диверсификации собственных активов ПУЦА;

14) конфликт интересов – ситуация, при которой возникает противоречие между личной заинтересованностью должностных лиц ПУЦА, его акционеров (участников) и (или) его работников и надлежащим исполнением ими своих должностных полномочий или имущественными и иными интересами ПУЦА и (или) его работников и (или) клиентов, которое повлечет за собой неблагоприятные последствия для ПУЦА и (или) его клиентов. ПУЦА, действуя в качества ПУЦА, исходит из приоритета интересов клиента над своими интересами, интересами своих работников, акционеров (участников) и аффилированных лиц;

15) операционный риск – вероятность возникновения расходов (убытков) в результате недостатков или ошибок в ходе осуществления внутренних процессов, допущенных со стороны работников (человеческих ресурсов) и ходе ненадлежащего функционирования цифровых систем, цифровых платформ (торговых платформ) и технологий, а также вследствие влияния внешних событий, за исключением стратегического риска и репутационного риска;

16) риск потери ликвидности – риск, связанный с возможным невыполнением либо несвоевременным выполнением ПУЦА своих обязательств. Риск потери ликвидности цифровых активов определяется возможностью их быстрой реализации с низкими издержками и по приемлемым ценам;

17) стратегический риск – вероятность возникновения убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегическое развитие ПУЦА и выражающихся в недостаточном учете возможных опасностей, присущих деятельности ПУЦА, неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых ПУЦА достигнет преимущества перед конкурентами, отсутствии или обеспечении в неполном объеме необходимых ресурсов и организационных мер, обеспечивающих достижение стратегических целей деятельности ПУЦА;

18) стресс-тестирование – методы измерения потенциального влияния на финансовое положение ПУЦА исключительных, но возможных событий, которые оказывают влияние на деятельность ПУЦА;

19) стрессовые ситуации – непредвиденные ситуации возникновения перегрузок, сбоев, ошибок и (или) иных неполадок в работе систем (цифровых платформ, торговых платформ) ПУЦА;

20) риск – вероятность того, что ожидаемые или непредвиденные события окажут отрицательное влияние на деятельность ПУЦА, его капитал и (или) доходы;

21) риск-профиль – совокупность видов риска и иных сведений, характеризующих степень подверженности ПУЦА рискам, присущим всем видам деятельности ПУЦА для выявления слабых сторон и определения приоритетности последующих действий в рамках системы управления рисками;

22) риск-аппетит – агрегированный (агрегированные) уровень (уровни) существенных рисков (лимиты допустимого размера риска), который (которые) ПУЦА готов принять либо намерен исключить при реализации стратегии;

23) система управления рисками – совокупность взаимосвязанных элементов: процедур, методик, цифровых систем, объединенных в единый процесс по управлению реализованными и потенциальными рисками в рамках приемлемого для акционера (участника) уровня риска и направленных на достижение целей и задач по управлению рисками. В процессе выявления и управления реализованными и потенциальными рисками, влияющими на деятельность ПУЦА, участвуют органы ПУЦА, руководящие работники и работники структурных подразделений (ответственные работники) в пределах закрепленной компетенции и ответственности. Процесс выявления и управления реализованными и потенциальными рисками включает в себя оценку риска, измерение риска, контроль риска и мониторинг риска;

24) матрица рисков – инструментарий для выявления, оценки и визуализации потенциальных рисков в порядке, предусмотренном внутренним документом ПУЦА;

25) риск-культура – процессы, процедуры, внутренние правила ПУЦА, направленные на понимание, принятие, управление и контроль за рисками с целью минимизации их влияния на деятельность ПУЦА, а также этические нормы и стандарты профессиональной деятельности всех участников организационной структуры;

26) организационная структура – количественный состав и система органов управления (исполнительных органов), руководящих работников и структурных подразделений ПУЦА, отражающие структуру подчиненности, подотчетности, предусмотренные внутренним документом и (или) совокупностью внутренних документов ПУЦА;

27) риск цифровых технологий – вероятность возникновения ущерба вследствие отказа (нарушения функционирования) цифровых технологий, эксплуатируемых ПУЦА;

28) служба внутреннего аудита (ответственный работник по внутреннему аудиту) – подразделение (ответственный работник) ПУЦА, созданное в соответствии с законодательством Республики Казахстан об (о) акционерных обществах и товариществах с ограниченной и дополнительной ответственностью в зависимости от организационно-правовой формы ПУЦА;

29) система внутреннего контроля – часть системы управления рисками, представляющая совокупность процедур и политик внутреннего контроля, обеспечивающих реализацию ПУЦА долгосрочных целей рентабельности и поддержания надежной системы финансовой и управленческой отчетности, способствующей соблюдению законодательства Республики Казахстан, политики ПУЦА, внутренних правил и процедур, снижению риска убытков или репутационного риска ПУЦА;

30) внутренние документы – документы, регулирующие условия и порядок деятельности ПУЦА, его органов, подразделений (ответственных работников) и работников подразделений.

Глава 2. Организация системы управления рисками

3. Целью Правил является определение требований к формированию ПУЦА систем управления рисками и внутреннего контроля путем обеспечения:

1) эффективного управления рисками ПУЦА посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия деятельности ПУЦА, выбранной бизнес модели, требованиям по корпоративному управлению, функционированию цифровых систем, цифровых платформ (торговых платформ) и систем управленческой информации, проведению разрешенных операций, управлению активами и обязательствами, функционированию системы учета ПУЦА и иных цифровых и коммуникационных систем ПУЦА, а также уровню принимаемых им рисков и наличия соответствующего уровня ликвидности;

2) надлежащей практики корпоративного управления и надлежащего уровня деловой этики и риск-культуры;

3) соблюдения ПУЦА и его работниками требований гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, внутренних политик, процедур и иных внутренних документов ПУЦА, регламентирующих порядок оказания услуг и проведения операций на рынке цифровых активов, а также законодательства иностранных государств, оказывающего влияние на деятельность ПУЦА;

4) своевременного обнаружения и устранения недостатков в деятельности ПУЦА и его работников;

5) создания в ПУЦА адекватных механизмов для решения непредвиденных или чрезвычайных ситуаций;

6) рационального принятия решений и действий в интересах ПУЦА на основании всесторонней оценки предоставляемой информации добросовестно, с должной осмотрительностью и заботливостью (duty of care);

7) принятия решений работниками и должностными лицами ПУЦА добросовестно;

8) распределения функций, обязанностей и полномочий управления рисками между всеми структурными подразделениями и работниками ПУЦА, и их ответственности с учетом минимизации конфликта интересов;

9) разделения функции управления рисками и внутреннего контроля от операционной деятельности ПУЦА посредством построения системы трех линий защиты, которая включает:

первую линию – на уровне структурных подразделений или сотрудников бизнес подразделений ПУЦА;

вторую линию – на уровне подразделения (ответственного работника) по управлению рисками и выполняющих контрольные функции;

третью линию – на уровне подразделения (ответственного работника) внутреннего аудита в части оценки эффективности функционирования системы управления рисками;

ПУЦА применяет риск-ориентированный подход в формировании трех линий защиты, который предполагает учет своего размера, значимости, характера, масштаба и сложности деятельности ПУЦА.

Информационный обмен между подразделениями (ответственными работниками) ПУЦА по вопросам управления рисками и внутреннего контроля осуществляется в соответствии с внутренними документами.

10) наличия документов, разработанных в целях регламентирования деятельности ПУЦА, создания и функционирования у ПУЦА эффективных систем управления рисками и внутреннего контроля и соответствующих стратегии, организационной структуре, профилю рисков ПУЦА и требованиям гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, а также их периодического пересмотра и актуализации;

11) соблюдения действующих процедур, процессов, политик и иных внутренних документов ПУЦА по управлению рисками посредством построения эффективной системы внутреннего контроля.

4. ПУЦА не реже одного раза в год в порядке, предусмотренном внутренним документом ПУЦА, проводит стресс-тестирование по основным рискам, которым подвержена деятельность ПУЦА.

Стресс-тестирование по операционному риску в части организации и проведения торгов проводится путем тестирования торговой платформы оператора торговой платформы цифровых активов на:

1) моделирование стрессовых ситуаций функционирования элементов торговой платформы, включающих в себя количество пользовательских подключений, пропускную способность потоков информации, скорость подачи заявок и заключения сделок, отказ компонентов торговой платформы на основных и (или) вспомогательных серверах;

2) на подборку, комбинирование и моделирование стрессовых ситуаций и параметров функционирования элементов торговой платформы, включая сетевые соединения, операционную систему, базу данных, уровень авторизации (доступа) к торговой платформе, количество пользователей, потоки информации, объемы торгов, нагрузку на основной и (или) вспомогательный сервер (с указанием уровня критической нагрузки).

5. ПУЦА не реже одного раза в год в порядке, предусмотренном внутренним документом ПУЦА, проводит бэк-тестинг, а именно проверки эффективности процедур измерения рисков с использованием исторических данных по деятельности ПУЦА и сравнением рассчитанных в результате проведения стресс-тестирования результатов с текущими (фактическими) результатами от совершения операций с цифровыми активами и (или) финансовыми инструментами.

6. ПУЦА представляет результаты стресс-тестирований и бэк-тестингов с предложениями по совершенствованию процедур управления рисками (при необходимости) органу управления (исполнительному органу, наблюдательному совету – при наличии), который использует результаты оценки рисков и регулярных стресс-тестирований и бэк-тестингов при принятии решений в отношении деятельности ПУЦА и совершения сделок с цифровыми активами и (или) финансовыми инструментами.

7. Система управления рисками ПУЦА включает следующие направления его деятельности:

1) проведение и администрирование процесса расчетов и (или) торгов по операциям с цифровыми активами и деньгами;

2) сбор, ввод, хранение и распространение информации, представляемой эмитентами цифровых финансовых активов и клиентами ПУЦА (эмитент цифровых финансовых активов не предоставляет информацию оператору обмена необеспеченных цифровых активов);

3) проведение регулярного мониторинга систем учета, иных цифровых и коммуникационных систем (цифровых платформ, торговых платформ) в целях обеспечения бесперебойности, непрерывности деятельности процесса оказания услуг цифровых активов для ПУЦА (за исключением оператора обмена необеспеченных цифровых активов), учета прав по цифровым активам и иным финансовым инструментам, расчетов в цифровых активах и (или) деньгах, а также отражения сведений, содержащихся в соответствующих системах учета;

4) проведение ежегодного внутреннего аудита программно-технического обеспечения ПУЦА, включая цифровые и коммуникационные системы, используемые ПУЦА в своей деятельности;

5) разработка и реализация проектов, направленных на дальнейшее развитие и совершенствование деятельности ПУЦА в части функционирования систем учета, цифровых и коммуникационных систем (цифровых платформ, торговых платформ), процесса оказания услуг цифровых активов для ПУЦА, учета ПУЦА (за исключением оператора обмена необеспеченных цифровых активов) прав по цифровым активам, расчетов в цифровых активах, отражения сведений, содержащихся в системах учета, автоматизации отдельных операций, совершаемых в ПУЦА, а также процесса сбора, ввода, учета, хранения информации и иных направлений деятельности ПУЦА;

6) разработка и утверждение внутренних документов, в том числе политики инвестирования собственных активов ПУЦА в цифровые активы и (или) финансовые инструменты в соответствии с порядком, предусмотренном внутренним документом ПУЦА;

7) создание и совершенствование организационно-функциональной структуры управления ПУЦА;

8) представление информации, необходимой для принятия решений, заинтересованным органам ПУЦА и обмен информацией между органами и подразделениями (ответственными работниками) ПУЦА;

9) мониторинг соблюдения ПУЦА и его работниками требований, установленных законодательством Республики Казахстан о цифровых активах, о рынке ценных бумаг, внутренней политикой ПУЦА в области управления рисками;

10) определение порядка организации ПУЦА работы с клиентами, в том числе определение процедур по рассмотрению и разрешению споров, а также порядка применения операторами платформы цифровых финансовых активов и (или) операторами торговой платформы цифровых активов соответствующих мер в случае невыполнения клиентами, в том числе эмитентами цифровых финансовых активов и держателями цифровых финансовых активов, своих обязательств;

11) формирование, ведение и хранение ПУЦА информации об операциях (сделках) в системе учета ПУЦА.

Положения настоящих Правил применяется к фондовой бирже в части, не урегулированной постановлением Правления Национального Банка Республики Казахстан от 19 декабря 2015 года № 252 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для фондовой биржи" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 12999).

Положения настоящих Правил применяется к центральному депозитарию в части, не урегулированной постановлением Постановление Правления Национального Банка Республики Казахстан от 28 декабря 2018 года № 318 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для центрального депозитария" (зарегистрировано в Реестре государственной регистрации нормативных правовых актов под № 18180).

8. Система управления рисками предусматривает, но не ограничивается, наличием следующих внутренних документов:

1) политика ПУЦА по управлению рисками;

2) порядок (политика) инвестирования собственных активов ПУЦА;

3) процедуры осуществления внутреннего контроля и внутреннего аудита;

4) процедуры, направленные на ПОД/ФТ/ФРОМУ;

5) процедуры управления ПУЦА существующими и потенциальными конфликтами интересов;

6) процедуры, направленные на предотвращение использования инсайдерской информации руководящими и иными работниками ПУЦА;

7) порядок осуществления расчетов по заключенным сделкам с цифровыми активами;

8) процедуры перевода цифровых активов и порядок сбора и хранения информации об отправителе и получателе цифровых активов;

9) информационная политика ПУЦА;

10) инструкция по технике безопасности.

11) политики управления рисками мошенничества и противоправных инцидентов.

Риск-культура дополняет существующие утвержденные процедуры, процессы и механизмы деятельности ПУЦА и является неотъемлемым компонентом системы управления рисками.

9. ПУЦА на ежегодной основе осуществляет оценку системы управления рисками и внутреннего контроля (далее – Ежегодная оценка) по форме согласно приложению к Правилам и в порядке, предусмотренном внутренними документами ПУЦА.

10. По итогам Ежегодной оценки оформляется отчет об оценке выполнения требований к системе управления рисками по форме согласно приложению к Правилам, который направляется в Национальный Банк Республики Казахстан не позднее первого квартала, следующего за отчетным годом.

11. Задачами формирования системы управления рисками являются:

1) своевременное выявление рисков и угроз;

2) повышение качества оценки максимально допустимых значений показателей рисков;

3) развитие альтернативных механизмов контроля рисков;

4) обеспечение принятия своевременных мер по минимизации и управлению рисками;

5) вовлечение отдельных структурных подразделений ПУЦА (отдельных линий защиты), включая подразделение по управлению рисками, в процесс мониторинга и оценки рисков, а также повышение ответственности работников ПУЦА в области системы управления рисками.

12. Система управления рисками ПУЦА включает идентификацию, измерение, оценку, контроль и мониторинг риска, которые осуществляются в соответствии с порядком, предусмотренным внутренними документами ПУЦА.

13. Руководитель подразделения ПУЦА по управлению рисками (ответственные работники по управлению рисками) и (или) работники подразделения ПУЦА по управлению рисками имеют высшее образование, обладают профессиональной компетентностью и опытом работы не менее трех лет в области управления рисками, а также обладают знаниями финансового законодательства Республики Казахстан и законодательства Республики Казахстан о цифровых активах, рынке ценных бумаг.

14. Дополнительные требования к руководителю и работникам подразделения по управлению рисками устанавливаются ПУЦА.

15. ПУЦА в своей деятельности идентифицирует и дифференцирует следующие типы (виды) рисков:

1) операционные риски;

2) юридические (правовые) риски;

3) репутационные риски;

4) рыночные (ценовые, валютные и процентные) риски;

5) кредитные риски;

6) риски потери ликвидности;

7) риски, определяемые в соответствии с политикой ПУЦА по управлению рисками.

16. Целями процесса идентификации, оценки и контроля рисков являются:

1) своевременное определение неидентифицированных рисков и угроз;

2) повышение качества оценки максимально допустимых значений показателей рисков;

3) развитие альтернативных механизмов контроля рисков;

4) обеспечение принятия своевременных мер по минимизации и управлению рисками;

5) вовлечение отдельных подразделений ПУЦА (ответственных работников), включая подразделение по управлению рисками (ответственного работника по управлению рисками), в процесс идентификации и оценки рисков, а также увеличение ответственности работников ПУЦА в области управления рисками.

17. Процедура идентификации рисков основывается на тщательном обзоре и мониторинге, осуществляемых каждым подразделением ПУЦА в зависимости от вида деятельности подразделения совместно с подразделением по управлению рисками (ответственным работником по управлению рисками).

Идентифицированные риски анализируются по следующим характеристикам:

1) частота наступления рисков;

2) масштаб воздействия рисков.

На основе результатов анализа риски дифференцируются как приемлемые и неприемлемые в зависимости от значения показателя рисков, определенного в качестве допустимого.

18. Подразделение правового обеспечения (юридическое подразделение или ответственный работник по правовому обеспечению) ПУЦА обеспечивает регулирование юридических (правовых) рисков, возникающих вследствие нарушения ПУЦА требований законодательства Республики Казахстан, в том числе несоответствия внутренних документов ПУЦА требованиям нормативных правовых актов Национального Банка Республики Казахстан, несоответствия практики деятельности ПУЦА ее внутренним документам, а также условий заключенных договоров.

19. Подразделение (ответственный работник) ПУЦА по отношениям с общественностью совместно с подразделением по управлению рисками обеспечивает контроль, мониторинг, а также минимизацию репутационных рисков в порядке, предусмотренном внутренними документами ПУЦА.

20. ПУЦА ежегодно не позднее 1 апреля года, следующего за отчетным, представляет в Национальный Банк Республики Казахстан отчет об оценке выполнения требований к системе управления рисками по форме согласно приложению к Правилам.

Глава 3. Бизнес модель

21. Бизнес модель ПУЦА – это совокупность выбранной стратегии, продуктов, процессов планирования, обеспечивающих конкурентоспособность и достаточный уровень доходности ПУЦА.

22. Основными принципами при формировании бизнес модели ПУЦА являются:

1) жизнеспособность, выражающаяся в способности ПУЦА обеспечивать достаточный уровень доходности в ближайшие 12 (двенадцать) месяцев и основанная на бюджетном планировании и прогнозировании финансовых показателей;

2) устойчивость, выражающаяся в способности ПУЦА обеспечивать достаточный уровень доходности на период не менее 3 (трех) лет и основанная на стратегическом планировании и прогнозировании финансовых показателей.

ПУЦА проводит регулярный анализ бизнес модели в целях оценки влияния на нее стратегических рисков и рисков, присущих деятельности ПУЦА.

Деятельность ПУЦА осуществляется в рамках выбранной бизнес модели с учетом объема активов, характера и уровня сложности деятельности, организационной структуры, риск-профиля.

23. Стратегия ПУЦА утверждается органом управления (исполнительным органом, наблюдательным советом – при наличии) ПУЦА на период не менее 3 (трех) лет.

24. Содержание (структура) стратегии ПУЦА определяется внутренними документами ПУЦА.

25. Стратегия ПУЦА составляется и совершенствуется с учетом результатов бэк-тестинга для исключения факторов, ранее негативно отразившихся на деятельности ПУЦА.

Глава 4. Стратегия риск-аппетита

26. В целях построения эффективной системы управления рисками орган управления (исполнительный орган, наблюдательный совет – при наличии) ПУЦА утверждает стратегию риск-аппетита в качестве отдельного документа, либо как составной части стратегии ПУЦА.

27.Стратегия риск-аппетита определяет четкие границы объема принимаемых рисков, в которых осуществляется деятельность ПУЦА в рамках реализации общей стратегии ПУЦА, а также определяет риск-профиль деятельности ПУЦА с целью недопущения реализации рисков либо минимизации их отрицательного влияния на деятельность ПУЦА. Стратегия риск-аппетита учитывается:

1) при стратегическом и бюджетном планировании ПУЦА, определенных главой 3 Правил;

2) при формировании организационной структуры ПУЦА и политики оплаты труда, определенных главой 5 Правил.

28. ПУЦА при разработке стратегии риск-аппетита учитывает размер своих активов, долю на рынке, характер, масштаб и сложность своей деятельности.

Глава 5. Корпоративное управление

29. Основными элементами эффективной системы корпоративного управления являются:

1) организационная структура;

2) корпоративные ценности;

3) стратегия деятельности ПУЦА;

4) распределение обязанностей и полномочий в части принятия решений между органами ПУЦА;

5) механизмы взаимодействия и сотрудничества между органами ПУЦА, внешними и внутренними аудиторами ПУЦА;

6) процедуры и методики управления рисками;

7) система внутреннего контроля;

8) система вознаграждения;

9) наличие системы управленческой отчетности;

10) прозрачность корпоративного управления.

30. Организационная структура ПУЦА соответствует выбранной бизнес-модели, профилю рисков, масштабу и характеру деятельности, видам и сложности операций, минимизирует конфликт интересов и распределяет полномочия по управлению рисками между коллегиальными органами и структурными подразделениями (ответственными работниками), и соответствует требованиям, установленным законами Республики Казахстан об (о) акционерных обществах, товариществах с ограниченной и дополнительной ответственностью (в зависимости от организационно-правовой формы ПУЦА).

Организационная структура определяется ПУЦА с учетом размера своих активов, доли на рынке, характера, масштаба и сложности деятельности ПУЦА.

Глава 6. Управление непрерывностью деятельности

31. ПУЦА осуществляет в порядке, определенном внутренним документом ПУЦА, анализ влияния на деятельность, посредством которого осуществляется оценка:

1) воздействий, повреждений или потерь на персонал, помещения, технологии или информацию ПУЦА;

2) нарушений требований гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью;

3) потери репутации.

32. ПУЦА идентифицирует критичные виды деятельности. Идентифицированная в процессе анализа влияния на деятельность ПУЦА, потеря которой оказывает в краткосрочный период времени максимальное негативное воздействие на ПУЦА и подлежит восстановлению в кратчайшие сроки, является критичным видом деятельности.

33. ПУЦА определяет ресурсы и меры управления рисками непредвиденных обстоятельств, необходимые для поддержания критичных видов деятельности, которые включают, но не ограничиваются следующим:

1) персонал (необходимое количество работников, необходимые навыки и компетенции);

2) помещения (основные и альтернативные площадки, а также помещения, требующие повышенной защиты);

3) технологии (информационно-технологические и телекоммуникационные услуги, поддерживающие критичные виды деятельности, а также прочие технологии, поддерживающие критичные виды деятельности, в том числе охрана периметра);

4) информация (необходимая информация для выполнения критичных видов деятельности, объем информации, требующей восстановления, а также методы и способы хранения, защиты и восстановления информации);

5) поставщики, внешние услуги и снабжение, от которых зависит выполнение критичных видов деятельности;

6) финансовые ресурсы (объем финансовых ресурсов, потенциально доступный для исполнения плана обеспечения непрерывности и восстановления деятельности ПУЦА в случае возникновения непредвиденных обстоятельств).

34. ПУЦА осуществляет анализ рисков непредвиденных обстоятельств, который позволяет оценить угрозы и уязвимость в критичных видах деятельности и используемых ими ресурсах. В качестве угроз, которые оказывают негативное воздействие на ресурсы, ПУЦА рассматривает, но, не ограничиваясь, следующее:

1) недоступность работников;

2) недоступность технологий, в том числе цифровых и коммуникационных технологий (компьютерные вирусы, отказ компьютерных аппаратных средств, потеря связи);

3) недоступность снабжения (воды, электричества);

4) отсутствие доступа к зданиям (помещениям);

5) недоступность ключевых поставщиков, контрагентов;

6) недоступность ключевой информации;

7) недоступность финансовых ресурсов.

35. ПУЦА обеспечивает разработку и наличие плана (планов) по обеспечению непрерывности и (или) восстановлению деятельности. План (планы) по обеспечению непрерывности и (или) восстановлению деятельности должен учитывать размер своих активов, долю на рынке, характер, масштаб и сложность своей деятельности.

Глава 7. Управление рыночным риском

36. Исполнительный орган и (или) глава риск-менеджмента (ответственный работник по управлению рисками) ПУЦА обеспечивает разработку политики управления рыночным риском и осуществляет мониторинг и контроль за соблюдением ПУЦА и его работниками политики управления рыночным риском, которая соответствует масштабу деятельности ПУЦА, текущей рыночной ситуации, стратегии, размеру и уровню сложности операций ПУЦА и обеспечивает эффективное выявление, измерение, мониторинг и контроль за рыночным риском ПУЦА.

37. Способы (меры) по снижению рыночных рисков ПУЦА (лимиты, нормы диверсификации, хеджирование, резервирование, страхование и иные способы) определяются внутренними документами ПУЦА.

Глава 8. Управление риском потери ликвидности

38. ПУЦА разрабатывает эффективный процесс по выявлению, оценке, мониторингу и контролю риска потери ликвидности, который включает детальное прогнозирование денежных потоков по активам, обязательствам и внебалансовым инструментам на разных временных интервалах.

39. ПУЦА оценивает все балансовые и внебалансовые статьи, влияющие на уровень риска потери ликвидности. ПУЦА оценивает уровень ликвидности на рынке для покрытия потребности ПУЦА в привлечении фондирования в целях регулирования риска потери ликвидности.

40. При управлении риском потери ликвидности ПУЦА учитывает снижение стоимости активов и влияния их продажи во время стрессов на уровень ликвидности, доходности и капитал.

41. ПУЦА учитывает взаимодействие между риском потери ликвидности и другими видами рисков, которым он подвергается.

Глава 9. Управление операционным риском

42. К операционным рискам относятся риски, связанные с:

1) неопределенной и неэффективной организационной структурой ПУЦА, включая распределение ответственности, структуру подотчетности и управления;

2) неэффективными стратегиями, политиками и (или) стандартами в области цифровых технологий, недостатками в использовании программного обеспечения;

3) неэффективным управлением персоналом и (или) неквалифицированным штатом ПУЦА;

4) несанкционированным использованием систем учета, цифровых платформ (торговых платформ);

5) рисками, связанными с недостаточно эффективным построением процессов осуществления деятельности ПУЦА либо слабым контролем соблюдения внутренних правил;

6) непредвиденными или неконтролируемыми факторами внешнего воздействия на деятельность ПУЦА;

7) наличием недостатков или ошибок во внутренних документах, регламентирующих деятельность ПУЦА;

8) нарушением процесса регистрации сделок, расчетов с цифровыми активами, отражения сведений, содержащихся в системах учета отдельных операций, совершаемых в ПУЦА, и совершения операций в указанных системах;

9) неправомерным использованием конфиденциальной информации, предоставляемой клиентами ПУЦА;

10) возникновением конфликта интересов между органами ПУЦА и его подразделениями;

11) возникновением ошибок, связанных со сбором, вводом, хранением и распространением информации;

12) вероятностью возникновения ошибок и сбоев в функционировании программно-технического обеспечения ПУЦА, включая соответствующие системы учета, а также в эксплуатируемых цифровых и коммуникационных системах и технологиях;

13) вероятностью возникновения ущерба вследствие использования несовершенных технологий в процессе деятельности ПУЦА, включая, в том числе процессы организации учета прав по цифровым активам, регистрации сделок, расчетов сделок с цифровыми активами, отражения сведений, содержащихся в системах учета (по учету в отношении операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов), исполнения функций системного администрирования;

14) возникновением ошибок при вводе и изменении данных в системах учета (по учету в отношении операторов платформы цифровых финансовых активов, операторов торговой платформы цифровых активов);

15) обстоятельствами, идентифицируемыми ПУЦА в качестве потенциальных рисков.

43. При измерении, оценке, контроле и мониторинге операционных рисков ПУЦА применяет один или несколько из следующих методов:

1) применение ключевых индикаторов риска;

2) формирование матрицы рисков;

3) осуществление сбора и анализ внутренних данных по убыткам (ведение базы данных по убыткам);

4) описание (регламентация) бизнес-процессов;

5) использование результатов внутреннего аудита.

Порядок выбора методов измерения, оценки, контроля, мониторинга и способов (мер) по снижению операционных рисков устанавливается внутренним документом ПУЦА по вопросам управления операционными рисками.

Глава 10. Управление рисками цифровых технологий

44. Система управления рисками цифровых технологий включает, но не ограничивается:

1) политику управления рисками цифровых технологий;

2) процедуры управления рисками цифровых технологий;

3) систему управленческой информации;

4) оценку эффективности системы управления рисками цифровых технологий подразделением внутреннего аудита (ответственным работником по внутреннему аудиту).

45. ПУЦА определяет следующих участников системы управления рисками цифровых технологий (но не ограничиваясь ими):

1) подразделение (ответственный работник) по управлению рисками ПУЦА;

2) подразделение (ответственный работник) по цифровым технологиям.

46. ПУЦА создает структурное подразделение (назначает ответственного работника) по управлению рисками, в функции которого входит управление рисками цифровых технологий, включая:

1) разработку, внедрение и развитие системы управления рисками цифровых технологий;

2) участие в разработке и согласовании планов мероприятий по реализации стратегии ПУЦА в части обеспечения доступности цифровых технологий;

3) участие в оценке рисков цифровых технологий;

4) мониторинг уровня рисков цифровых технологий;

5) взаимодействие и консультирование структурных подразделений (ответственного работника) ПУЦА по вопросам управления рисками цифровых технологий;

6) планирование проведения и анализ результатов оценки рисков цифровых технологий, проводимой подразделением (ответственным работником) по цифровым технологиям;

7) разработка и формирование реестра рисков, включающего риски цифровых технологий;

8) предоставление отчетности о реализации существенных рисков цифровых технологий и мониторинг исполнения мероприятий по устранению их последствий органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

9) предоставление отчетности или иной информации по управлению рисками цифровых технологий органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

10) использование результатов внутреннего аудита в части рисков цифровых технологий.

47. ПУЦА создает структурное подразделение (назначает ответственного работника) по цифровым технологиям, в функции которого входит:

1) проведение оценки рисков цифровых технологий;

2) разработка мер по обработке рисков цифровых технологий и предоставление отчетности по их реализации в подразделение по управлению рисками;

3) подготовка и предоставление отчетности о реализации существенных рисков цифровых технологий в подразделение рисков ПУЦА, а также об устранении их последствий;

4) разработка планов мероприятий по реализации стратегии ПУЦА в части обеспечения доступности цифровых технологий для критичных бизнес-процессов.

Глава 11. Управление рисками кибербезопасности

48. Система управления рисками кибербезопасности включает, но не ограничивается:

1) политику управления рисками кибербезопасности;

2) процедуры управления рисками кибербезопасности;

3) систему управленческой информации;

4) оценку эффективности системы управления рисками кибербезопасности подразделением внутреннего аудита (ответственным работником по внутреннему аудиту).

49. ПУЦА определяет следующих участников системы управления рисками кибербезопасности (но не ограничиваясь ими):

1) подразделение (ответственный работник) по управлению рисками ПУЦА;

2) подразделение (ответственный работник) по кибербезопасности;

3) подразделение (ответственный работник) по цифровым технологиям;

4) подразделения-владельцы защищаемой информации.

50. ПУЦА создает структурное подразделение (назначает ответственного работника) по управлению рисками, в функции которого входит управление рисками кибербезопасности:

1) разработка, внедрение и развитие системы управления рисками кибербезопасности;

2) участие в разработке и согласовании планов мероприятий по реализации стратегии ПУЦА в части обеспечения кибербезопасности;

4) участие в оценке рисков кибербезопасности;

5) мониторинг уровня рисков кибербезопасности;

6) взаимодействие и консультирование структурных подразделения ПУЦА (ответственного работника) по вопросам управления рисками кибербезопасности;

7) планирование проведения и анализ результатов оценки рисков кибербезопасности, проводимых подразделением (ответственным работником) по кибербезопасности;

8) разработка и формирование реестра рисков, включающего риски кибербезопасности;

9) предоставление отчетности о реализации существенных рисков кибербезопасности и мониторинг исполнения мероприятий по устранению их последствий органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

10) предоставление отчетности или иной информации по управлению рисками кибербезопасности органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

11) использование результатов внутреннего аудита в части рисков кибербезопасности.

51. ПУЦА создает структурное подразделение (назначает ответственного работника) по кибербезопасности, в функции которого входит:

1) проведение оценки рисков кибербезопасности;

2) разработка мер по обработке рисков кибербезопасности и предоставление отчетности по их реализации в подразделение (ответственному работнику) по управлению рисками;

3) подготовка и предоставление отчетности о реализации существенных рисков кибербезопасности в подразделение рисков ПУЦА, а также об устранении их последствий;

4) разработка планов мероприятий по реализации стратегии ПУЦА в части обеспечения кибербезопасности.

52. Подразделение (ответственный работник) по управлению рисками разрабатывает внутренний документ, определяющий порядок управления рисками кибербезопасности, который включает, но не ограничивается:

2) процедуры идентификации уязвимостей критичных объектов цифровой инфраструктуры информационных активов;

3) процедуры идентификации потенциальных угроз в отношении критичных информационных активов;

4) процедуры идентификации существующих мер управления рисками кибербезопасности;

6) процедуры сбора и хранения сведений о реализации существенных рисков кибербезопасности;

7) процедуры формирования реестра рисков, включающего риски кибербезопасности;

8) процедуры мониторинга исполнения мер по обработке рисков кибербезопасности.

Глава 12. Управление комплаенс-риском

53. Орган управления (исполнительный орган, наблюдательный совет – при наличии) ПУЦА контролирует процедуру управления комплаенс-риском ПУЦА, создает подразделение (назначает ответственного работника) по комплаенс-контролю у ПУЦА, назначает и освобождает от должности главного комплаенс-контролера, утверждает политику управления комплаенс-риском.

Подразделение (ответственный работник) по комплаенс-контролю организует процедуры для соблюдения требований гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, законодательства иностранных государств, оказывающих влияние на деятельность ПУЦА, а также внутренних документов ПУЦА, регламентирующих порядок оказания ПУЦА услуг и проведения операций на финансовом рынке, и предоставляет полную и достоверную информацию органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА о наличии комплаенс-риска.

Подразделение (ответственный работник) по комплаенс-контролю отвечает за разработку политики управления комплаенс-риском, подлежащей утверждению органом управления (исполнительным органом, наблюдательным советом – при наличии) ПУЦА и содержащей основные принципы управления комплаенс-риском, в том числе принципы создания комплаенс-культуры у ПУЦА, на основании которых выявляется и управляется комплаенс-риск на всех уровнях структуры ПУЦА.

54. Подразделение (ответственный работник) по комплаенс-контролю является ответственным за разработку политики управления комплаенс-риском, обеспечение управления комплаенс-риском и координацию деятельности ПУЦА по управлению комплаенс-риском. Подразделение (ответственный работник) по комплаенс-контролю обеспечивает соответствие политики и процедур управления комплаенс-риском, в том числе, риском легализации (отмывания) доходов, полученных преступным путем, финансирования терроризма и финансирования распространения оружия массового уничтожения (далее – ОД/ФТ/ФРОМУ), требованиям законодательства о ПОД/ФТ/ФРОМУ.

Подразделение (ответственный работник) по комплаенс-контролю является структурным подразделением (ответственным работником) ПУЦА, независимым от какой-либо деятельности структурных подразделений ПУЦА, составляющих первую линию защиты.

Независимость подразделения (ответственного работника) по комплаенс-контролю обеспечивается следующими факторами:

подразделение (ответственный работник) по комплаенс-контролю имеет статус самостоятельного структурного подразделения;

работники подразделения по комплаенс-контролю (ответственный работник по комплаенс-контролю) не занимают должности по совместительству в иных структурных подразделениях ПУЦА, за исключением занятия должности руководителя подразделения по управлению рисками (ответственного сотрудника по управлению рисками) и (или) подразделения по ПОД/ФТ/ФРОМУ (ответственного сотрудника по ПОД/ФТ/ФРОМУ);

руководитель и работники подразделения по комплаенс-контролю не оказываются в ситуации, когда возможен конфликт интересов между их обязанностями по управлению комплаенс-риском и любыми другими возложенными на них обязанностями;

работники подразделения по комплаенс-контролю в рамках своей компетенции имеют доступ и при необходимости требуют любую информацию у структурных подразделений ПУЦА, дочерних организаций ПУЦА, а также привлекают работников ПУЦА и его дочерних организаций для содействия выполнению функции комплаенс-контроля.

55. Подразделение (ответственный работник) по комплаенс-контролю осуществляет следующие функции (но не ограничиваясь):

1) разработку внутреннего порядка, способов и процедур выявления, измерения, мониторинга и контроля за комплаенс-риском ПУЦА на консолидированной основе;

2) разработку, внедрение и обеспечение наличия правил внутреннего контроля для целей ПОД/ФТ/ФРОМУ;

3) формирование комплаенс-программы (плана), которая включает в том числе:

проверку соблюдения подразделениями ПУЦА политики управления комплаенс-риском с учетом требований гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью;

обучение персонала по вопросам управления комплаенс-риском;

4) содействие органам ПУЦА в управлении комплаенс-риском ПУЦА;

5) консультирование руководства и работников ПУЦА о нормах гражданского и налогового законодательства Республики Казахстан, Закона Республики Казахстан "О Национальном Банке Республики Казахстан", законодательства Республики Казахстан о государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций, о цифровых активах, о валютном регулировании и валютном контроле, о рынке ценных бумаг, о бухгалтерском учете и финансовой отчетности, о ПОД/ФТ/ФРОМУ, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью, о правилах, о политиках, имеющих отношение к управлению комплаенс-риском, включая информирование об изменениях, за исключением случаев, когда такую функцию выполняет юридическое подразделение (ответственный работник по правовому обеспечению) ПУЦА;

6) контроль организации у ПУЦА работы по ознакомлению работников ПУЦА с требованиями внутренних документов ПУЦА, регламентирующих порядок оказания ПУЦА услуг и проведения операций на рынке;

7) координацию деятельности дочерних организаций ПУЦА по вопросам управления комплаенс-риском, в том числе риском ОД/ФТ/ФРОМУ;

8) обязательное участие в процессе внедрения новых продуктов и услуг;

9) обеспечение организации в ПУЦА мероприятий по выявлению, оценке и контролю конфликтов интересов;

10) разработку процессов и процедур предотвращения нарушений требований законодательства о ПОД/ФТ/ФРОМУ, политик и процедур управления комплаенс-риском, риском ОД/ФТ/ФРОМУ (далее – комплаенс-требований);

11) разработку самостоятельно или совместно со структурными подразделениями и должностными лицами ПУЦА рекомендаций и корректирующих мер по устранению выявленных нарушений комплаенс-требований, фактов вовлечения ПУЦА, работников ПУЦА и услуг ПУЦА в противоправные действия, связанные с незаконным производством, оборотом и (или) транзитом наркотиков, организацией деятельности финансовых пирамид, осуществлением переводов денег и (или) цифровых активов в пользу электронного казино и интернет-казино, иностранных букмекерских контор и (или) тотализаторов, не имеющих лицензий на право занятия деятельностью в сфере игорного бизнеса в Республике Казахстан, и недостатков в работе ПУЦА, связанных с управлением комплаенс-риском и представление соответствующей информации органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

12) разработку и ведение системы отчетности по комплаенс-риску и предоставление на периодической основе информации по вопросам управления комплаенс-риском органу управления (исполнительному органу, наблюдательному совету – при наличии) ПУЦА;

13) разработку внутреннего порядка взаимодействия и координации работы управлению комплаенс-риском со структурными подразделениями ПУЦА, в том числе с подразделением (ответственным работником) по внутреннему аудиту;

14) координацию работы по сбору количественных и качественных показателей для оценки риска вовлеченности ПУЦА рискам ОД/ФТ/ФРОМУ и передачу информации в Национальный Банк Республики Казахстан ежегодно не позднее 5 февраля года, следующего за отчетным годом.

Главный комплаенс-контроллер (комплаенс-контроллер) несет ответственность за исполнение функций, определенных настоящим пунктом, надлежащую реализацию подразделением (ответственным работником) по комплаенс-контролю процессов и процедур по предотвращению и корректирующих мер по устранению нарушений комплаенс-требований.

Отдельные функции управления комплаенс-риском в соответствии с внутренними документами ПУЦА делегируются при необходимости иным структурным подразделениям ПУЦА, при условии отсутствия конфликта интересов.

56. Система управления комплаенс-риском включает, но не ограничивается:

1) политику и процедуры управления комплаенс-риском;

2) политику и процедуры управления риском ОД/ФТ/ФРОМУ, в том числе включающие программу принятия и обслуживания клиентов (customer acceptance policy). ПУЦА при разработке и реализации процедур принятия решения о приеме клиента на обслуживание учитывает присущие факторы риска;

3) оценку эффективности системы управления комплаенс-риском подразделением (ответственным работником) по внутреннему аудиту.

Система управления комплаенс-риском основывается на 3 (трех) линиях защиты:

работники ПУЦА;

подразделение (ответственный работник) по комплаенс-контролю;

подразделение (ответственный работник) по внутреннему аудиту.

Глава 13. Внутренний контроль

57. Система внутреннего контроля ПУЦА создается для:

1) обеспечения операционной и финансовой эффективности деятельности ПУЦА посредством проверки эффективности и рентабельности осуществления деятельности ПУЦА и определения вероятности убытков;

2) обеспечения надежности, полноты и своевременности финансовой и управленческой информации посредством проверки достоверности, и качественного составления финансовой и управленческой отчетности ПУЦА;

3) обеспечения соответствия внутренних документов, определяющих внутренние политики и процедуры ПУЦА требованиям законодательства Республики Казахстан о цифровых активах, о рынке ценных бумаг, об акционерных обществах, о товариществах с ограниченной и дополнительной ответственностью;

4) недопущение вовлечения ПУЦА и его работников, клиентов ПУЦА осуществление противоправной деятельности, в том числе мошенничества, обмана, ОД/ФТ/ФРОМУ, незаконного производства, оборота и (или) транзита наркотиков, организацию деятельности финансовых пирамид, осуществление платежей и (или) переводов ценностей с использованием цифровых активов в пользу электронного казино и интернет-казино, а также иностранных букмекерских контор и (или) тотализаторов, не имеющих лицензий на право занятия деятельностью в сфере игорного бизнеса в Республике Казахстан.

58. Система внутреннего контроля состоит из 5 (пяти) взаимосвязанных элементов:

1) управленческий контроль;

2) выявление и оценка риска;

3) осуществление контроля и разделение полномочий;

4) информация и взаимодействие;

5) мониторинг и исправление недостатков.

59. Функционирование системы внутреннего контроля происходит по принципу непрерывного поочередного прохождения следующих трех этапов:

1) формирование системы внутреннего контроля (с учетом результатов оценки эффективности) путем включения процедур во внутренние документы ПУЦА;

2) использование в работе процедур системы внутреннего контроля, определенных внутренними документами ПУЦА;

3) проведение оценки эффективности системы внутреннего контроля.

60. Подразделение (ответственный работник) по комплаенс-контролю ПУЦА осуществляет функции по внутреннему контролю.

Глава 14. Внутренний аудит

61. Служба внутреннего аудита создается (ответственный работник по внутреннему аудиту назначается) с целью решения задач, возникающих при осуществлении органом управления (исполнительным органом, наблюдательным советом – при наличии) ПУЦА функций по обеспечению наличия и функционирования адекватной системы внутреннего контроля путем предоставления объективной оценки состояния системы внутреннего контроля и рекомендаций по их совершенствованию.

Целью внутреннего аудита является оценка адекватности и эффективности систем внутреннего контроля и управления рисками по всем аспектам деятельности ПУЦА, контроль за соблюдением внутренних правил и процедур ПУЦА, исполнением рекомендаций внутренних и внешних аудиторов, мер воздействия и требований Национального Банка Республики Казахстан, установленных в отношении осуществления деятельности ПУЦА, обеспечение своевременной и достоверной информацией о состоянии выполнения подразделениями и работниками ПУЦА, возложенных функций и задач, а также предоставление действенных и эффективных рекомендаций по улучшению работы.

62. Руководитель и работники службы внутреннего аудита (ответственный работник по внутреннему аудиту) назначаются органом управления (исполнительным органом, наблюдательным советом – при наличии) ПУЦА и имеют доступ ко всем необходимым документам, связанным с деятельностью проверяемого подразделения (ответственного работника) ПУЦА, а также их филиалов и представительств, в том числе составляющим коммерческую и служебную тайну.

63. Требования к руководителям и работникам службы внутреннего аудита, их полномочия и система вознаграждения для них определяются органом управления (исполнительным органом, наблюдательным советом – при наличии) ПУЦА.

64. Руководитель и работники службы внутреннего аудита (ответственный работник по внутреннему аудиту) не занимают иную должность, не являются членами коллегиального органа ПУЦА и не совмещают обязанности в ПУЦА и (или) дочерних организациях ПУЦА.

Приложение к Правилам
формирования системы
управления рисками
и внутреннего контроля для
операторов обмена
необеспеченных цифровых
активов, операторов
платформы цифровых
финансовых активов,
операторов торговой
платформы цифровых активов

Отчет об оценке выполнения требований к системе управления рисками
__________________________________________________
(наименование оператора обмена необеспеченных цифровых активов, оператора платформы цифровых финансовых активов, оператора торговой платформы цифровых активов (далее – провайдер услуг цифровых активов)

Отчетный период: за "______" год

№	Указание соответствующего абзаца, части, подпункта, пункта Правил	Оценка соответствия требованиям Правил	Выявленные недостатки	Принятые (планируемые) мероприятия по устранению недостатков (содержание мероприятия, сроки исполнения)	Ответственные исполнители (фамилия, имя, отчество (при его наличии), должность, контактная информация)
1	2	3	4	5	6

Общая оценка соответствия требованиям к системе управления рисками: _______

Пояснение по заполнению формы

Оценка соответствия требованиям к системе управления рисками осуществляется по трехбалльной системе следующих критериев (соответствует, частично соответствует, не соответствует):

1) оценка "соответствует" выносится при выполнении провайдером услуг цифровых активов критерия требования к системе управления рисками без каких-либо значительных недостатков;

2) оценка "частично соответствует" выносится при обнаружении недостатков, которые не считаются достаточными для появления серьезных сомнений относительно способности провайдера услуг цифровых активов в достижении соблюдения конкретного критерия требования к системе управления рисками;

3) оценка "не соответствует" выносится при невыполнении провайдером услуг цифровых активов критерия требований к системе управления рисками.

В случае, если отдельные требования к системе управления рисками не применяются в отношении провайдера услуг цифровых активов, оценка соответствия данному критерию требования не осуществляется и отмечается соответствующей записью "не применимо".

ЗҚАИ-ның ескертпесі!
Қолданысқа енгізілу тәртібін 4-тармақтан қараңыз.

"Қазақстан Республикасындағы цифрлық активтер туралы" Қазақстан Республикасы Заңының 4-бабының 1-тармағы екінші бөлігінің 10) тармақшасына сәйкес Қазақстан Республикасы Ұлттық Банкінің Басқармасы ҚАУЛЫ ЕТЕДІ:

1. Қоса беріліп отырған Қамтамасыз етілмеген цифрлық активтерді айырбастау операторлары, цифрлық қаржы активтері платформасының операторлары, цифрлық активтердің сауда платформасының операторлары үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидалары (бұдан әрі – Қағидалар) бекітілсін.

2. Қазақстан Республикасы Ұлттық Банкінің Төлем жүйелері және цифрлық қаржы технологиялары департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

1) Қазақстан Республикасы Ұлттық Банкінің Заң департаментімен бірлесіп осы қаулыны Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы қаулыны ресми жариялағаннан кейін Қазақстан Республикасы Ұлттық Банкінің ресми интернет-ресурсына орналастыруды;

3) осы қаулы мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Ұлттық Банкінің Заң департаментіне осы тармақтың 2) тармақшасында көзделген іс-шараның орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

3. Осы қаулының орындалуын бақылау Қазақстан Республикасы Ұлттық Банкі Төрағасының жетекшілік ететін орынбасарына жүктелсін.

4. Осы қаулы 2026 жылғы 1 мамырдан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

2026 жылғы 12 шілдеге дейін:

Қағидалардың 2-тармағы 1), 8) және 27) тармақшаларының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақшалар мынадай редакцияда қолданылады деп белгіленсін:

"1) ақпараттық актив – ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын ақпараттық-коммуникациялық инфрақұрылым объектісінің жиынтығы;

8) ақпараттық қауіпсіздік тәуекелі – жасырындылықты бұзу, цифрлық активтер қызметтері провайдерінің ақпараттық активтерінің тұтастығын немесе қолжетімділігін қасақана бұзу салдарынан залалдың туындау ықтималы;

27) ақпараттық технологиялар тәуекелі – ЦАҚП пайдаланатын ақпараттық-коммуникациялық технологиялардың істен шығуы (жұмыс істеуінің бұзылуы) салдарынан залалдың туындау ықтималы;";

Қағидалардың 2-тармағы 16) тармақшасының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақша мынадай редакцияда қолданылады деп белгіленсін:

"16) операциялық тәуекел – стратегиялық тәуекел мен бедел тәуекелін қоспағанда, қызметкерлер (адам ресурстары) тарапынан ішкі процестерді жүзеге асыру барысында жіберілген кемшіліктер немесе қателер және ақпараттық жүйелердің, цифрлық платформалардың (сауда платформаларының) және технологиялардың тиісті емес жұмыс істеу барысы нәтижесінде, сондай-ақ сыртқы оқиғалардың әсерінен шығыстардың (шығындардың) туындау қаупі;";

Қағидалардың 2-тармағы 24) тармақшасының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақша мынадай редакцияда қолданылады деп белгіленсін:

"24) тәуекелдерді басқару жүйесі – акционер (қатысушы) үшін қолайлы тәуекел деңгейі шеңберінде орын алған және әлеуетті тәуекелдерді басқару бойынша бірыңғай процеске біріктірілген және тәуекелдерді басқару мақсаттары мен міндеттеріне қол жеткізуге бағытталған рәсімдердің, әдістемелердің, ақпараттық жүйелердің өзара байланысты элементтерінің жиынтығы. ЦАҚП қызметіне әсер ететін орын алған және әлеуетті тәуекелдерді анықтау және басқару процесіне бекітілген құзырет пен жауапкершілік шегінде ЦАҚП органдары, басшы қызметкерлер мен құрылымдық бөлімшелердің қызметкерлері (жауапты қызметкерлер) қатысады. Орын алған және әлеуетті тәуекелдерді анықтау және басқару процесіне тәуекелді бағалау, тәуекелді өлшеу, тәуекелді бақылау және тәуекелді мониторингтеу кіреді;";

Қағидалардың 3-тармағы 1) тармақшасының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақша мынадай редакцияда қолданылады деп белгіленсін:

"1) ЦАҚП қызметінің таңдалған бизнес моделіне, корпоративтік басқару, ақпараттық жүйелердің, цифрлық платформалардың (сауда платформаларының) және басқару ақпараты жүйелерінің жұмыс істеуі, рұқсат етілген операцияларды жүргізу, активтер мен міндеттемелерді басқару, ЦАҚП есепке алу жүйесінің және ЦАҚП өзге де ақпараттық және коммуникациялық жүйелерінің жұмыс істеуі, сондай-ақ олар қабылдайтын тәуекелдер деңгейі және тиісті өтімділік деңгейінің болуы жөніндегі талаптарға сәйкестігін қамтамасыз ету үшін оларды уақтылы анықтау, өлшеу, бақылау және мониторингтеу арқылы ЦАҚП тәуекелдерін тиімді басқару;";

Қағидалардың 7-тармағы 3), 4) және 5) тармақшаларының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақшалар мынадай редакцияда қолданылады деп белгіленсін:

" 3) ЦАҚП үшін цифрлық активтер қызметтерін көрсету процесі қызметінің іркіліссіз жұмыс істеуін, үздіксіздігін қамтамасыз ету, цифрлық активтер мен өзге де қаржы құралдары бойынша құқықтарды есепке алу, цифрлық активтермен және (немесе) ақшамен есеп айырысу, сондай-ақ тиісті есепке алу жүйелерінде қамтылған мәліметтерді көрсету мақсатында есепке алу жүйелеріне, өзге де ақпараттық және коммуникациялық жүйелерге (цифрлық платформаларға, сауда платформаларына) тұрақты мониторинг жүргізу (қамтамасыз етілмеген цифрлық активтерді алмасу операторын қоспағанда);

4) ЦАҚП өз қызметінде пайдаланатын ақпараттық және коммуникациялық жүйелерді қоса алғанда, ЦАҚП бағдарламалық-техникалық қамтылымына жыл сайынғы ішкі аудит жүргізу;

5) есепке алу жүйелерінің, ақпараттық және коммуникациялық жүйелерінің (цифрлық платформалардың, сауда платформаларының) жұмыс істеуі бөлігінде ЦАҚП қызметін одан әрі дамытуға және жетілдіруге бағытталған жобаларды, ЦАҚП үшін цифрлық активтер қызметтерін көрсету процесін, цифрлық активтер қызметі провайдерінің (қамтамасыз етілмеген цифрлық активтерді алмасу операторын қоспағанда) цифрлық активтер бойынша құқықтарды есепке алуын, цифрлық активтердегі есеп айырысуды, есепке алу жүйелерінде қамтылатын мәліметтерді көрсетуді, ЦАҚП-та жасалатын жекелеген операцияларды автоматтандыруды, сондай-ақ ақпаратты жинау, ендіру, есепке алу, сақтау процесін және ЦАҚП қызметінің өзге де бағыттарын әзірлеу және іске асыру;";

Қағидалардың 34-тармағы 2) тармақшасының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақша мынадай редакцияда қолданылады деп белгіленсін:

"2) технологиялардың, оның ішінде ақпараттық және коммуникациялық технологиялардың қолжетімсіздігі (компьютерлік вирустар, компьютерлік аппараттық құралдардың істен шығуы, байланыстың жоғалуы);";

Қағидалардың 42-тармағы 2) тармақшасының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақша мынадай редакцияда қолданылады деп белгіленсін:

"2) ақпараттық технологиялар саласындағы тиімсіз стратегияларға, саясатқа және (немесе) стандарттарға, бағдарламалық қамтылымды пайдаланудағы кемшіліктерге;";

Қағидалардың 42-тармағы 12) тармақшасының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тармақша мынадай редакцияда қолданылады деп белгіленсін:

"12) тиісті есепке алу жүйелерін қоса алғанда, ЦАҚП бағдарламалық-техникалық қамтылымының жұмысында, сондай-ақ пайдаланылатын ақпараттық және коммуникациялық жүйелер мен технологияларда қателер мен іркілістердің туындау ықтималдығына;";

Қағидалардың 10 және 11-тарауларының қолданысы тоқтатыла тұрсын, тоқтатыла тұру кезеңінде осы тараулар мынадай редакцияда қолданылады деп белгіленсін:

"10-тарау. Ақпараттық технологиялар тәуекелдерін басқару

44. Ақпараттық технологиялар тәуекелдерін басқару жүйесінде мыналар:

1) ақпараттық технологиялар тәуекелдерін басқару саясаты;

2) ақпараттық технологиялар тәуекелдерін басқару рәсімдері;

3) басқарушылық ақпарат жүйесі;

4) ішкі аудит бөлімшесінің (ішкі аудит бойынша жауапты қызметкердің) ақпараттық технологиялар тәуекелдерін басқару жүйесінің тиімділігін бағалауы қамтылады, бірақ олармен шектелмейді.

45. ЦАҚП ақпараттық технологиялар тәуекелдерін басқару жүйесінің мынадай қатысушыларын айқындайды (бірақ олармен шектелмейді):

1) ЦАҚП тәуекелдерін басқару бөлімшесі (жауапты қызметкер);

2) ақпараттық технологиялар бөлімшесі (жауапты қызметкер).

46. ЦАҚП тәуекелдерді басқару жөніндегі құрылымдық бөлімше құрады (жауапты қызметкерді тағайындайды), оның функцияларына ақпараттық технологиялар тәуекелдерін басқару, оған қоса:

1) ақпараттық технологиялар тәуекелдерін басқару жүйесін әзірлеу, ендіру және дамыту;

2) ақпараттық-коммуникациялық технологиялардың қолжетімділігін қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу мен келісуге қатысу;

3) ақпараттық технологиялар тәуекелдерін бағалауға қатысу;

4) ақпараттық технологиялар тәуекелдерінің деңгейіне мониторинг жүргізу;

5) ақпараттық технологиялар тәуекелдерін басқару мәселелері бойынша ЦАҚП құрылымдық бөлімшелерінің (жауапты қызметкерінің) өзара іс-қимылы және консультация беру;

6) ақпараттық технологиялар бөлімшесінің (жауапты қызметкер) ақпараттық технологиялар тәуекелдеріне бағалау жүргізуді жоспарлауы және олар жүргізетін бағалау нәтижелерін талдау;

7) ақпараттық технологиялар тәуекелдерін қамтитын тәуекелдер тізілімін әзірлеу және қалыптастыру;

8) ЦАҚП басқару органына (атқарушы органына, бар болса – бақылаушы кеңесіне) ақпараттық технологияларда елеулі тәуекелдердің орын алуы туралы есептілікті ұсыну және олардың салдарын жою жөніндегі іс-шаралардың орындалуына мониторинг жүргізу;

9) ақпараттық технологиялар тәуекелдерін басқару жөніндегі есептілікті немесе өзге де ақпаратты ЦАҚП басқару органына (атқарушы органына, бар болса – бақылаушы кеңесіне) беру;

10) ақпараттық технологиялар тәуекелдері бөлігінде ішкі аудит нәтижелерін пайдалану кіреді.

47. ЦАҚП ақпараттық технологиялар жөніндегі құрылымдық бөлімшені құрады (жауапты қызметкерді тағайындайды), оның функцияларына мыналар:

1) ақпараттық технологиялар тәуекелдерін бағалау;

2) ақпараттық технологиялар тәуекелдерін өңдеу шараларын әзірлеу және олардың орын алуы жөніндегі есептілікті тәуекелдерді басқару бөлімшесіне ұсыну;

3) ақпараттық технологияларда елеулі тәуекелдердің орын алуы туралы, сондай-ақ олардың салдарын жою туралы есептілікті әзірлеу және ЦАҚП-тың тәуекелдер бөлімшесіне ұсыну;

4) күрделі бизнес-процестер үшін ақпараттық-коммуникациялық технологиялардың қолжетімділігін қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу кіреді.

11-тарау. Ақпараттық қауіпсіздік тәуекелдерін басқару

48. Ақпараттық қауіпсіздік тәуекелдерін басқару жүйесінде мыналар:

1) ақпараттық қауіпсіздік тәуекелдерін басқару саясаты;

2) ақпараттық қауіпсіздік тәуекелдерін басқару рәсімдері;

3) басқарушылық ақпарат жүйесі;

4) ішкі аудит бөлімшесінің (ішкі аудит бойынша жауапты қызметкердің) ақпараттық қауіпсіздік тәуекелдерін басқару жүйесінің тиімділігін бағалауы қамтылады, бірақ олармен шектелмейді.

49. ЦАҚП ақпараттық қауіпсіздік тәуекелдерін басқару жүйесінің мынадай қатысушыларын айқындайды (бірақ олармен шектелмейді):

1) ЦАҚП тәуекелдерін басқару бөлімшесі (жауапты қызметкер);

2) ақпараттық қауіпсіздік бөлімшесі (жауапты қызметкер);

3) ақпараттық технологиялар бөлімшесі (жауапты қызметкер);

4) бөлімшелер-қорғалатын ақпарат иелері.

50. ЦАҚП тәуекелдерді басқару жөніндегі құрылымдық бөлімше құрады (жауапты қызметкерді тағайындайды), оның функцияларына ақпараттық қауіпсіздік тәуекелдерін басқару:

1) ақпараттық қауіпсіздік тәуекелдерін басқару жүйесін әзірлеу, ендіру және дамыту;

2) ақпараттық қауіпсіздікті қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу мен келісуге қатысу;

3) кемінде бөлімшелер-қорғалатын ақпарат иелері қамтылатын ЦАҚП күрделі ақпараттық активтерінің тізбесін қалыптастыру жөніндегі жұмыс тобын құру және оған басшылық ету;

4) ақпараттық қауіпсіздік тәуекелдерін бағалауға қатысу;

5) ақпараттық қауіпсіздік тәуекелдерінің деңгейіне мониторинг жүргізу;

6) ақпараттық қауіпсіздік тәуекелдерін басқару мәселелері бойынша ЦАҚП құрылымдық бөлімшелерінің (жауапты қызметкерінің) өзара іс-қимылы және консультация беру;

7) ақпараттық қауіпсіздік бөлімшесінің (жауапты қызметкер) ақпараттық қауіпсіздік тәуекелдеріне бағалау жүргізуді жоспарлауы және олар жүргізетін бағалау нәтижелерін талдау;

8) ақпараттық қауіпсіздік тәуекелдерін қамтитын тәуекелдер тізілімін әзірлеу және қалыптастыру;

9) ЦАҚП басқару органына (атқарушы органына, бар болса – бақылаушы кеңесіне) ақпараттық қауіпсіздіктің елеулі тәуекелдерінің орын алуы туралы есептілікті ұсыну және олардың салдарын жою жөніндегі іс-шаралардың орындалуына мониторинг жүргізу;

10) ақпараттық қауіпсіздік тәуекелдерін басқару жөніндегі есептілікті немесе өзге де ақпаратты басқару органына (атқарушы органға, бар болса – бақылаушы кеңесіне) ПБО беру;

11) ақпараттық қауіпсіздік тәуекелдері бөлігінде ішкі аудит нәтижелерін пайдалану кіреді.

51. ЦАҚП ақпараттық қауіпсіздік жөніндегі құрылымдық бөлімшені құрады (жауапты қызметкерді тағайындайды), оның функцияларына мыналар:

1) ақпараттық қауіпсіздік тәуекелдерін бағалау;

2) ақпараттық қауіпсіздік тәуекелдерін өңдеу шараларын әзірлеу және олардың орын алуы жөніндегі есептілікті тәуекелдерді басқару бөлімшесіне (жауапты қызметкерге) ұсыну;

3) ақпараттық қауіпсіздіктің елеулі тәуекелдерінің орын алуы туралы, сондай-ақ, олардың салдарын жою туралы есептілікті дайындау және ЦАҚП-тың тәуекелдер бөлімшесіне ұсыну;

4) ақпараттық қауіпсіздікті қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу кіреді.

ЦАҚП тәуекелдерді басқару жөніндегі құрылымдық бөлімшенің (жауапты қызметкердің) ақпараттық қауіпсіздік жөніндегі құрылымдық бөлімшеден (жауапты қызметкерден) бөлек жұмыс істеуін қамтамасыз етеді.

52. Тәуекелдерді басқару бөлімшесі (жауапты қызметкер) ақпараттық қауіпсіздік тәуекелдерін басқару тәртібі айқындалатын ішкі құжатты әзірлейді, онда мыналар қамтылады, бірақ олармен шектелмейді:

1) аса маңызды ақпараттық активтерді анықтау мақсатында ақпараттық активтерді сәйкестендіру және сыныптау рәсімдері;

2) аса маңызды ақпараттық активтердің осал жерлерін сәйкестендіру рәсімдері;

3) аса маңызды ақпараттық активтерге қатысты ықтимал қатерлерді сәйкестендіру рәсімдері;

4) ақпараттық қауіпсіздік тәуекелдерін басқару шараларын сәйкестендіру рәсімдері;

5) сапалық және (немесе) сандық бағалау әдістерін қолдана отырып, оның ішінде оларды іске асыру туралы деректер негізінде ақпараттық активтердің жасырындылығын, тұтастығын және қолжетімділігін бұзу ықтималдығы мен салдарын бағалау рәсімдері;

6) ақпараттық қауіпсіздіктің елеулі тәуекелдерінің орын алуы туралы мәліметтерді жинау және сақтау рәсімдері;

7) ақпараттық қауіпсіздік тәуекелдерін қамтитын тәуекелдер тізілімін қалыптастыру рәсімдері;

8) ақпараттық қауіпсіздік тәуекелдерін өңдеу шараларының орындалуына мониторинг жүргізу рәсімдері.".

Қазақстан Республикасы
Ұлттық Банкінің Төрағасы

Т. Сулейменов

Қазақстан Республикасы
Ұлттық Банкінің
Төрағасы
2026 жылғы 29 сәуірдегі
№ 47 қаулымен бекітілген

Қамтамасыз етілмеген цифрлық активтерді айырбастау операторлары, цифрлық қаржы активтері платформасының операторлары, цифрлық активтердің сауда платформасының операторлары үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидалары

1-тарау. Жалпы ережелер

1. Осы қамтамасыз етілмеген цифрлық активтерді айырбастау операторлары, цифрлық қаржы активтері платформасының операторлары, цифрлық активтердің сауда платформасының операторлары үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидалары (бұдан әрі – Қағидалар) "Қазақстан Республикасындағы цифрлық активтер туралы" Қазақстан Республикасы Заңының (бұдан әрі – Цифрлық активтер туралы заң) 4-бабының 1-тармағы екінші бөлігінің 10) тармақшасына сәйкес әзірленді және онда қамтамасыз етілмеген цифрлық активтерді айырбастау операторлары, цифрлық қаржы активтері платформасының операторлары, цифрлық активтердің сауда платформасының операторлары (бұдан әрі –ЦАҚП) үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру тәртібі айқындалады.

2. Қағидаларда цифрлық активтер туралы Заңда және "Бағалы қағаздар нарығы туралы" Қазақстан Республикасының Заңында көзделген ұғымдар, сондай-ақ мынадай ұғымдар пайдаланылады:

1) ақпараттық актив – ақпараттың және оны сақтауға және (немесе) өңдеуге пайдаланылатын цифрлық инфрақұрылым объектісінің жиынтығы;

2) алаяқтық және заңсыз оқиғалар қаупі – үшінші тұлғалар және (немесе) ЦАҚП қызметкерлері тарапынан алаяқтық, есірткілерді заңсыз өндіруге, айналымға және (немесе) транзитке, қаржы пирамидаларының қызметін ұйымдастыруға байланысты операцияларда цифрлық активтермен Қызметтерді пайдалану салдарынан және ЦАҚП құқыққа қарсы әрекеттерге тартуы, қаржылық шығындар мен беделді тәуекелдердің туындау ықтималдығы электрондық казино мен интернет-казинолардың, сондай-ақ шетелдік букмекерлік кеңселердің және (немесе) тотализаторлардың пайдасына төлемдер және (немесе) ақша аударымдары, Қазақстан Республикасында ойын бизнесі саласындағы қызметпен айналысу құқығына лицензиясы жоқ;

3) баға тәуекелі – ЦАҚП меншікті активтері есебінен сатып алынған цифрлық активтер мен қаржы құралдарының нарықтық құнына әсер ететін цифрлық активтер нарығы мен қаржы нарықтарындағы шарттар өзгерген жағдайда туындайтын цифрлық активтер мен қаржы құралдары құнының өзгеруі салдарынан шығыстардың (шығындардың) туындау ықтималдығы;

4) бедел тәуекелі – ЦАҚП теріс қоғамдық пікірдің туындауы немесе сенімнің төмендеуі салдарынан шығыстардың (шығындардың) туындау ықтималдығы;

5) бэк-тестинг – ЦАҚП бойынша тарихи деректерді пайдаланумен және есептелген нәтижелерді көрсетілген операцияларды жасаудың ағымдағы (нақты) нәтижелерімен салыстыра отырып тәуекелдерді өлшеу рәсімдерінің тиімділігін тексеру әдістері;

6) валюталық тәуекел – ЦАҚП өз қызметін жүзеге асырған кезде шетел валюталары бағамдарының өзгеруімен байланысты шығыстардың (шығындардың) туындау ықтималдығы. Шығыстардың (шығындардың) қауіптілігі валюталар бойынша позицияларды құндық мәнде қайта бағалаудан туындайды;

7) заңдық (құқықтық) тәуекел - ЦАҚП Қазақстан Республикасы заңнамасының талаптарын бұзуы, оның ішінде ЦАҚП ішкі құжаттарының Қазақстан Республикасы Ұлттық Банкінің нормативтік құқықтық актілерінің талаптарына сәйкес келмеуі, ЦАҚП қызмет практикасының оның ішкі құжаттарына сәйкес келмеуі, ал Қазақстан Республикасының бейрезиденттеріне қатысты - басқа мемлекеттердің заңнамасының талаптарын бұзу салдарынан шығыстардың (шығындардың) туындау тәуекелі;

8) киберқауіпсіздік тәуекелі – жасырындылықты бұзу, цифрлық активтер қызметтері провайдерінің ақпараттық активтерінің тұтастығын немесе қолжетімділігін қасақана бұзу салдарынан залалдың туындау ықтималы;

9) кредиттік тәуекел – эмитенттің немесе контрагенттің шығарылған цифрлық қаржы активтері немесе келісілген талаптарға сәйкес жасалған мәмілелер бойынша өз міндеттемелерін орындамауы, сондай-ақ клиенттердің ЦАҚП қызметтерін төлемеуі немесе уақтылы төлемеуі салдарынан шығыстардың (шығындардың) туындау ықтималдығы;

10) корпоративтік басқару – ЦАҚП тиімді жұмыс істеуін қамтамасыз етуге, оның акционерлерінің (қатысушыларының) құқықтары мен мүдделерін қорғауға бағытталған, ЦАҚП жоғарғы органы, басқару органы, атқарушы органы және өзге де органдары арасындағы өзара қарым-қатынастар кешенін білдіретін және акционерлерге ЦАҚП қызметіне тиімді бақылау мен мониторинг жасау мүмкіндігін беретін ЦАҚП стратегиялық және тактикалық басқару жүйесі;

11) комплаенс-тәуекел – цифрлық активтер нарығында қызметтер көрсету және операциялар жүргізу тәртібін регламенттейтін ЦАҚП мен оның қызметкерлерінің Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасының заңының, қаржы нарығы мен қаржы ұйымдарын мемлекеттiк реттеу, бақылау және қадағалау туралы, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар нарығы, бухгалтерлік есеп пен қаржылық есептілік туралы, қылмыстық жолмен алынған кірістерді заңдастыруға (жылыстатуға), терроризмді қаржыландыруға және жаппай қырып-жою қаруын таратуды қаржыландыруға қарсы іс-қимыл туралы (бұдан әрі – КЖ/ТҚ/ЖҚҚТҚ), акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы Қазақстан Республикасы заңнамасының, ЦАҚП ішкі құжаттарының талаптарын, сондай-ақ ЦАҚП қызметіне ықпал ететін шет мемлекеттердің заңнамасын сақтамауы салдарынан шығындардың туындау ықтималы;

12) қызметтің аса маңызды түрі – тұтастай алғанда ЦАҚП тұрақтылығы оның жұмыс істеу үздіксіздігіне байланысты болатын қызмет түрі;

13) меншікті активтерді инвестициялау саясаты – инвестициялау объектілерінің тізбесін, ЦАҚП меншікті активтеріне қатысты инвестициялық қызметтің мақсаттарын, стратегияларын, шарттары мен шектеулерін, ЦАҚП меншікті активтерін хеджирлеу және әртараптандыру шарттарын айқындайтын құжат;

14) мүдделер қақтығысы – активтер ЦАҚП лауазымды адамдарының, оның акционер (қатысушыларының) және (немесе) оның қызметкерлерінің жеке мүдделері мен олардың өздерінің қызметтік өкілеттіктерін тиісінше орындауы немесе ЦАҚП және (немесе) оның қызметкерлерінің және (немесе) клиенттерінің мүліктік және өзге де мүдделері арасында ЦАҚП үшін және (немесе) оның клиенттері үшін жағымсыз салдарға әкелетін қайшылық туындайтын жағдай. ЦАҚП ЦАҚП ретінде әрекет ете отырып, өз мүдделерінен, өз қызметкерлерінің мүдделерінен, акционер (қатысушылары) және үлестес тұлғалардан клиенттің мүдделерінің басымдылығы негізге алынады;

15) операциялық тәуекел – стратегиялық тәуекел мен бедел тәуекелін қоспағанда, қызметкерлер (адам ресурстары) тарапынан ішкі процестерді жүзеге асыру барысында жіберілген кемшіліктер немесе қателер және цифрлық жүйелердің, цифрлық платформалардың (сауда платформаларының) және технологиялардың тиісті емес жұмыс істеу барысы нәтижесінде, сондай-ақ сыртқы оқиғалардың әсерінен шығыстардың (шығындардың) туындау ықтималдығы;

16) өтімділікті жоғалту тәуекелі – ЦАҚП өз міндеттемелерін ықтимал орындамауына не уақтылы орындамауына байланысты тәуекел. Бағалы қағаздардың активтер ретінде өтiмдiлiгiн жоғалту тәуекелі олардың төмен шығасыларымен және қолайлы бағалар бойынша тез сатылу мүмкіндігімен айқындалады;

17) стратегиялық тәуекел – шешім қабылдау кезінде жол берілген, ЦАҚП стратегиялық дамуын айқындайтын және ЦАҚП қызметіне тән ықтимал қауіптерді жеткіліксіз ескеруде, қызметтің перспективті бағыттарын жеткіліксіз негіздеп айқындауда көрінетін, онда ЦАҚП стратегиялық мақсаттарына қол жеткізуді қамтамасыз ететін қажетті ресурстар мен ұйымдастыру шараларының болуы немесе толық емес көлемін қамтамасыз етуі бәсекелестер алдында артықшылыққа жеткізетін қателер (кемшіліктер) нәтижесінде шығындардың туындау ықтималдығы;

18) стресс-тестілеу – ЦАҚП қызметіне әсер ететін айрықша, бірақ ықтимал оқиғалардың ЦАҚП қаржылық жағдайына әлеуетті әсерін өлшеу әдістері;

19) стрестік жағдайлар – цифрлық активтер қызметтерінің провайдері жүйелерінің (цифрлық платформалар, сауда платформалары) жұмыс істеуінде шамадан тыс жүктеме, іркілістер, қателер және (немесе) өзге де ақаулар туындауының күтпеген жағдайлары;

20) тәуекел – күтілетін немесе күтпеген оқиғалар ЦАҚП қызметіне, оның капиталына және (немесе) кірісіне теріс әсер ететін ықтималдық;

21) тәуекел бейіні – тәуекел түрлерінің және әлсіз жақтарын анықтау және тәуекелдерді басқару жүйесі шеңберінде кейінгі іс-әрекеттердің басымдығын айқындау үшін ЦАҚП қызметінің барлық түріне тән тәуекелдердің ЦАҚП әсер ету дәрежесін сипаттайтын өзге де мәліметтердің жиынтығы;

22) тәуекел дәрежесі – ЦАҚП стратегияны іске асыру кезінде қабылдауға дайын не алып тастауға ниетті болатын маңызды тәуекелдердің біріктірілген деңгейі (деңгейлері) (тәуекелдің жол берілетін мөлшерінің лимиттері);

23) тәуекелдерді басқару жүйесі – акционер (қатысушы) үшін қолайлы тәуекел деңгейі шеңберінде орын алған және әлеуетті тәуекелдерді басқару бойынша бірыңғай процеске біріктірілген және тәуекелдерді басқару мақсаттары мен міндеттеріне қол жеткізуге бағытталған рәсімдердің, әдістемелердің, цифрлық жүйелердің өзара байланысты элементтерінің жиынтығы. ЦАҚП қызметіне әсер ететін орын алған және әлеуетті тәуекелдерді анықтау және басқару процесіне бекітілген құзырет пен жауапкершілік шегінде ЦАҚП органдары, басшы қызметкерлер мен құрылымдық бөлімшелердің қызметкерлері (жауапты қызметкерлер) қатысады. Орын алған және әлеуетті тәуекелдерді анықтау және басқару процесіне тәуекелді бағалау, тәуекелді өлшеу, тәуекелді бақылау және тәуекелді мониторингтеу кіреді;

24) тәуекелдер матрицасы – ЦАҚП ішкі құжатында көзделген тәртіппен әлеуетті тәуекелдерді анықтауға, бағалауға және көрсетуге арналған құралдар;

25) тәуекел мәдениеті – ЦАҚП қызметіне тәуекелдердің әсерін барынша азайту мақсатында оларды түсінуге, қабылдауға, басқару мен бақылауға бағытталған ЦАҚП процестері, рәсімдері, ішкі қағидалары, сондай-ақ ұйымдық құрылымның барлық қатысушысының кәсіби қызметінің этикалық нормалары мен стандарттары;

26) ұйымдық құрылым – бағыныстылық, есеп беру құрылымын көрсететін, ЦАҚП ішкі құжатында және (немесе) ішкі құжаттарының жиынтығында көзделген ЦАҚП басқару органдарының (атқарушы органдарының), басшы қызметкерлердің және құрылымдық бөлімшелерінің сандық құрамы мен жүйесі;

27) цифрлық технологиялар тәуекелі – ЦАҚП пайдаланатын цифрлық технологиялардың істен шығуы (жұмыс істеуінің бұзылуы) салдарынан залалдың туындау ықтималы;

28) ішкі аудит қызметі (ішкі аудит бойынша жауапты қызметкер) – ЦАҚП ұйымдық-құқықтық нысанына қарай Қазақстан Республикасының акционерлік қоғамдар және жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасына сәйкес құрылған ЦАҚП бөлімшесі (жауапты қызметкері);

29) ішкі бақылау жүйесі – ЦАҚП ұзақ мерзімді рентабельділік мақсаттарын іске асыруын және Қазақстан Республикасының заңнамасын, ЦАҚП саясатын, ішкі қағидалар мен рәсімдерді сақтауға, ЦАҚП шығын тәуекелін немесе бедел тәуекелін төмендетуге ықпал ететін қаржылық және басқару есептілігінің сенімді жүйесін қолдауды қамтамасыз ететін рәсімдер мен ішкі бақылау саясаттарының жиынтығын білдіретін тәуекелдерді басқару жүйесінің бөлігі;

30) ішкі құжаттар – ЦАҚП, оның органдары, бөлімшелері (жауапты қызметкерлері) және бөлімшелер қызметкерлері қызметінің шарттары мен тәртібін реттейтін құжаттар.

2-тарау. Тәуекелдерді басқару жүйесін ұйымдастыру

3. Қағидалардың мақсаты ЦАҚП тәуекелдерді басқару және ішкі бақылау жүйелерін қалыптастыруына қойылатын талаптарды мыналарды қамтамасыз ету:

1) ЦАҚП қызметінің таңдалған бизнес моделіне, корпоративтік басқару, цифрлық жүйелердің, цифрлық платформалардың (сауда платформаларының) және басқару ақпараты жүйелерінің жұмыс істеуі, рұқсат етілген операцияларды жүргізу, активтер мен міндеттемелерді басқару, ЦАҚП есепке алу жүйесінің және ЦАҚП өзге де цифрлық және коммуникациялық жүйелерінің жұмыс істеуі, сондай-ақ олар қабылдайтын тәуекелдер деңгейі және тиісті өтімділік деңгейінің болуы жөніндегі талаптарға сәйкестігін қамтамасыз ету үшін оларды уақтылы анықтау, өлшеу, бақылау және мониторингтеу арқылы ЦАҚП тәуекелдерін тиімді басқару;

2) корпоративтік басқарудың тиісті практикасы және іскерлік этика мен тәуекел мәдениетінің тиісті деңгейі;

3) ЦАҚП-тың және оның қызметкерлерінің Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының, Қазақстан Республикасының қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар нарығы туралы, бухгалтерлік есеп пен қаржылық есептілік туралы, КЖ/ТҚ/ЖҚҚТҚҚ туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнаманың, ішкі саясаттардың, рәсімдердің және ЦАҚП-тың цифрлық активтер нарығында қызметтер көрсету және операциялар жүргізу тәртібін регламенттейтін өзге де ішкі құжаттарының, сондай-ақ ЦАҚП қызметіне ықпал ететін шет мемлекеттер заңнамасының талаптарын орындауы;

4) ЦАҚП-тың және оның қызметкерлерінің қызметіндегі кемшіліктерді уақтылы анықтау және жою;

5) ЦАҚП-та күтпеген немесе төтенше жағдайларды шешу үшін барабар тетіктер құру;

6) ұсынылатын ақпаратты адал, тиісті сақтықпен және ұқыптылықпен (duty of care) жан-жақты бағалау негізінде ЦАҚП мүддесінде шешімдер мен іс-әрекеттерді ұтымды қабылдау;

7) ЦАҚП қызметкерлері мен лауазымды адамдарының адал шешім қабылдауы;

8) барлық құрылымдық бөлімшелер мен ЦАҚП қызметкерлері арасында тәуекелдерді басқару функцияларын, міндеттері мен өкілеттіктерін және мүдделер қақтығысын барынша азайтуды ескере отырып, олардың жауапкершілігін бөлу;

9) тәуекелдерді басқару және ішкі бақылау функцияларын ЦАҚП операциялық қызметінен мыналарды қамтитын:

бірінші желі – құрылымдық бөлімшелер немесе ЦАҚП бизнес бөлімшелерінің қызметкерлері деңгейінде;

екінші желі – тәуекелдерді басқару бойынша және бақылау функцияларын орындайтын бөлімше (жауапты қызметкер) деңгейінде;

үшінші желі – тәуекелдерді басқару жүйесінің жұмыс істеу тиімділігін бағалау бөлігінде ішкі аудит бөлімшесі (жауапты қызметкер) деңгейінде үш қорғау желісі жүйесін құру арқылы бөлу;

ЦАҚП қызметінің өз мөлшерін, маңыздылығын, сипатын, ауқымын және аса маңыздылығын есепке алуды көздейтін үш қорғау желісін қалыптастыруда ЦАҚП тәуекелге бағдарланған тәсілді қолданады.

Тәуекелдерді басқару және ішкі бақылау мәселелері бойынша ЦАҚП бөлімшелері (жауапты қызметкерлері) арасында ақпарат алмасу ішкі құжаттарға сәйкес жүзеге асырылады.

10) ЦАҚП қызметін регламенттеу, ЦАҚП-та тәуекелдерді басқару мен ішкі бақылаудың тиімді жүйелерін құру және олардың жұмыс істеуі мақсатында әзірленген және ЦАҚП-тың стратегиясына, ұйымдық құрылымына, тәуекелдер бейініне және Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының, Қазақстан Республикасының қаржы нарығы мен қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар рыногы туралы, бухгалтерлік есеп пен қаржылық есептілік туралы, КЖ/ТҚ/ЖҚҚТҚҚ туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасының талаптарына сәйкес келетін құжаттардың болуы, сондай-ақ оларды мерзімді түрде қайта қарау және жаңарту;

11) ішкі бақылаудың тиімді жүйесін құру арқылы тәуекелдерді басқару бойынша ЦАҚП-тың қолданыстағы рәсімдерін, процестерін, саясатын және өзге де ішкі құжаттарын сақтау арқылы айқындау болып табылады.

4. ЦАҚП жылына бір реттен сиретпей ЦАҚП-тың ішкі құжатында көзделген тәртіппен ЦАҚП-тың қызметіне әсер ететін негізгі тәуекелдер бойынша стресс-тестілеу жүргізеді.

Сауда-саттықты ұйымдастыру және өткізу бөлігінде операциялық тәуекел бойынша стресс-тестілеу цифрлық активтердің сауда платформасы операторының сауда платформасын:

1) пайдаланушылардың қосылу санын, ақпарат ағынын өткізе алуын, өтінімдер беру және мәмілелер жасау жылдамдығын, негізгі және (немесе) қосалқы серверлерде сауда платформасы компоненттерінің істен шығуын қамтитын сауда платформасы элементтерінің жұмыс істеуінің стрестік жағдайларын модельдеу;

2) желілік қосылуларды, операциялық жүйені, дерекқорды, сауда платформасында авторизациядан өту (қол жеткізу) деңгейін, пайдаланушылар санын, ақпарат ағынын, сауда-саттық көлемін, негізгі және (немесе) қосалқы серверге жүктемені (күрделі жүктеме деңгейін көрсете отырып) қоса алғанда, стрестік жағдайларды және сауда платформасы элементтерінің жұмыс істеу параметрлерін іріктеу, құрамдастыру және модельдеу тұрғысынан тестілеу жолымен жүргізіледі.

5. ЦАҚП жылына бір реттен сиретпей ЦАҚП-тың ішкі құжатында көзделген тәртіппен бэк-тестинг, атап айтқанда ЦАҚП-тың қызметі бойынша тарихи деректерді пайдалана отырып және стресс-тестілеу жүргізу нәтижесінде есептелген нәтижені цифрлық активтермен және (немесе) қаржы құралдарымен операциялар жасаудан алған ағымдағы (нақты) нәтижемен салыстыра отырып, тәуекелдерді өлшеу рәсімдерінің тиімділігін тексеруді жүргізеді.

6. ЦАҚП ЦАҚП-тың қызметіне және цифрлық активтермен және (немесе) қаржы құралдарымен мәмілелер жасауға қатысты шешімдер қабылдау кезінде тәуекелдерді бағалау және тұрақты стресс-тестілеу мен бэк-тестингтер нәтижесін пайдаланатын басқару органына (атқарушы органға, бар болса – бақылаушы кеңеске) тәуекелдерді басқару рәсімдерін жетілдіру бойынша ұсыныстары бар стресс-тестілеу мен бэк-тестингтер нәтижесін ұсынады.

7. ЦАҚП тәуекелдерін басқару жүйесінде оның қызметінің мына:

1) цифрлық активтермен және ақшамен операциялар бойынша есеп айырысу және (немесе) сауда-саттық процесін жүргізу және әкімшілендіру;

2) цифрлық қаржы активтерінің эмитенттері және ЦАҚП клиенттері ұсынатын ақпаратты жинау, енгізу, сақтау және тарату (цифрлық қаржы активтерінің эмитенті қамтамасыз етілмеген цифрлық активтерді алмасу операторына ақпарат бермейді);

3) ЦАҚП үшін цифрлық активтер қызметтерін көрсету процесі қызметінің іркіліссіз жұмыс істеуін, үздіксіздігін қамтамасыз ету, цифрлық активтер мен өзге де қаржы құралдары бойынша құқықтарды есепке алу, цифрлық активтермен және (немесе) ақшамен есеп айырысу, сондай-ақ тиісті есепке алу жүйелерінде қамтылған мәліметтерді көрсету мақсатында есепке алу жүйелеріне, өзге де цифрлық және коммуникациялық жүйелерге (цифрлық платформаларға, сауда платформаларына) тұрақты мониторинг жүргізу (қамтамасыз етілмеген цифрлық активтерді алмасу операторын қоспағанда);

4) ЦАҚП өз қызметінде пайдаланатын цифрлық және коммуникациялық жүйелерді қоса алғанда, ЦАҚП бағдарламалық-техникалық қамтылымына жыл сайынғы ішкі аудит жүргізу;

5) есепке алу жүйелерінің, цифрлық және коммуникациялық жүйелерінің (цифрлық платформалардың, сауда платформаларының) жұмыс істеуі бөлігінде ЦАҚП қызметін одан әрі дамытуға және жетілдіруге бағытталған жобаларды, ЦАҚП үшін цифрлық активтер қызметтерін көрсету процесін, цифрлық активтер қызметі провайдерінің (қамтамасыз етілмеген цифрлық активтерді алмасу операторын қоспағанда) цифрлық активтер бойынша құқықтарды есепке алуын, цифрлық активтердегі есеп айырысуды, есепке алу жүйелерінде қамтылатын мәліметтерді көрсетуді, ЦАҚП-та жасалатын жекелеген операцияларды автоматтандыруды, сондай-ақ ақпаратты жинау, ендіру, есепке алу, сақтау процесін және ЦАҚП қызметінің өзге де бағыттарын әзірлеу және іске асыру;

6) ішкі құжаттарды, оның ішінде ЦАҚП-тың ішкі құжатында көзделген тәртіпке сәйкес ЦАҚП-тың меншікті активтерін цифрлық активтерге және (немесе) қаржы құралдарына инвестициялау саясатын әзірлеу және бекіту;

7) ЦАҚП-ты басқарудың ұйымдық-функционалдық құрылымын құру және жетілдіру;

8) шешім қабылдау үшін қажетті ақпаратты ЦАҚП мүдделі органдарына ұсыну және ЦАҚП органдары мен бөлімшелері (жауапты қызметкерлері) арасында ақпаратпен алмасу;

9) ЦАҚП және оның қызметкерлерінің Қазақстан Республикасының цифрлық активтер туралы, бағалы қағаздар нарығы туралы заңнамасында, ЦАҚП-тың тәуекелдерді басқару саласындағы ішкі саясатында белгіленген талаптарды сақтау мониторингі;

10) ЦАҚП-тың клиенттермен жұмыс жүргізуді ұйымдастыру тәртібін айқындау, оның ішінде дауларды қарау және шешу рәсімдерін, сондай-ақ цифрлық қаржы активтерінің платформасы операторларының және (немесе) цифрлық активтердің сауда платформасы операторларының клиенттер, оның ішінде цифрлық қаржы активтерінің эмитенттері мен цифрлық қаржы активтерін ұстаушылары өз міндеттемелерін орындамаған жағдайда, тиісті шараларды қолдану тәртібін айқындау;

11) ЦАҚП есепке алу жүйесінде операциялар (мәмілелер) туралы ақпаратты ЦАҚП қалыптастыру, жүргізу және сақтау бағыттары қамтылады.

Осы Қағидалардың ережелері "Қор биржасы үшін тәуекелдерді басқару мен ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2015 жылғы 19 желтоқсандағы № 252 Қаулысымен (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 12999 болып тіркелген) реттелмеген бөлігінде қор биржасына қолданылады.

Осы Қағидалардың ережелері орталық депозитарийге "Орталық депозитарий үшін тәуекелдерді басқару және ішкі бақылау жүйесін қалыптастыру қағидаларын бекіту туралы" Қазақстан Республикасы Ұлттық Банкі Басқармасының 2018 жылғы 28 желтоқсандағы № 318 Қаулысымен (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 18180 болып тіркелген) реттелмеген бөлігінде қолданылады.

8. Тәуекелдерді басқару жүйесі мына ішкі құжаттардың:

1) ЦАҚП тәуекелдерді басқару саясаты;

2) ЦАҚП меншікті активтерін инвестициялау тәртібі;

3) ішкі бақылау мен ішкі аудитті жүзеге асыру рәсімдері;

4) КЖ/ТҚ/ЖҚҚТҚҚ бағытталған рәсімдер;

5) ЦАҚП орын алған және потенциалды мүдде қақтығысын басқару рәсімі;

6) ЦАҚП басшылары мен өзге қызметкерлері инсайдерлік ақпаратты қолдануына жол бермеуге бағытталған рәсімдер;

7) цифрлық активтермен жасалған мәмілелер бойынша есеп айырысуды жүзеге асыру тәртібі;

8) цифрлық активтерді аудару рәсімі және цифрлық активтерді жөнелтуші мен алушы туралы ақпаратты жинау және сақтау тәртібі;

9) ЦАҚП-тың ақпараттық саясаты;

10) техникалық қауіпсіздік бойынша нұсқаулық болуын көздейді, бірақ олармен шектелмейді;

11) алаяқтық және құқыққа қарсы инциденттер тәуекелдерін басқару саясаты.

Тәуекел-мәдениет ЦАҚП қызметінің қолданыстағы бекітілген рәсімдерін, процестері мен тетіктерін толықтырады және тәуекелдерді басқару жүйесінің ажырамас компоненті болып табылады.

9. ЦАҚП жыл сайынғы негізде ЦАҚП-тың Қағидаларға 1-қосымшаға сәйкес нысан бойынша және ішкі құжаттарында көзделген тәртіппен тәуекелдерді басқару және ішкі бақылау жүйесін бағалауды (бұдан әрі – Жыл сайынғы бағалау) жүзеге асырады.

10. Жыл сайынғы бағалау қорытындылары бойынша Қағидаларға қосымшаға сәйкес нысан бойынша тәуекелдерді басқару жүйесіне қойылатын талаптардың орындалуын бағалау туралы есеп ресімделеді, ол есепті жылдан кейінгі бірінші тоқсаннан кешіктірілмей Қазақстан Республикасының Ұлттық Банкіне жіберіледі.

11. Тәуекелдерді басқару жүйесін қалыптастыру міндеттері мыналар:

1) тәуекелдерді және қауіптерді уақтылы анықтау;

2) тәуекелдер көрсеткіштерінің рұқсат етілетін ең жоғары мәндерін бағалаудың сапасын арттыру;

3) тәуекелдерді бақылаудың балама тетіктерін дамыту;

4) тәуекелдерді барынша азайту және басқару бойынша уақтылы шараларды қабылдауды қамтамасыз ету;

5) тәуекелдерді басқару бөлімшесін қоса алғанда, ЦАҚП-тың жекелеген құрылымдық бөлімшелерін тәуекелдерге мониторинг жүргізу және бағалау процесіне тарту, сондай-ақ ЦАҚП қызметкерлерінің тәуекелдерді басқару саласындағы жауапкершілігін арттыру.

12. ЦАҚП-тың тәуекелдерді басқару жүйесінде ЦАҚП-тың ішкі құжаттарында көзделген тәртіпке сәйкес жүзеге асырылатын тәуекелді сәйкестендіруді, өлшеуді, бағалауды, бақылауды және мониторинг жүргізуді қамтиды.

13. ЦАҚП-тың тәуекелдерді басқару бөлімшесінің басшысы (тәуекелдерді басқару жөніндегі жауапты қызметкерлер) және (немесе) ЦАҚП-тың тәуекелдерді басқару бөлімшесі қызметкерлерінің жоғары білімі бар, кәсіби құзыреті және тәуекелдерді басқару саласында кемінде үш жыл жұмыс тәжірибесі бар, сондай-ақ Қазақстан Республикасының қаржы заңнамасын және Қазақстан Республикасының цифрлық активтер, бағалы қағаздар нарығы туралы заңнамасын біледі.

14. Тәуекелдерді басқару бөлімшесінің басшысы мен қызметкерлеріне қойылатын қосымша талаптарды ЦАҚП белгілейді.

15. ЦАҚП өз қызметінде тәуекелдердің мына түрлерін:

1) операциялық тәуекелдерді;

2) заңдық (құқықтық) тәуекелдерді;

3) бедел тәуекелдерін;

4) нарықтық (бағалық, валюталық және пайыздық) тәуекелдерді;

5) кредиттік тәуекелдерді;

6) өтімділікті жоғалту тәуекелдерін;

7) ЦАҚП-тың тәуекелдерді басқару саясатына сәйкес айқындалатын тәуекелдерді жіктейді және сәйкестендіреді.

16. Тәуекелдерді сәйкестендіру, бағалау және бақылау процесінің мақсаты мыналар:

1) сәйкестендірмеген тәуекелдер мен қауіпті уақтылы анықтау;

2) тәуекелдер көрсеткіштерінің барынша рұқсат етілген міндерін бағалау сапасын көтеру;

3) тәуекелдерді бақылаудың баламалы тетіктерін дамыту;

4) тәуекелдерді барынша төмендету мен басқару бойынша уақтылы іс-шараларды қабылдауды қамтамасыз ету;

5) тәуекелдерді басқару бөлімшесін қоса алғанда, ЦАҚП-тың жекелеген бөлімшелерін тәуекелдерді сәйкестендіру мен бағалау процесіне тарту, сондай-ақ ЦАҚП қызметкерлерінің тәуекелдерді басқару саласында жауапкершілігін арттыру.

17. Тәуекелдерді сәйкестендіру рәсімі бөлімше қызметінің түріне байланысты тәуекелдерді басқару бөлімшесімен бірге ЦАҚП-тың әр бөлімшесі жүзеге асыратын мұқият шолу мен мониторингке негізделеді.

Сәйкестендіру тәуекелдері мына сипаттар:

1) тәуекелдердің басталу жиілігі;

2) тәуекелдердің ықпал ету көлемі бойынша талданады.

Талдау нәтижесі негізінде тәуекелдің шекті ретінде айқындалған көрсеткішінің мәніне байланысты қолайлы және қолайсыз ретінде сараланады.

18. ЦАҚП-тың құқықтық қамтамасыз ету бөлімшесі (заң бөлімшесі немесе құқықтық қамтамасыз ету жөніндегі жауапты қызметкер) ЦАҚП Қазақстан Республикасы заңнамасының талаптарын бұзуы, оның ішінде ЦАҚП-тың ішкі құжаттары Қазақстан Республикасы Ұлттық Банкінің нормативтік құқықтық актілерінің талаптарына сәйкес келмеуі, сондай-ақ ЦАҚП қызметінің практикасы оның ішкі құжаттарына сәйкес келмеуі, сондай-ақ жасалған шарттардың талаптарын бұзу салдарынан туындайтын заңдық (құқықтық) тәуекелдерді реттеуді қамтамасыз етеді.

19. ЦАҚП жұртшылықпен қатынастар жөніндегі бөлімшесі (жауапты қызметкері) тәуекелдерді басқару жөніндегі бөлімшемен бірлесіп, ЦАҚП-тың ішкі құжаттарында көзделген тәртіппен бедел тәуекелдерін бақылауды, мониторингтеуді, сондай-ақ барынша азайтуды қамтамасыз етеді.

20. ЦАҚП есепті жылдан кейінгі жылғы 1 сәуірден кешіктірмей, жыл сайын Қазақстан Республикасының Ұлттық Банкіне Қағидаларға қосымшаға сәйкес нысан бойынша тәуекелдерді басқару жүйесіне қойылатын талаптардың орындалуын бағалау туралы есепті ұсынады.

3-тарау. Бизнес үлгі

21. ЦАҚП бизнес үлгісі – бұл ЦАҚП-тың бәсекеге қабілеттілігін және кірістілігінің жеткілікті деңгейін қамтамасыз ететін таңдалған стратегияның, өнімдердің, жоспарлау процестерінің жиынтығы.

22. ЦАҚП бизнес үлгісін қалыптастыру кезіндегі негізгі қағидаттар:

1) ЦАҚП-тың таяудағы 12 (он екі) айда кірістіліктің жеткілікті деңгейін қамтамасыз ету қабілетін білдіретін және бюджеттік жоспарлау мен қаржылық көрсеткіштерді болжауға негізделген жұмыс істеу қабілеті;

2) ЦАҚП-тың кемінде 3 (үш) жылдық кезеңде кірістіліктің жеткілікті деңгейін қамтамасыз ету қабілетін білдіретін және қаржылық көрсеткіштерді стратегиялық жоспарлау мен болжауға негізделген орнықтылық.

ЦАҚП-тың қызметіне тән стратегиялық тәуекелдер мен тәуекелдердің әсерін бағалау мақсатында бизнес үлгіге тұрақты талдау жүргізеді.

ЦАҚП қызметі таңдалған бизнес модель шеңберінде активтердің көлемін, қызметтің сипаты мен аса маңыздылық деңгейін, ұйымдық құрылымын, тәуекел-бейінін ескере отырып, жүзеге асырылады.

23. ЦАҚП стратегиясын басқару органы (атқарушы орган, бар болса – бақылаушы кеңес) кемінде 3 (үш) жылдық кезеңге бекітеді.

24. ЦАҚП стратегиясының мазмұны (құрылымы) ЦАҚП ішкі құжаттарымен айқындалады.

25. ЦАҚП стратегиясы бұрын ЦАҚП қызметіне теріс әсер еткен факторларды болдырмау үшін бэк-тестинг нәтижелерін ескере отырып жасалады және жетілдіріледі.

4-тарау. Тәуекел дәрежесінің стратегиясы

26. Тәуекелдерді басқарудың тиімді жүйесін құру мақсатында басқару органы (атқарушы орган, бар болса – бақылаушы кеңес) тәуекел дәрежесінің стратегиясын жеке құжат ретінде не ЦАҚП стратегиясының құрамдас бөлігі ретінде бекітеді.

27. Тәуекел дәрежесінің стратегиясы ЦАҚП-ның жалпы стратегиясын іске асыру шеңберінде қызметін жүзеге асыратын қабылданатын тәуекелдер көлемінің нақты шектерін айқындайды, сондай-ақ тәуекелдерді іске асыруға жол бермеу не олардың ЦАҚП қызметіне теріс әсерін азайту мақсатында ЦАҚП қызметінің тәуекел-бейінін айқындайды. Тәуекел дәрежесінің стратегиясы:

1) Қағидалардың 3-тарауында айқындалған ЦАҚП стратегиялық және бюджеттік жоспарлау кезінде;

2) ЦАҚП ұйымдық құрылымын және Қағидалардың 5-тарауында айқындалған еңбекақы төлеу саясатын қалыптастыру кезінде ескеріледі.

28. ЦАҚП тәуекел дәрежесінің стратегиясын әзірлеу кезінде өз активтерінің мөлшерін, нарықтағы үлесін, өз қызметінің сипатын, ауқымын және аса маңыздылығын ескереді.

5-тарау. Корпоративтік басқару

29. Корпоративтік басқарудың тиімді жүйесінің негізгі элементтері:

1) ұйымдық құрылымы;

2) корпоративтік құндылықтар;

3) ЦАҚП қызметінің стратегиясы;

4) ЦАҚП органдары арасында шешім қабылдау бөлігінде міндеттер мен өкілеттіктерді бөлу;

5) ЦАҚП органдары, ЦАҚП сыртқы және ішкі аудиторлары арасындағы өзара іс-қимыл және ынтымақтастық тетіктері;

6) тәуекелдерді басқару рәсімдері мен әдістемелері;

7) ішкі бақылау жүйесі;

8) сыйақы жүйесі;

9) басқарушылық есептіліктің жүйесінің болуы;

10) корпоративтік басқарудың ашықтығы болып табылады.

30. ЦАҚП ұйымдық құрылымы таңдалған бизнес-модельге, тәуекелдер бейініне, қызметтің ауқымы мен сипатына, операциялардың түрлері мен аса маңыздылығына сәйкес келеді, мүдделер қақтығысын барынша азайтады және алқалы органдар мен құрылымдық бөлімшелер (жауапты қызметкерлер) арасында тәуекелдерді басқару бойынша өкілеттіктерді бөледі және Қазақстан Республикасының акционерлік қоғамдар, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер (ЦАҚП ұйымдық-құқықтық нысанына байланысты) туралы заңдарында белгіленген талаптарға сәйкес келеді.

Ұйымдастыру құрылымын ЦАҚП өз активтерінің мөлшерін, нарықтағы үлесін, ЦАҚП қызметінің сипатын, ауқымын және аса маңыздылығын ескере отырып айқындайды.

6-тарау. Қызметтің үздіксіздігін басқару

31. ЦАҚП қызметке ықпалын талдауды ЦАҚП ішкі құжатында айқындалған тәртіппен жүзеге асырады, сол арқылы:

1) персоналға, үй-жайларға, технологияларға немесе ЦАҚП ақпаратына әсерін, зақымдарын немесе шығынын;

2) Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының, Қазақстан Республикасының қаржы нарығын және қаржы ұйымдарын мемлекеттік реттеу, бақылау мен қадағалау туралы, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар рыногы туралы, бухгалтерлік есеп және қаржылық есептілік туралы, КЖ/ТҚ/ЖҚҚТҚҚ туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасының талаптары бұзылғанын;

3) беделінің жоғалуын бағалау жүзеге асырылады.

32. ЦАҚП қызметтің аса маңызды түрлерін сәйкестендіреді. Қысқа мерзімді уақыт кезеңінде жоғалуы ЦАҚП-ға барынша теріс әсер ететін және қысқа мерзімде қалпына келтіруге жататын ЦАҚП қызметіне әсерін талдау процесінде сәйкестендірілген қызметтің аса маңызды түрі болып табылады.

33. ЦАҚП қызметтің аса маңызды түрлерін қолдау үшін қажетті күтпеген жағдайлардың ресурстары мен тәуекелдерін басқару шараларын айқындайды, олар мыналарды қамтиды, бірақ олармен шектелмейді:

1) персонал (қызметкерлердің қажетті саны, қажетті дағдылар мен құзыреті);

2) үй-жайлар (негізгі және балама алаңдар, сондай-ақ жоғары қорғауды талап ететін үй-жайлар);

3) технологиялар (қызметтің аса маңызды түрлерін қолдайтын ақпараттық-технологиялық және телекоммуникациялық қызметтер, сондай-ақ қызметтің аса маңызды түрлерін қолдайтын өзге де технологиялар, оның ішінде периметрді қорғау);

4) ақпарат (қызметтің аса маңызды түрлерін орындау үшін қажетті ақпарат, қалпына келтіруді талап ететін ақпарат көлемі, сондай-ақ ақпаратты сақтау, қорғау және қалпына келтіру әдістері мен тәсілдері);

5) қызметтің аса маңызды түрлерін орындауға байланысты жеткізушілер, сыртқы қызметтер және жабдықтау;

6) қаржы ресурстары (күтпеген жағдайлар туындаған жағдайда ЦАҚП қызметінің үздіксіздігін қамтамасыз ету және қалпына келтіру жоспарын орындау үшін әлеуетті қолжетімді қаржы ресурстарының көлемі).

34. ЦАҚП қызметтің аса маңызды түрлері мен олар пайдаланатын ресурстардағы қатерлер мен осалдықты бағалауға мүмкіндік беретін күтпеген жағдайлардың тәуекелдерін талдауды жүзеге асырады. ЦАҚП ресурстарға теріс әсер ететін қатерлер ретінде мыналарды қарастырады, бірақ олармен шектелмейді:

1) қызметкерлердің қолжетімсіздігі;

2) технологиялардың, оның ішінде цифрлық және коммуникациялық технологиялардың қолжетімсіздігі (компьютерлік вирустар, компьютерлік аппараттық құралдардың істен шығуы, байланыстың жоғалуы);

3) жабдықтаудың (судың, электрдің) қолжетімсіздігі;

4) ғимараттарға (үй-жайларға) кіру рұқсатының болмауы;

5) негізгі жеткізушілерге, контрагенттерге қолжетімсіздігі;

6) негізгі ақпаратқа қол жетімсіздігі;

7) қаржы ресурстарына қол жетімсіздігі.

35. ЦАҚП қызметтің үздіксіздігін қамтамасыз ету және (немесе) қызметті қалпына келтіру жөніндегі жоспарды (жоспарларды) әзірлеуді және оның болуын қамтамасыз етеді. Үздіксіздікті қамтамасыз ету және (немесе) қызметті қалпына келтіру жөніндегі жоспар (жоспарлар) өз активтерінің мөлшерін, нарықтағы үлесін, өз қызметінің сипатын, ауқымын және аса маңыздылығын ескеруге тиіс.

7-тарау. Нарықтық тәуекелді басқару

36. ЦАҚП атқарушы органы және (немесе) тәуекел-менеджмент басшысы (тәуекелдерді басқару жөніндегі жауапты қызметкер) нарықтық тәуекелді басқару саясатын әзірлеуді қамтамасыз етеді және ЦАҚП қызметінің ауқымына, ағымдағы нарықтық ахуалға, стратегияға, ЦАҚП операцияларының мөлшері мен аса маңыздылық деңгейіне сәйкес келетін ЦАҚП және оның қызметкерлерінің нарықтық тәуекелді басқару саясатын сақтауына мониторинг пен бақылауды жүзеге асырады және ЦАҚП нарықтық тәуекелін тиімді анықтауды, өлшеуді, мониторингілеуді және бақылауды қамтамасыз етеді.

37. ЦАҚП нарықтық тәуекелдерін төмендету тәсілдері (шаралары) (лимиттер, әртараптандыру нормалары, хеджирлеу, резервтеу, сақтандыру және өзге де тәсілдер) ЦАҚП ішкі құжаттарында айқындалады.

8-тарау. Өтімділікті жоғалту тәуекелін басқару

38. ЦАҚП әртүрлі уақыт аралықтарында активтер, міндеттемелер және баланстан тыс құралдар бойынша ақша ағындарын егжей-тегжейлі болжауды қамтитын өтімділікті жоғалту тәуекелін анықтау, бағалау, мониторинг және бақылау бойынша тиімді процесті әзірлейді.

39. ЦАҚП өтімділікті жоғалту тәуекелінің деңгейіне әсер ететін барлық баланстық және баланстан тыс баптарды бағалайды. ЦАҚП өтімділікті жоғалту тәуекелін реттеу мақсатында қорландыруды тартудағы ЦАҚП қажеттілігін өтеу үшін нарықтағы өтімділік деңгейін бағалайды.

40, Өтімділікті жоғалту тәуекелін басқару кезінде ЦАҚП активтер құнының төмендеуін және стресс кезінде оларды сатудың өтімділік, кірістілік және капитал деңгейіне әсерін ескереді.

41. ЦАҚП өтімділікті жоғалту тәуекелі мен ол ұшырайтын тәуекелдердің басқа түрлері арасындағы өзара іс-қимылды ескереді.

9-тарау. Операциялық тәуекелді басқару

42. Операциялық тәуекелдерге:

1) жауапкершілікті, есептілік және басқару құрылымын бөлуді қоса алғанда, ЦАҚП-тың айқындалмаған және тиімсіз ұйымдық құрылымына;

2) цифрлық технологиялар саласындағы тиімсіз стратегияларға, саясатқа және (немесе) стандарттарға, бағдарламалық қамтылымды пайдаланудағы кемшіліктерге;

3) персоналды және (немесе) ЦАҚП-тың біліктілігі жоқ штатын тиімсіз басқаруға;

4) есепке алу жүйелерін, цифрлық платформаларды (сауда платформаларын) рұқсатсыз пайдалануға;

5) ЦАҚП қызметін жүзеге асыру процестерінің жеткіліксіз тиімді құрылуына не ішкі қағидалардың сақталуын бақылаудың әлсіздігіне байланысты тәуекелдерге;

6) ЦАҚП қызметіне күтпеген немесе бақыланбайтын сыртқы әсер факторларына;

7) ЦАҚП қызметін регламенттейтін ішкі құжаттарда кемшіліктердің немесе қателердің болуына;

8) мәмілелерді тіркеу, цифрлық активтермен есеп айырысу, ЦАҚП-та жасалатын жекелеген операцияларды есепке алу жүйелерінде қамтылған мәліметтерді көрсету және көрсетілген жүйелерде операцияларды жасау процесін бұзуға;

9) ЦАҚП клиенттері ұсынатын жасырын ақпаратты заңсыз пайдалануға;

10) ЦАҚП органдары мен оның бөлімшелері арасында мүдделер қақтығысының туындауына;

11) ақпаратты жинауға, енгізуге, сақтауға және таратуға байланысты қателіктердің туындауына;

12) тиісті есепке алу жүйелерін қоса алғанда, ЦАҚП бағдарламалық-техникалық қамтылымының жұмысында, сондай-ақ пайдаланылатын цифрлық және коммуникациялық жүйелер мен технологияларда қателер мен іркілістердің туындау ықтималдығына;

13) цифрлық активтер бойынша құқықтарды есепке алуды ұйымдастыру, мәмілелерді тіркеу, цифрлық активтермен мәмілелерді есептеу, есепке алу жүйелеріндегі мәліметтерді көрсету (цифрлық қаржы активтері платформасының операторларына, цифрлық активтердің сауда платформасының операторларына қатысты есепке алу бойынша), жүйелік әкімшілендіру функцияларын орындау процестерін қоса алғанда, ЦАҚП қызметінің процесіндегі толық аяқталмаған технологияларды пайдалану салдарынан залалдың туындау ықтималдығына;

14) есепке алу жүйелерінде деректерді енгізу және өзгерту кезінде қателіктердің туындауына (цифрлық қаржы активтері платформасының операторларына, цифрлық активтердің сауда платформасының операторларына қатысты есепке алу бойынша);

15) ЦАҚП әлеуетті тәуекелдер ретінде сәйкестендіретін мән-жайларға байланысты тәуекелдер жатады.

43. Операциялық тәуекелдерді өлшеу, бағалау, бақылау және оларға мониторинг жүргізу кезінде ЦАҚП мынадай бір немесе бірнеше әдісті қолданады:

1) тәуекелдің негізгі индикаторларын қолдану;

2) тәуекелдер матрицасын қалыптастыру;

3) шығын жөнінде ішкі деректерді жинау және талдау (шығын жөніндегі дерекқорларды жүргізу);

4) бизнес-процестердің сипаттамасы (регламенттеу) ;

5) ішкі аудит нәтижелерін пайдалану.

Операциялық тәуекелдерді өлшеу, бағалау, бақылау, мониторинг жүргізу әдістерін және азайту тәсілдерін (шараларын) таңдау тәртібі ЦАҚП-тың операциялық тәуекелдерді басқару мәселелері жөніндегі ішкі құжатында белгіленеді.

10-тарау. Цифрлық технологиялар тәуекелдерін басқару

44. Цифрлық технологиялар тәуекелдерін басқару жүйесінде мыналар:

1) цифрлық технологиялар тәуекелдерін басқару саясаты;

2) цифрлық технологиялар тәуекелдерін басқару рәсімдері;

3) басқарушылық ақпарат жүйесі;

4) ішкі аудит бөлімшесінің (ішкі аудит бойынша жауапты қызметкердің) цифрлық технологиялар тәуекелдерін басқару жүйесінің тиімділігін бағалауы қамтылады, бірақ олармен шектелмейді.

45. ЦАҚП цифрлық технологиялар тәуекелдерін басқару жүйесінің мынадай қатысушыларын айқындайды (бірақ олармен шектелмейді):

1) ЦАҚП тәуекелдерін басқару бөлімшесі (жауапты қызметкер);

2) цифрлық технологиялар бөлімшесі (жауапты қызметкер).

46. ЦАҚП тәуекелдерді басқару жөніндегі құрылымдық бөлімше құрады (жауапты қызметкерді тағайындайды), оның функцияларына цифрлық технологиялар тәуекелдерін басқару, оған қоса:

1) цифрлық технологиялар тәуекелдерін басқару жүйесін әзірлеу, ендіру және дамыту;

2) цифрлық технологиялардың қолжетімділігін қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу мен келісуге қатысу;

3) цифрлық технологиялар тәуекелдерін бағалауға қатысу;

4) цифрлық технологиялар тәуекелдерінің деңгейіне мониторинг жүргізу;

5) цифрлық технологиялар тәуекелдерін басқару мәселелері бойынша ЦАҚП құрылымдық бөлімшелерінің (жауапты қызметкерінің) өзара іс-қимылы және консультация беру;

6) цифрлық технологиялар бойынша бөлімшесінің (жауапты қызметкер) цифрлық технологиялар тәуекелдеріне бағалау жүргізуді жоспарлауы және олар жүргізетін бағалау нәтижелерін талдау;

7) цифрлық технологиялар тәуекелдерін қамтитын тәуекелдер тізілімін әзірлеу және қалыптастыру;

8) ЦАҚП басқару органына (атқарушы органына, бар болса – бақылаушы кеңесіне) цифрлық технологияларда елеулі тәуекелдердің орын алуы туралы есептілікті ұсыну және олардың салдарын жою жөніндегі іс-шаралардың орындалуына мониторинг жүргізу;

9) цифрлық технологиялар тәуекелдерін басқару жөніндегі есептілікті немесе өзге де ақпаратты ЦАҚП басқару органына (атқарушы органына, бар болса – бақылаушы кеңесіне) беру;

10) цифрлық технологиялар тәуекелдері бөлігінде ішкі аудит нәтижелерін пайдалану кіреді.

47. ЦАҚП цифрлық технологиялар жөніндегі құрылымдық бөлімшені құрады (жауапты қызметкерді тағайындайды), оның функцияларына мыналар:

1) цифрлық технологиялар тәуекелдерін бағалау;

2) цифрлық технологиялар тәуекелдерін өңдеу шараларын әзірлеу және олардың орын алуы жөніндегі есептілікті тәуекелдерді басқару бөлімшесіне ұсыну;

3) цифрлық технологияларда елеулі тәуекелдердің орын алуы туралы, сондай-ақ олардың салдарын жою туралы есептілікті әзірлеу және ЦАҚП-тың тәуекелдер бөлімшесіне ұсыну;

4) аса маңызды бизнес-процестер үшін цифрлық технологиялардың қолжетімділігін қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу кіреді.

11-тарау. Киберқауіпсіздік тәуекелдерін басқару

48. Киберқауіпсіздік тәуекелдерін басқару жүйесінде мыналар:

1) киберқауіпсіздік тәуекелдерін басқару саясаты;

2) киберқауіпсіздік тәуекелдерін басқару рәсімдері;

3) басқарушылық ақпарат жүйесі;

4) ішкі аудит бөлімшесінің (ішкі аудит бойынша жауапты қызметкердің) киберқауіпсіздік тәуекелдерін басқару жүйесінің тиімділігін бағалауы қамтылады, бірақ олармен шектелмейді.

49. ЦАҚП киберқауіпсіздік тәуекелдерін басқару жүйесінің мынадай қатысушыларын айқындайды (бірақ олармен шектелмейді):

1) ЦАҚП тәуекелдерін басқару бөлімшесі (жауапты қызметкер);

2) киберқауіпсіздік бөлімшесі (жауапты қызметкер);

3) цифрлық технологиялар бөлімшесі (жауапты қызметкер);

4) бөлімшелер-қорғалатын ақпарат иелері.

50. ЦАҚП тәуекелдерді басқару жөніндегі құрылымдық бөлімше құрады (жауапты қызметкерді тағайындайды), оның функцияларына киберқауіпсіздік тәуекелдерін басқару:

1) киберқауіпсіздік тәуекелдерін басқару жүйесін әзірлеу, ендіру және дамыту;

2) киберқауіпсіздікті қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу мен келісуге қатысу;

3) кемінде бөлімшелер-қорғалатын ақпарат иелері қамтылатын ЦАҚП аса маңызды ақпараттық активтерінің тізбесін қалыптастыру жөніндегі жұмыс тобын құру және оған басшылық ету;

4) киберқауіпсіздік тәуекелдерін бағалауға қатысу;

5) киберқауіпсіздік тәуекелдерінің деңгейіне мониторинг жүргізу;

6) киберқауіпсіздік тәуекелдерін басқару мәселелері бойынша ЦАҚП құрылымдық бөлімшелерінің (жауапты қызметкерінің) өзара іс-қимылы және консультация беру;

7) киберқауіпсіздік бөлімшесінің (жауапты қызметкер) киберқауіпсіздік тәуекелдеріне бағалау жүргізуді жоспарлауы және олар жүргізетін бағалау нәтижелерін талдау;

8) киберқауіпсіздік тәуекелдерін қамтитын тәуекелдер тізілімін әзірлеу және қалыптастыру;

9) ЦАҚП басқару органына (атқарушы органына, бар болса – бақылаушы кеңесіне) киберқауіпсіздіктің елеулі тәуекелдерінің орын алуы туралы есептілікті ұсыну және олардың салдарын жою жөніндегі іс-шаралардың орындалуына мониторинг жүргізу;

10) киберқауіпсіздік тәуекелдерін басқару жөніндегі есептілікті немесе өзге де ақпаратты басқару органына (атқарушы органға, бар болса – бақылаушы кеңесіне) ПБО беру;

11) киберқауіпсіздік тәуекелдері бөлігінде ішкі аудит нәтижелерін пайдалану кіреді.

51. ЦАҚП киберқауіпсіздік жөніндегі құрылымдық бөлімшені құрады (жауапты қызметкерді тағайындайды), оның функцияларына мыналар:

1) киберқауіпсіздік тәуекелдерін бағалау;

2) киберқауіпсіздік тәуекелдерін өңдеу шараларын әзірлеу және олардың орын алуы жөніндегі есептілікті тәуекелдерді басқару бөлімшесіне (жауапты қызметкерге) ұсыну;

3) киберқауіпсіздіктің елеулі тәуекелдерінің орын алуы туралы, сондай-ақ, олардың салдарын жою туралы есептілікті дайындау және ЦАҚП-тың тәуекелдер бөлімшесіне ұсыну;

4) киберқауіпсіздікті қамтамасыз ету бөлігінде ЦАҚП стратегиясын іске асыру жөніндегі іс-шаралар жоспарларын әзірлеу кіреді.

ЦАҚП тәуекелдерді басқару жөніндегі құрылымдық бөлімшенің (жауапты қызметкердің) киберқауіпсіздік жөніндегі құрылымдық бөлімшеден (жауапты қызметкерден) бөлек жұмыс істеуін қамтамасыз етеді.

52. Тәуекелдерді басқару бөлімшесі (жауапты қызметкер) киберқауіпсіздік тәуекелдерін басқару тәртібі айқындалатын ішкі құжатты әзірлейді, онда мыналар қамтылады, бірақ олармен шектелмейді:

2) аса маңызды ақпараттық активтердің осал жерлерін сәйкестендіру рәсімдері;

3) аса маңызды ақпараттық активтерге қатысты ықтимал қатерлерді сәйкестендіру рәсімдері;

4) киберқауіпсіздік тәуекелдерін басқару шараларын сәйкестендіру рәсімдері;

6) киберқауіпсіздіктің елеулі тәуекелдерінің орын алуы туралы мәліметтерді жинау және сақтау рәсімдері;

7) киберқауіпсіздік тәуекелдерін қамтитын тәуекелдер тізілімін қалыптастыру рәсімдері;

8) киберқауіпсіздік тәуекелдерін өңдеу шараларының орындалуына мониторинг жүргізу рәсімдері.

12-тарау. Комплаенс-тәуекелді басқару

53. ЦАҚП-тың басқару органы (атқарушы орган, бар болса – бақылаушы кеңес) ЦАҚП-тың комплаенс-тәуекелін басқару рәсімін бақылайды, ЦАҚП-та комплаенс-бақылау бөлімшесін құрады (жауапты қызметкерді тағайындайды), бас комплаенс-бақылаушыны қызметіне тағайындайды және босатады, комплаенс-тәуекелді басқару саясатын бекітеді.

Комплаенс-бақылау бөлімшесі (жауапты қызметкер) Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының, Қазақстан Республикасының қаржы нарығын және қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар нарығы туралы, бухгалтерлік есеп және қаржылық есептілік туралы, КЖ/ТҚ/ЖҚҚТҚҚ туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасының, ЦАҚП-тың қызметіне әсер ететін шет мемлекеттер заңнамасының, сондай-ақ ЦАҚП-тың қызмет көрсету және қаржы нарығында операциялар жүргізу тәртібін реттейтін ЦАҚП-тың ішкі құжаттарының талаптарын сақтау үшін рәсімдерді ұйымдастырады және ЦАҚП-тың басқару органына (атқарушы органға, бар болса – бақылаушы кеңеске) комплаенс-тәуекелдің болуы туралы толық және дәйекті ақпарат ұсынады.

Комплаенс-бақылау бөлімшесі (жауапты қызметкер) ЦАҚП-тың басқару органы (атқарушы орган, бар болса – бақылаушы кеңес) бекітуге тиіс және комплаенс-тәуекелді басқарудың негізгі қағидаттары, оның ішінде соның негізінде ЦАҚП құрылымының барлық деңгейлерінде комплаенс-тәуекел анықталатын және басқарылатын ЦАҚП-та комплаенс-мәдениет құру қағидаттары қамтылатын комплаенс-тәуекелді басқару саясатын әзірлеуге жауап береді.

54. Комплаенс-бақылау бөлімшесі (жауапты қызметкер) комплаенс-тәуекелді басқару саясатын әзірлеуге, комплаенс-тәуекелді басқаруды қамтамасыз етуге және ЦАҚП-тың комплаенс-тәуекелді басқару жөніндегі қызметін үйлестіруге жауапты болады. Комплаенс-бақылау бөлімшесі (жауапты қызметкер) комплаенс-тәуекелді басқару саясаты мен рәсімдерінің, оның ішінде қылмыстық жолмен алынған кірістерді заңдастыру (жылыстату), терроризмді қаржыландыру және жаппай қырып-жою қаруын таратуды қаржыландыру (бұдан әрі – КЖ/ТҚ/ЖҚҚТҚ) тәуекелінің КЖ/ТҚ/ЖҚҚТҚҚ туралы заңнама талаптарына сәйкестігін қамтамасыз етеді.

Комплаенс-бақылау бөлімшесі (жауапты қызметкер) ЦАҚП-тың бірінші қорғау қатарын құрайтын құрылымдық бөлімшелерінің қандай да бір қызметінен тәуелсіз ЦАҚП-тың құрылымдық бөлімшесі (жауапты қызметкері) болып табылады.

Комплаенс-бақылау бөлімшесінің (жауапты қызметкердің) тәуелсіз болуы мынадай факторлармен қамтамасыз етіледі:

комплаенс-бақылау бөлімшесінің (жауапты қызметкердің) дербес құрылымдық бөлімше мәртебесі бар;

тәуекелдерді басқару бөлімшесінің (тәуекелдерді басқаруға жауапты қызметкердің) және (немесе) КЖ/ТҚ/ЖҚҚТҚҚ жөніндегі бөлімшенің (КЖ/ТҚ/ЖҚҚТҚҚ бойынша жауапты қызметкердің) басшысы лауазымын атқаруды қоспағанда комплаенс-бақылау бөлімшесінің (комплаенс-бақылауға жауапты қызметкердің) қызметкерлері ЦАҚП-тың өзге құрылымдық бөлімшелеріндегі лауазымдарды қоса атқармайды;

комплаенс-бақылау бөлімшесінің басшысы мен қызметкерлері олардың комплаенс-тәуекелді басқару міндеттері мен оларға жүктелген кез келген басқа міндеттер арасында мүдделер қақтығысы ықтимал болатын жағдайға ұшырамайды;

комплаенс-бақылау бөлімшесінің қызметкерлерінде өз құзыретінің шеңберінде рұқсаты бар және қажет болғанда ЦАҚП-тың құрылымдық бөлімшелерінен, ЦАҚП-тың еншілес ұйымдарынан кез келген ақпаратты талап етеді, сондай-ақ ЦАҚП-тың және оның еншілес ұйымдарының қызметкерлерін комплаенс-бақылау функцияларын орындауға жәрдем көрсетуге тартады.

55. Комплаенс-бақылау бөлімшесі (жауапты қызметкер) мынадай функцияларды жүзеге асырады (бірақ онымен шектелмей):

1) шоғырландырылған негізде ЦАҚП-тың комплаенс-тәуекелін анықтау, өлшеу, мониторингтеу және бақылаудың ішкі тәртібін, тәсілдері мен рәсімдерін әзірлеу;

2) КЖ/ТҚ/ЖҚҚТҚҚ мақсаты үшін ішкі бақылау қағидаларын әзірлеу, ендіру және оның болуын қамтамасыз ету;

3) комплаенс-бағдарламаны (жоспарды) қалыптастыру, ол мыналарды қамтиды:

ЦАҚП бөлімшелерінің Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының, Қазақстан Республикасының қаржы нарығын және қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы заңнамасының, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар нарығы туралы, бухгалтерлік есеп және қаржылық есептілік туралы, КЖ/ТҚ/ЖҚҚТҚҚ туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасының талаптарын ескере отырып комплаенс-тәуекелді басқару саясатын сақтауын тексеру;

қызметкерлерді комплаенс-тәуекелді басқару мәселелері бойынша оқыту;

4) ЦАҚП органдарына ЦАҚП-тың комплаенс-тәуекелін басқаруға ықпал көрсету;

5) осындай функцияны ЦАҚП-тың заң бөлімшесі (құқықтық қамтамасыз ету жөніндегі жауапты қызметкер) орындайтын жағдайларды қоспағанда, ЦАҚП-тың басшылығы мен қызметкерлеріне өзгерістер туралы хабардар етуді қоса алғанда, комплаенс-тәуекелді басқаруға қатысы бар Қазақстан Республикасының азаматтық және салық заңнамасының, "Қазақстан Республикасының Ұлттық Банкі туралы" Қазақстан Республикасы Заңының, Қазақстан Республикасының қаржы нарығын және қаржы ұйымдарын мемлекеттік реттеу, бақылау және қадағалау туралы, цифрлық активтер туралы, валюталық реттеу және валюталық бақылау туралы, бағалы қағаздар нарығы туралы, бухгалтерлік есеп және қаржылық есептілік туралы, КЖ/ТҚ/ЖҚҚТҚҚ туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасының талаптарының нормалары, қағидалар, саясат туралы консультация беру;

6) ЦАҚП-та ЦАҚП-тың қызметкерлерін ЦАҚП-тың қызмет көрсету және қаржы нарығында операциялар жүргізу тәртібін реттейтін ЦАҚП-тың ішкі құжаттарының талаптарымен таныстыру жұмысын ұйымдастыруды бақылау;

7) комплаенс-тәуекелді, оның ішінде КЖ/ТҚ/ЖҚҚТҚ тәуекелін басқару мәселелері бойынша ЦАҚП-тың еншілес ұйымдарының қызметін үйлестіру;

8) жаңа өнімдер мен көрсетілетін қызметтерді ендіру барысына міндетті түрде қатысу;

9) ЦАҚП-та мүдделер қақтығысын анықтау, бағалау және бақылау іс-шараларын ұйымдастыруды қамтамасыз ету;

10) КЖ/ТҚ/ЖҚҚТҚҚ туралы заңнама талаптарын, комплаенс-тәуекелді, КЖ/ТҚ/ЖҚҚТҚ тәуекелін басқару саясаты мен рәсімдерін (бұдан әрі – комплаенс-талаптар) бұзушылықтардың алдын алу процестері мен рәсімдерін әзірлеу;

11) ЦАҚП-тың дербес немесе құрылымдық бөлімшелерімен және лауазымды адамдарымен бірлесіп комплаенс-талаптардың анықталған бұзушылықтарын, және комплаенс-тәуекелді басқарумен байланысты ЦАҚП жұмысындағы кемшіліктерді ЦАҚП-ты, ЦАҚП қызметкерлерін және ЦАҚП қызметтерін есірткіні заңсыз өндірумен, айналымымен және (немесе) транзитімен, қаржы пирамидаларының қызметін ұйымдастырумен, Қазақстан Республикасында ойын бизнесі саласындағы қызметпен айналысу құқығына лицензиясы жоқ электрондық казино мен интернет-казинолардың, шетелдік букмекерлік кеңселердің және (немесе) тотализаторлардың пайдасына төлемдерді және (немесе) ақша аударымдарын жүзеге асырумен байланысты құқыққа қайшы әрекеттерге тарту фактілерін жою бойынша ұсынымдар мен түзету шараларын әзірлеу және ЦАҚП-тың басқару органына (атқарушы орган, бар болса – бақылаушы кеңес) тиісті ақпарат ұсыну;

12) комплаенс-тәуекел бойынша есептілік жүйесін әзірлеу және жүргізу және тұрақты негізде ЦАҚП-тың басқару органына (атқарушы орган, бар болса – бақылаушы кеңес) комплаенс-тәуекелді басқару мәселелері бойынша ақпарат ұсыну;

13) ЦАҚП-тың құрылымдық бөлімшелерімен, оның ішінде ішкі аудит бойынша бөлімшемен (жауапты қызметкермен) өзара әрекет ету және комплаенс-тәуекелді басқару жұмысын үйлестірудің ішкі тәртібін әзірлеу;

14) ЦАҚП-тың КЖ/ТҚ/ЖҚҚТҚ тәуекелдеріне тартылу тәуекелін бағалау үшін сандық және сапалық көрсеткіштерді жинау және есепті жылдан кейінгі жылғы 5 ақпаннан кешіктірмей жыл сайын Қазақстан Республикасының Ұлттық Банкіне ақпарат ұсыну.

Бас комплаенс-бақылаушы (комплаенс-бақылаушы) осы тармақта айқындалған функциялардың орындалуына, комплаенс-бақылау жөніндегі бөлімшенің (жауапты қызметкердің) комплаенс-талаптардың бұзылуын болдырмау жөніндегі процестер мен рәсімдерді және түзету шараларын тиісінше іске асыруына жауапты болады.

ЦАҚП-тың ішкі құжаттарына сәйкес комплаенс-тәуекелді басқарудың жекелеген функциялары қажет болғанда мүдделер қақтығысының болмау талабымен ЦАҚП-тың өзге құрылымдық бөлімшелеріне беріледі.

56. Комплаенс-тәуекелді басқару жүйесі мыналарды қамтиды, бірақ олармен шектелмейді:

1) комплаенс-тәуекелді басқару саясаты мен рәсімдері;

2) клиенттерді қабылдау және оларға қызмет көрсету бағдарламасы қамтылатын КЖ/ТҚ/ЖҚҚТҚ тәуекелін басқару саясаты мен рәсімдері (customer acceptance policy). ЦАҚП клиенті қызмет көрсетуге қабылдау туралы шешім қабылдаудың рәсімдерін әзірлеу және іске асыру кезінде тән тәуекел факторларын есепке алады;

3) ішкі аудит бойынша бөлімшенің (жауапты қызметкердің) комплаенс-тәуекелді басқару жүйесінің тиімділігін бағалауы.

Комплаенс-тәуекелді басқару жүйесі 3 (үш) қорғау қатарына негізделеді:

ЦАҚП қызметкерлері;

комплаенс-бақылау бөлімшесі (жауапты қызметкер);

ішкі аудит бөлімшесі (жауапты қызметкер).

13-тарау. Ішкі бақылау

57. ЦАҚП ішкі бақылау жүйесі мыналарды:

1) ЦАҚП қызметін жүзеге асырудың тиімділігі мен рентабельділігін тексеру және шығындар ықтималдығын айқындау арқылы ЦАҚП қызметінің операциялық және қаржылық тиімділігін қамтамасыз ету;

2) ЦАҚП қаржылық және басқарушылық есептілігінің дұрыстығын және сапалы жасалуын тексеру арқылы қаржылық және басқарушылық ақпараттың сенімділігін, толықтығын және уақтылылығын қамтамасыз ету;

3) ЦАҚП ішкі саясаты мен рәсімдерін айқындайтын ішкі құжаттардың Қазақстан Республикасының цифрлық активтер туралы, бағалы қағаздар рыногы туралы, акционерлік қоғамдар туралы, жауапкершілігі шектеулі және қосымша жауапкершілігі бар серіктестіктер туралы заңнамасының талаптарына сәйкестігін қамтамасыз ету үшін жасалады;

4) ЦАҚП пен оның жұмыскерлерін, ЦАҚП клиенттерін тартуға жол бермеу құқыққа қайшы қызметті, оның ішінде алаяқтықты, алдауды, КЖ/ТҚ/ЖҚҚТҚ, есірткіні заңсыз өндіруді, айналымды және (немесе) транзитті жүзеге асыру, қаржы пирамидаларының қызметін ұйымдастыру, электрондық казиноның пайдасына цифрлық активтерді пайдалана отырып, төлемдерді және (немесе) құндылықтарды аударуды жүзеге асыру және интернет-казино, сондай-ақ Қазақстан Республикасында ойын бизнесі саласындағы қызметпен айналысу құқығына лицензиясы жоқ шетелдік букмекерлік кеңселер және (немесе) тотализаторлар..

58. Ішкі бақылау жүйесі өзара байланысты мынадай 5 (бес) элементтен:

1) басқарушылық бақылаудан;

2) тәуекелді анықтау және бағалаудан;

3) бақылауды жүзеге асыру және өкілеттіктерді бөлуден;

4) ақпарат және өзара іс-қимылдан;

5) кемшіліктерді мониторингтеу және түзетуден тұрады.

59. Ішкі бақылау жүйесінің жұмыс істеуі мынадай үш кезеңнің:

1) рәсімдерді ЦАҚП ішкі құжаттарына енгізу арқылы ішкі бақылау жүйесін қалыптастыру (тиімділікті бағалау нәтижелерін ескере отырып);

2) ЦАҚП-тың ішкі құжаттарында айқындалған ішкі бақылау жүйесінің рәсімдерін жұмыста пайдалану;

3) ішкі бақылау жүйесінің тиімділігіне бағалау жүргізу кезеңдерінің үздіксіз кезекпен өту қағидаты бойынша жүргізіледі.

60. ЦАҚП комплаенс-бақылау бөлімшесі (жауапты қызметкер) ішкі бақылау жөніндегі функцияларды жүзеге асырады.

14-тарау. Ішкі аудит

61. Ішкі аудит қызметі ЦАҚП басқару органының (атқарушы органның, бар болса – бақылаушы кеңестің) ішкі бақылау жүйесінің жай-күйіне объективті баға беру және оларды жетілдіру бойынша ұсынымдар беру арқылы ішкі бақылаудың барабар жүйесінің болуын және жұмыс істеуін қамтамасыз ету жөніндегі функцияларды жүзеге асыруы кезінде туындайтын міндеттерді шешу мақсатында құрылады (ішкі аудит бойынша жауапты қызметкер тағайындалады).

Ішкі аудиттің мақсаты ЦАҚП қызметінің барлық аспектілері бойынша ішкі бақылау және тәуекелдерді басқару жүйелерінің барабарлығы мен тиімділігін бағалау, ЦАҚП-тың ішкі қағидалары мен рәсімдерінің сақталуын, ішкі және сыртқы аудиторлар ұсынымдарының, Қазақстан Республикасы Ұлттық Банкінің ЦАҚП қызметін жүзеге асыруға қатысты белгіленген ықпал ету шаралары мен талаптарының орындалуын бақылау, ЦАҚП бөлімшелері мен қызметкерлерінің жүктелген функциялар мен міндеттерді орындау жай-күйі туралы уақтылы және анық ақпаратпен қамтамасыз ету, сондай-ақ жұмысты жақсарту бойынша пәрменді және тиімді ұсынымдар беру болып табылады.

62. Ішкі аудит қызметінің басшысы мен қызметкерлерін (ішкі аудит жөніндегі жауапты қызметкерді) ЦАҚП-ты басқару органы (атқарушы орган, бар болса – бақылаушы кеңес) тағайындайды және олардың ЦАҚП-тың тексерілетін бөлімшесінің (жауапты қызметкерінің), сондай-ақ олардың филиалдары мен өкілдіктерінің қызметіне байланысты, оның ішінде коммерциялық және қызметтік құпияны құрайтын барлық қажетті құжаттарға рұқсаты бар.

63. Ішкі аудит қызметінің басшылары мен қызметкерлеріне қойылатын талаптарды, олардың өкілеттіктері мен олар үшін сыйақы жүйесін ЦАҚП басқару органы (атқарушы орган, бар болса – бақылаушы кеңес) айқындайды.

64. Ішкі аудит қызметінің басшысы мен қызметкерлері (ішкі аудит жөніндегі жауапты қызметкер) өзге лауазымды атқармайды, ЦАҚП алқалы органының мүшелері болып табылмайды және ЦАҚП-та және (немесе) ЦАҚП-тың еншілес ұйымдарында міндеттерді қоса атқармайды.

Қамтамасыз етілмеген цифрлық
активтерді айырбастау
операторлары, цифрлық қаржы
активтері платформасының
операторлары, цифрлық
активтердің саудасы
платформасының операторлары
үшін тәуекелдерді басқару және
ішкі бақылау жүйесін
қалыптастыру қағидаларына
қосымша

Тәуекелдерді басқару жүйесіне қойылатын талаптардың орындалуын бағалау туралы есеп

__________________________________________________

(цифрлық қаржы активтері платформасының операторының, цифрлық активтердің сауда платформасының операторының, қамтамасыз етілмеген цифрлық активтерді айырбастау операторының (бұдан әрі – цифрлық активтер қызметтері провайдері) атауы)

Есепті кезең: "______" жыл үшін

№	Қағидалардың тиісті абзацын, бөлігін, тармақшасын, тармағын көрсету	Қағидалардың талаптарына сәйкестігін бағалау	Анықталған кемшіліктер	Кемшіліктерді жою бойынша қабылданған (жоспарланған) іс-шаралар (іс-шараның мазмұны, орындау мерзімдері)	Жауапты орындаушылар (тегі, аты, әкесінің аты (ол болған жағдайда), лауазымы, байланыс ақпараты)
1	2	3	4	5	6

Тәуекелдерді басқару жүйесіне қойылатын талаптарға сәйкестікті жалпы бағалау: _______

Нысанды толтыру бойынша түсіндірме

Тәуекелдерді басқару жүйесіне қойылатын талаптарға сәйкестікті бағалау мынадай өлшемшарттардың үш балдық жүйесі бойынша жүзеге асырылады (сәйкес келеді, ішінара сәйкес келеді, сәйкес келмейді):

1) "сәйкес келеді" бағасы цифрлық активтер қызметтерінің провайдері тәуекелдерді басқару жүйесіне қойылатын талаптардың өлшемшарттарын қандай да бір елеулі кемшіліктерсіз орындаған кезде шығарылады;

2) "ішінара сәйкес келеді" бағасы тәуекелдерді басқару жүйесіне қойылатын талаптардың нақты өлшемшарттарын сақтауға қол жеткізуде цифрлық активтер қызметтері провайдерінің қабілеттілігіне қатысты елеулі күмән туындауына жеткілікті болып саналмайтын кемшіліктер анықталған кезде шығарылады;

3) "сәйкес келмейді" бағасы цифрлық активтер қызметтерінің провайдері тәуекелдерді басқару жүйесіне қойылатын талаптардың өлшемшарттарын орындамаған кезде шығарылады.

Егер тәуекелдерді басқару жүйесіне қойылатын жекелеген талаптар цифрлық активтер қызметтерінің провайдеріне қатысты қолданылмаса, талаптың осы өлшемшарттарына сәйкестігін бағалау жүзеге асырылмайды және "қолданылмайды" деген тиісті жазбамен белгіленеді.