Годовой отчет 2019

Система управления
рисками

Управление рисками на Бирже является неотъемлемой частью ее деятельности и осуществляется на всех уровнях – от рядового работника до Совета директоров. В основе этой деятельности лежат рекомендации международных стандартов ISO 31000, 27001, 22301.

Требования к системе управления рисками на Бирже предъявляются тремя нормативными правовыми актами:
- Правилами формирования системы управления рисками и внутреннего контроля для фондовой биржи(5);
- Требованиями к системе управления рисками клиринговой организации, условиям и порядку мониторинга, контроля и управления рисками в клиринговой организации(6);
- Требованиями к системе управления рисками центрального контрагента, условиям и порядку мониторинга, контроля и управления рисками центрального контрагента(7).

В соответствии с этими документами на Бирже разработаны политика и правила управления рисками – основные документы, которыми руководствуется Биржа. Постоянное совершенствование системы управления рисками, оценку и мониторинг рисков обеспечивает на Бирже подразделение по управлению рисками.

Для анализа Биржа разделяет риски на операционные, кредитные, рыночные (валютные, ценовые, процентные), системные, правовые, репутационные, риски потери ликвидности и иные риски.

Подразделение по управлению рисками концентрируется на управлении операционными рисками и рисками, связанными с инвестиционной деятельностью, оценку текущих рисков, включая их мониторинг, дает рекомендации по совершенствованию бизнес-процессов, осуществляет контроль всех запланированных мероприятий, предусмотренных в целях минимизации рисков, проводит стресс- и бэк-тестирование рисков инвестиционных портфелей Биржи, контролирует размер провизий, начисляемых по финансовым инструментам инвестиционных портфелей Биржи в соответствии с Международными стандартами финансовой отчетности.

Внедрение новой ТКС и развитие функций ЦК повлекло за собой идентификацию новых рисков, связанных с данным направлением деятельности. В связи с этим на Бирже внедрена система управления рисками в рамках функций ЦК и система урегулирования дефолтов.Для эффективного управления рисками Биржи при осуществлении деятельности ЦК создан Комитет по рыночным рискам – постоянно действующий коллегиальный орган при Правлении Биржи, основной задачей которого является управление рыночными рисками Биржи. В функции комитета входит утверждение риск-параметров, определение параметров кривой доходности ГЦБ, подготовка рекомендаций Правлению Биржи для определения списка финансовых инструментов, по которым Биржа осуществляет функции ЦК, и финансовых инструментов, которые могут быть приняты в качестве обеспечения при реализации функции ЦК, а также иные функции, предусмотренные внутренними документами Биржи.

5 утверждены постановлением Правления НБРК от 19 декабря 2015 года № 252
6 утверждены постановлением Правления НБРК от 24 февраля 2012 года № 59
7 утверждены постановлением Правления НБРК от 28 января 2016 года № 11

В целях поддержания эффективного процесса управления рисками в 2019 году на Бирже предпринимались комплексные меры, направленные на снижение и предупреждение рисков. Это позволило вдвое сократить количество повторяющихся рисковых событий.

Большое внимание на Бирже уделяется развитию риск-культуры. Для работников проводятся обучающие семинары и лекции по вопросам управления рисками, проводится индивидуальная разъяснительная работа.

В 2018 году была проведена самооценка на соответствие системы управления рисками Биржи рекомендациям стандарта в области управления рисками ISO 31000:2018 исходя из статуса Биржи как инфраструктурной организации финансового рынка. В 2019 году был принят План мероприятий по результатам этой самооценки, который предусматривает проведение 10 мероприятий в течение трех лет, проведение ежегодной самооценки на соответствие стандарту, а также корректировку и актуализацию мероприятий по результатам самооценки.

Управление непрерывностью
деятельности

Биржей проводится работа по совершенствованию системы управления непрерывностью деятельности. Эта деятельность регламентируется внутренними документами – Политикой управления непрерывностью деятельности, Правилами организации обеспечения непрерывности и восстановления деятельности и Планом действий по обеспечению непрерывности и восстановления деятельности, которые разработаны в соответствии с международными стандартами и призваны обеспечить непрерывность критически важных видов деятельности при наступлении инцидентов и чрезвычайных ситуаций, повлекших за собой бездействие информационных систем Биржи. В 2019 году в IT-инфраструктуру Биржи были внесены существенные изменения. Биржа отказалась от использования резервного центра ТОО "РТРС", сменив поставщика услуг по хранению и обработке данных. Вместо центра РТРС Биржа запустила систему из трех центров обработки данных (ЦОД) – основного и двух резервных – и полностью изменила схему управления непрерывностью деятельности.

На конец отчетного периода IT-инфраструктура Биржи включала в себя серверы в основном ЦОД, серверы в резервных ЦОД (в городах Алматы и Нур-Султан), основные и резервные каналы связи. В основном ЦОД также имеются серверы "горячего" резерва, позволяющие автоматически переключать на них работу ТКС МОЕХ в случае сбоя работы основных серверов. При этом автоматическое переключение никак не отразится на работе Биржи и ее клиентов.

В рамках изменения подходов к системе управления непрерывностью деятельности разработана и протестирована система виртуальных рабочих мест (VDI), которые создаются на серверах Биржи и позволяют иметь доступ ко всем информационным системам Биржи вне зависимости от местонахождения пользователя. Виртуализация рабочих мест позволит оперативно реагировать на чрезвычайные ситуации и снизить расходы, связанные с созданием физических рабочих мест.

Биржей периодически проводятся тренировки и учения, связанные с обеспечением непрерывности деятельности, предусматривающие тестирование работы резервных систем. В отчетном году план таких учений был пересмотрен, и в первом квартале 2020 года планируется запустить полностью обновленную систему тренировок с учетом использования VDI и новых ЦОД.

Информационная
и физическая безопасность

С целью минимизации рисков информационной безопасности и повышения уровня защиты информационно-коммуникационной инфраструктуры Биржи от возможных кибератак в отчетном периоде приобретено и введено в эксплуатацию обновленное телекоммуникационное оборудование, обеспечивающее высокий уровень защиты от различного рода киберугроз. Для снижения риска утечки конфиденциальной информации внедрено специализированное ПО, обеспечивающее контроль целостности конфиденциальных файлов и журналов аудиторского следа. Настроен контроль подключения устройств к корпоративной сети Биржи на портах активного сетевого оборудования. Улучшена безопасность WiFi-сети Биржи, настроена и функционирует единая система аутентификации администраторского доступа к серверам Биржи с использованием контролера домена Биржи.

Кроме того, в рамках совершенствования системы информационной безопасности в отчетном периоде выполнен ряд проверок на соответствия внутренним документам, проведен аудит прав доступа всех пользователей в информационные системы Биржи, а также комплекс иных мероприятий, связанных с усилением пользовательской дисциплины в сети и системах Биржи.

В рамках плана по совершенствованию нормативной документации согласно стандарту по информационной безопасности ISO 27001:2013 и Требованиям к обеспечению информационной безопасности банков и организаций, осуществляющих отдельные виды банковских операций(8) внесены изменения и дополнения во внутренние документы, регламентирующие функционирование системы управления информационной безопасности Биржи, а также разработаны и утверждены новые внутренние документы по информационной безопасности. Совокупность этих мероприятий позволила улучшить уровень информационной безопасности Биржи и снизить риски Биржи в данной области.

С целью улучшения физической безопасности Биржи усовершенствованы процедуры контроля предоставления охранных услуг, в помещениях некоторых подразделений установлены дополнительные датчики охранной и тревожной сигнализаций.

8 утверждены постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48