Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах
Постанова Національного банку України; Положення, Перелік, Класифікація від 11.06.201864
Документ v0064500-18, чинний, поточна редакція — Прийняття від 11.06.2018
( Остання подія — Набрання чинності, відбулась 16.06.2018. Подивитися в історії? )

ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА

11.06.2018  № 64

Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

Відповідно до статей 7, 15 та 56 Закону України "Про Національний банк України", статей 44 та 66 Закону України "Про банки і банківську діяльність", з метою вдосконалення в банках України системи управління ризиками з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про організацію системи управління ризиками в банках України та банківських групах (далі - Положення), що додається.

2. Банкам України/відповідальним особам банківських груп розробити/доопрацювати та запровадити внутрішньобанківські документи з питань управління ризиками, виконати заходи із запровадження вимог Положення в терміни, установлені в графіку, що додається.

3. Департаменту методології (Іваненко Н.В.) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Рожкову К.В.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

Голова

Я.В. Смолій



Додаток
до постанови Правління
Національного банку України
11.06.2018 № 64

ГРАФІК
виконання банками України та банківськими групами заходів із запровадження вимог Положення про організацію системи управління ризиками в банках України та банківських групах

№ з/п

Захід

Термін виконання банком

Термін виконання банківською групою

1

2

3

4

1

I. Перший етап - запровадження організаційних заходів

2

1. Приведення організаційної структури системи управління ризиками у відповідність до вимог Положення про організацію системи управління ризиками в банках України та банківських групах (далі - Положення) та затвердження змін до бюджету банку (за потреби), уключаючи:

3

1) створення комітету ради банку з управління ризиками (у разі прийняття такого рішення радою банку)

До 30 листопада 2018 року

До 28 лютого 2019 року

4

2) створення підрозділу контролю за дотриманням норм (комплаєнс)

До 30 листопада 2018 року

До 28 лютого 2019 року

5

3) забезпечення достатньої чисельності персоналу належної кваліфікації

До 30 листопада 2018 року

До 28 лютого 2019 року

6

4) визначення функцій, обов'язків, повноважень та відповідальності осіб, залучених до системи управління ризиками

До 30 листопада 2018 року

До 28 лютого 2019 року

7

5) визначення механізмів та відповідальних осіб за належне забезпечення співпраці між підрозділами банку на всіх організаційних рівнях із застосуванням моделі трьох ліній захисту

До 30 листопада 2018 року

До 28 лютого 2019 року

8

2. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання першого етапу запровадження Положення

До 15 грудня 2018 року

До 15 березня 2019 року

9

II. Другий етап - запровадження культури ризиків

10

1. Розроблення/доопрацювання, затвердження та впровадження культури управління ризиками, уключаючи:

11

1) кодекс поведінки (етики)

До 30 березня 2019 року

До 30 червня 2019 року

12

2) політику запобігання конфліктам інтересів

До 30 березня 2019 року

До 30 червня 2019 року

13

3) порядок здійснення операцій із пов'язаними з банком особами

До 30 березня 2019 року

До 30 червня 2019 року

14

4) механізм конфіденційного повідомлення про неприйнятну поведінку в банку (whistleblowing policy mechanism)

До 30 березня 2019 року

До 30 червня 2019 року

15

5) програму навчання та підвищення кваліфікації працівників банку з питань управління ризиками

До 30 березня 2019 року

До 30 червня 2019 року

16

2. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання другого етапу запровадження Положення

До 15 квітня 2019 року

До 15 липня 2019 року

17

III. Третій етап - запровадження стратегій, політики, методик і процедур

18

1. Розроблення/доопрацювання, затвердження та запровадження внутрішньобанківських документів щодо управління ризиками, уключаючи:

19

1) стратегію управління ризиками; політику та процедури запровадження нових продуктів і значних змін у діяльності банку; процедури ескалації порушень лімітів ризиків; порядок, форми, наповнення та періодичність надання звітів суб'єктам системи управління ризиками

До 30 березня 2019 року

До 30 червня 2019 року

20

щодо кредитного ризику:

21

2) політику управління кредитним ризиком

До 30 березня 2019 року

До 30 червня 2019 року

22

3) методики, методи, обов'язкові інструменти

До 30 червня 2019 року

До 30 вересня 2019 року

23

4) процеси, інформаційні системи та звітування

До 30 вересня 2019 року

До 30 грудня 2019 року

24

щодо ризику ліквідності:

25

5) політику управління ризиком ліквідності, план фінансування в кризових ситуаціях

До 30 березня 2019 року

До 30 червня 2019 року

26

6) методики, методи, обов'язкові інструменти

До 30 вересня 2019 року

До 30 грудня 2019 року

27

7) процеси, інформаційні системи та звітування

До 30 листопада 2019 року

До 28 лютого 2020 року

28

щодо процентного ризику банківської книги:

29

8) політику управління процентним ризиком банківської книги

До 30 березня 2019 року

До 30 червня 2019 року

30

9) методики, методи, обов'язкові інструменти

До 30 вересня 2019 року

До 30 грудня 2019 року

31

10) процеси, інформаційні системи та звітування

До 30 листопада 2019 року

До 28 лютого 2020 року

32

щодо ринкових ризиків:

33

11) політику управління ринковим ризиком

До 30 березня 2019 року

До 30 червня 2019 року

34

12) методики, методи, обов'язкові інструменти

До 30 вересня 2019 року

До 30 грудня 2019 року

35

13) процеси, інформаційні системи та звітування

До 30 листопада 2019 року

До 28 лютого 2020 року

36

щодо операційного ризику:

37

14) політику управління операційним ризиком, план забезпечення безперервної діяльності

До 30 червня 2019 року

До 30 вересня 2019 року

38

15) методики, методи, обов'язкові інструменти

До 30 вересня 2019 року

До 30 грудня 2019 року

39

16) процеси, інформаційні системи та звітування

До 30 листопада 2019 року

До 28 лютого 2020 року

40

щодо комплаєнс-ризику:

41

17) політику управління комплаєнс-ризиком

До 30 червня 2019 року

До 30 вересня 2019 року

42

18) методики, методи, обов'язкові інструменти

До 30 вересня 2019 року

До 30 грудня 2019 року

43

19) процеси, інформаційні системи та звітування

До 30 листопада 2019 року

До 28 лютого 2020 року

44

щодо інших суттєвих ризиків:

45

20) методику виявлення суттєвих ризиків

До 30 червня 2019 року

До 30 вересня 2019 року

46

21) політику управління іншими суттєвими ризиками

До 30 вересня 2019 року

До 30 грудня 2019 року

47

22) методики, методи, обов'язкові інструменти

До 30 листопада 2019 року

До 28 лютого 2020 року

48

23) процеси, інформаційні системи та звітування

До 30 листопада 2019 року

До 28 лютого 2020 року

49

2. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання третього етапу запровадження Положення

До 15 грудня 2019 року

До 15 березня 2020 року

50

IV. Четвертий етап - запровадження декларації схильності до ризиків та інших вимог Положення

51

1. Розроблення, затвердження та запровадження декларації схильності до ризиків

До 30 січня 2020 року

До 30 квітня 2020 року

52

2. Розроблення/доопрацювання та затвердження радою банку інших внутрішньобанківських документів щодо управління ризиками та запровадження інших вимог Положення

До 30 січня 2020 року

До 30 квітня 2020 року

53

3. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання четвертого етапу запровадження Положення

До 15 лютого 2020 року

До 15 травня 2020 року

Директор Департаменту
методології


Н.В. Іваненко



ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
11.06.2018 № 64

ПОЛОЖЕННЯ
про організацію системи управління ризиками в банках України та банківських групах

I. Загальні положення

1. Основні положення та терміни

1. Це Положення розроблено відповідно до вимог Закону України "Про Національний банк України", Закону України "Про банки і банківську діяльність" та з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду щодо корпоративного управління та управління ризиками в банках і банківських групах.

2. Це Положення визначає основні цілі та принципи управління ризиками, які виникають за всіма напрямами діяльності банку та банківської групи на всіх організаційних рівнях, і встановлює мінімальні вимоги щодо організації в банку та банківській групі комплексної, адекватної та ефективної системи управління ризиками.

3. Терміни, що використовуються в цьому Положенні, вживаються в таких значеннях:

1) агрегування даних щодо ризиків - виявлення, збір та оброблення даних про ризики, ураховуючи вимоги щодо складання звітності про ризики, що дає змогу оцінити діяльність банку з урахуванням ризик-апетиту. Агрегування даних щодо ризиків уключає також класифікацію, сегментацію, об'єднання чи розбивку даних про ризики;

2) аутсорсер - юридична особа, обрана банком для виконання його функцій на умовах аутсорсингу;

3) аутсорсинг - передавання на договірній основі іншим особам функцій банку на регулярній (неодноразовій) основі з метою оптимізації витрат і процесів у банку;

4) банківська книга - активи та зобов'язання банку (як балансові, так і позабалансові), які не включені до торгової книги;

5) бізнес-процес - сукупність взаємопов'язаних або взаємодіючих видів діяльності, спрямованих на створення певного продукту або послуги;

6) декларація схильності до ризиків (RAS - Risk Appetite Statement) - внутрішньобанківський документ, який визначає сукупну величину ризик-апетиту, види ризиків, які банк прийматиме або уникатиме з метою досягнення його бізнес-цілей, та рівень ризик-апетиту щодо кожного з них (індивідуальний рівень);

7) диверсифікація - обмеження впливу фактора ризику за рахунок уникнення надмірної концентрації за одним портфелем шляхом пошуку та поєднання портфелів, які за однакових умов приводять до різних не обов'язково прямо протилежних результатів. Диверсифікація є методом пом'якшення ризику, який застосовується як щодо активних, так і пасивних операцій;

8) допустимий рівень ризику (Risk Capacity) - максимальна величина ризику, яку банк у змозі прийняти за всіма видами ризиків з огляду на рівень його капіталу, здатність адекватно та ефективно управляти ризиками, а також з урахуванням регулятивних обмежень;

9) дохідність до погашення (YTM - Yield to Maturity) - сукупна величина дохідності у відсотках річних, яку банк отримає в разі набуття у власність облігації або іншого боргового інструменту на дату оцінки за поточною ринковою (справедливою) вартістю за умови утримання такого інструменту до погашення;

10) дюрація - середньозважений строк до отримання грошових потоків за облігацією або іншими фінансовими інструментами з фіксованим прибутком;

11) економічна вартість капіталу (EVE - Economic Value of Equity) - теперішня вартість чистих майбутніх грошових потоків за фінансовими інструментами банківської книги;

12) інформаційна система щодо управління ризиками - сукупність технічних засобів, методів і процедур, що забезпечують реєстрацію, зберігання, оброблення, моніторинг і своєчасне формування достовірної інформації для звітування (інформування), аналізу та прийняття своєчасних та адекватних управлінських рішень щодо управління ризиками;

13) інформаційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок виникнення внутрішніх і зовнішніх подій щодо інформаційних систем банку та інших інформаційних ресурсів, що використовуються для досягнення цілей банку, недостатності внутрішнього контролю чи неадекватних або помилкових внутрішніх процесів банку у сфері інформаційно-комунікаційних технологій. Інформаційний ризик є складовою операційного ризику;

14) комплаєнс-ризик - імовірність виникнення збитків/санкцій, додаткових втрат або недоотримання запланованих доходів або втрати репутації внаслідок невиконання банком вимог законодавства, нормативно-правових актів, ринкових стандартів, правил добросовісної конкуренції, правил корпоративної етики, виникнення конфлікту інтересів, а також внутрішньобанківських документів банку;

15) кредит - активна банківська операція, визначення терміну якої зазначається в Положенні про визначення банками України розміру кредитного ризику за активними банківськими операціями, затвердженому постановою Правління Національного банку України від 30 червня 2016 року № 351 (зі змінами) (далі - Положення № 351), за винятком боргових цінних паперів та інших фінансових інструментів у торговій книзі банку;

16) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником/контрагентом узятих на себе зобов'язань відповідно до умов договору;

17) культура управління ризиками - дотримання визначених банком принципів, правил, норм банку, спрямованих на проінформованість усіх працівників банку щодо прийняття ризиків та управління ризиками;

18) ліміт ризику - обмеження, установлені банком для контролю величини ризиків, на які наражається банк протягом своєї діяльності;

19) модифікована дюрація - показник, що відображає вплив зміни дохідності до погашення на вартість облігації або іншого фінансового інструменту з фіксованим прибутком;

20) необтяжені активи - активи банку, щодо яких немає юридичних, регуляторних або операційних перешкод для надання їх як застава для залучення фінансування або продажу іншій стороні;

21) непрацюючі активи (далі - НПА) - кредитні операції, операції з придбання боргових цінних паперів, уключаючи нараховані за всіма цими операціями доходи, визначені як непрацюючі активи згідно з вимогами Положення № 351, а також майно, яке перейшло у власність банку на підставі реалізації прав заставодержателя відповідно до умов договору застави;

22) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок недоліків або помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників банку або інших осіб, збоїв у роботі інформаційних систем банку або внаслідок впливу зовнішніх факторів. Операційний ризик уключає юридичний ризик, однак має виключати ризик репутації та стратегічний ризик;

23) опуклість (convexity) - показник, що характеризує чутливість дюрації облігації або іншого фінансового інструменту з фіксованим прибутком до зміни дохідності до погашення та уточнює вплив процентних ставок на поточну вартість облігації або іншого інструменту з фіксованим прибутком;

24) передавання ризику - передавання банком своєї відповідальності за ризик іншим особам за винагороду зі збереженням наявного рівня ризику;

25) передрозрахунковий ризик (Pre-Settlement Risk) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок дефолту контрагента за договором до початку виконання своїх зобов'язань будь-якою зі сторін договору;

26) підрозділ з управління ризиками - структурний підрозділ банку, до складу якого можуть входити один або кілька підрозділів, що забезпечують виконання функцій з управління ризиками, визначених законодавством України, цим Положенням;

27) підрозділ контролю за дотриманням норм (комплаєнс) - структурний підрозділ банку, до складу якого можуть входити один або кілька підрозділів, що забезпечують виконання функцій контролю за дотриманням норм (комплаєнс), визначених законодавством України, цим Положенням;

28) пом'якшення ризиків - комплекс заходів, спрямованих на зменшення ймовірності виникнення ризику та/або зменшення впливу ризику на результати діяльності банку;

29) прийняття ризиків - утримання ризиків на рівні, що перебуває в межах визначеної банком схильності до ризиків (ризик-апетиту) та не створює загрози для інтересів вкладників, інших кредиторів, власників банку та фінансової стійкості банку;

30) профіль ризику - оцінка загального рівня вразливості банку до ризиків (до прийняття заходів для мінімізації ризику) або залишкової вразливості до ризику (після застосування заходів для мінімізації ризику) в агрегованому вигляді та в розрізі всіх видів ризиків, проведена на певну дату на підставі поточних або прогнозних припущень;

31) процентний ризик банківської книги - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок впливу несприятливих змін процентних ставок на банківську книгу. Процентний ризик банківської книги впливає на економічну вартість капіталу банку та чистий процентний дохід банку;

32) ризик - імовірність виникнення збитків або додаткових втрат або недоотримання доходів, або невиконання стороною договірних зобов'язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;

33) ризик-апетит (схильність до ризику) - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначених наперед та в межах допустимого рівня ризику, щодо яких банк прийняв рішення про доцільність/необхідність їх утримання з метою досягнення його стратегічних цілей та виконання бізнес-плану;

34) ризик країни - усі види ризиків, що виникають в економічному, політичному і соціальному середовищі країни реєстрації та ведення бізнесу боржника-нерезидента та можуть мати потенційний вплив на його спроможність обслуговувати борги;

35) ризик ліквідності - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неспроможності банку забезпечувати фінансування зростання активів та/або виконання своїх зобов'язань у належні строки;

36) ризик репутації - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливого сприйняття іміджу банку клієнтами, контрагентами, акціонерами, наглядовими та контролюючими органами;

37) ризик розрахунків (Settlement Risk) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання контрагентом своїх зобов'язань після того, як банк виконав свою частину зобов'язань;

38) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливої зміни курсів іноземних валют, процентних ставок, вартості фінансових інструментів;

39) система управління ризиками - сукупність належним чином задокументованих і затверджених політики, методик і процедур управління ризиками, які визначають порядок дій, спрямованих на здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення всіх видів ризиків на всіх організаційних рівнях;

40) стратегічний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неправильних управлінських рішень та неадекватного реагування на зміни в бізнес-середовищі;

41) стрес-сценарій - модель можливого розвитку подій (обставин) унаслідок впливу різних факторів ризиків, виникнення яких може завдати шкоди фінансовому стану та/або ліквідності банку;

42) стрес-тестування - метод вимірювання ризику, що дає змогу оцінити потенційні несприятливі результати впливу ризиків як величину збитків, що можуть стати наслідком шокових змін різних факторів ризиків (курсів іноземних валют, процентних ставок та/або інших факторів), які відповідають виключним (екстремальним), але ймовірним подіям;

43) торгова книга - активи та зобов'язання банку (як балансові, так і позабалансові), які утримуються з метою торгівлі або хеджування ризиків інших статей торгової книги;

44) трансфертний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок того, що у боржника немає можливості отримувати та/або перераховувати іноземну валюту для обслуговування боргу за кредитом;

45) уникнення ризику - припинення здійснення операцій, що з високою ймовірністю настання призводять до значних збитків;

46) хеджування - метод пом'якшення ризику, який полягає у визначенні об'єкта хеджування та підборі до нього адекватного інструменту хеджування. Суть хеджування полягає в компенсації збитків від об'єкта хеджування за рахунок прибутку від інструменту хеджування, які виникають за одних і тих самих умов чи подій. За наявності хеджування банк позбавляється як ризику, так і можливості отримання додаткового прибутку (за винятком хеджування за допомогою опціонів): якщо умови чи події будуть сприятливими з точки зору об'єкта хеджування, то будь-який прибуток автоматично перекриватиметься збитками від інструменту хеджування;

47) чистий процентний дохід (NII - Net Interest Income) - різниця між сумою процентних доходів та сумою процентних втрат за активами і зобов'язаннями банківської книги;

48) шокова величина/шокова зміна - гіпотетична величина зміни фактора зовнішнього оточення (рівня процентної ставки, значення валютного курсу), яка використовується в стрес-тестуванні. Шокова величина/шокова зміна має відповідати двом критеріям: бути суттєвою та ймовірною;

49) юридичний ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання запланованих доходів унаслідок невиконання сторонами умов договорів у зв'язку з їх невідповідністю вимогам законодавства.

Інші терміни, які вживаються в цьому Положенні, використовуються в значеннях, визначених Законом України "Про банки і банківську діяльність", іншими законами України та нормативно-правовими актами Національного банку України (далі - Національний банк).

4. Банк/банківська група (далі - банк) у своїх внутрішньобанківських/внутрішньогрупових документах мають право встановлювати більш поглиблений підхід до побудови та функціонування системи управління ризиками, адекватний особливостям його діяльності, характеру і обсягам банківських та інших фінансових послуг, дотримуючись мінімальних вимог, визначених у цьому Положенні, та враховуючи рекомендації Базельського комітету з банківського нагляду щодо управління ризиками.

5. Банк створює систему управління ризиками, що відповідає його розміру, бізнес-моделі, масштабу діяльності, видам, складності операцій банку та забезпечує виявлення, вимірювання (оцінку), моніторинг, звітування, контроль та пом'якшення всіх суттєвих ризиків банку з метою визначення банком величини капіталу, необхідного для покриття всіх суттєвих ризиків, притаманних його діяльності (внутрішнього капіталу).

6. Органи управління відповідальної особи банківської групи несуть відповідальність за ефективність системи управління ризиками в банківській групі.

7. Ефективність, комплексність та адекватність створеної банком системи управління ризиками є предметом оцінки уповноваженими працівниками Національного банку, які здійснюють банківський нагляд у формі інспекційних перевірок та безвиїзного нагляду (далі - уповноважені працівники Національного банку), щодо:

1) відповідності затверджених радою банку стратегії управління ризиками та декларації схильності до ризиків банку його бізнес-моделі та ризикам, які банк спроможний утримувати для досягнення бізнес-цілей;

2) відповідності профілю ризику банку затвердженому радою банку рівню ризик-апетиту;

3) повноти та ефективності впровадження внутрішньобанківських документів;

4) створення та дотримання високої культури управління ризиками, уключаючи забезпечення обізнаності та залучення членів ради банку та членів правління банку, а також інших працівників банку до управління ризиками [періодичності засідань ради банку, колегіальних органів, керівників підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс), документування таких засідань], навчання працівників банку з питань управління ризиками;

5) відповідності внутрішньобанківських документів щодо управління ризиками вимогам цього Положення;

6) наявності у працівників підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) належного статусу та відповідної кваліфікації для виконання покладених на них функцій;

7) виконання банком інших вимог, установлених цим Положенням.

8. Оцінка ефективності, комплексності та адекватності, створеної банком системи управління ризиками здійснюється уповноваженими працівниками Національного банку шляхом: аналізу діяльності банку, внутрішньобанківських документів, результатів самооцінювання з боку банку; перевірки процесів, операцій, інструментів з управління ризиками; проведення інтерв'ю з керівниками банку та іншими працівниками банку; оцінки взаємодії ради банку і частоти проведення зустрічей із керівниками підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс).

9. Наявність фактів недотримання вимог щодо впровадження й функціонування ефективної системи управління ризиками, порушень норм цього Положення є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку заходів впливу в порядку, установленому Положенням про застосування Національним банком України заходів впливу, затвердженим постановою Правління Національного банку України від 17 серпня 2012 року № 346, зареєстрованим у Міністерстві юстиції України 17 вересня 2012 року за № 159/21902 (зі змінами) (далі - Положення № 346).

2. Система управління ризиками банку

10. Банк створює комплексну, адекватну та ефективну систему управління ризиками з урахуванням особливостей своєї діяльності, характеру та обсягів його операцій, профілю ризику та системної важливості банку, яка відповідає таким принципам:

1) ефективність - забезпечення об'єктивної оцінки розміру ризиків банку та повноти заходів щодо управління ризиками з оптимальним використанням фінансових ресурсів, персоналу та інформаційних систем щодо управління ризиками банку;

2) своєчасність - забезпечення своєчасного (на ранній стадії) виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення всіх видів ризиків на всіх організаційних рівнях;

3) структурованість - чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма структурними підрозділами та працівниками банку, та їх відповідальності згідно з таким розподілом;

4) розмежування обов'язків (відокремлення функції контролю від здійснення операцій банку) - уникнення ситуації, за якої одна й та сама особа здійснює операції банку та виконує функції контролю;

5) усебічність та комплексність - охоплення всіх видів діяльності банку на всіх організаційних рівнях та в усіх його структурних підрозділах, оцінка взаємного впливу ризиків;

6) пропорційність - відповідність системи управління ризиками бізнес-моделі банку, його системній важливості, а також рівню складності операцій, що здійснюються банком;

7) незалежність - свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс) своїх функцій;

8) конфіденційність - обмеження доступу до інформації, яка має бути захищеною від несанкціонованого ознайомлення;

9) прозорість - оприлюднення банком інформації щодо системи управління ризиками та профілю ризику.

11. Банк здійснює комплексну оцінку щонайменше таких суттєвих видів ризиків:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкового ризику;

5) операційного ризику;

6) комплаєнс-ризику;

7) інших суттєвих видів ризиків, на які банк наражається під час своєї діяльності.

Банк самостійно встановлює фактори, показники та поріг суттєвості інших видів ризиків на підставі обґрунтованих висновків та визначає порядок виявлення таких ризиків у методиці виявлення суттєвих ризиків.

12. Банк оцінює ризики за фінансовими інструментами, що містяться як в торговій, так і в банківській книгах. Перелік видів ризиків, які банк має оцінювати залежно від книги, у якій міститься інструмент, наведений у карті ризиків торгової та банківської книг (додаток 1).

13. Банк створює систему управління ризиками, яка щонайменше охоплює види ризиків, наведені в пункті 11 глави 2 розділу I цього Положення.

14. Банк під час оцінки всіх видів ризиків ураховує ризик концентрації.

Банк розглядає ризик концентрації як концентрацію своїх активів та зобов'язань у розрізі:

1) одного боржника/контрагента та групи пов'язаних контрагентів;

2) бізнес-ліній і продуктів;

3) видів економічної діяльності (галузевої концентрації) та географічних регіонів;

4) пов'язаних із контрагентами осіб, чиї фінансові результати залежать від одного виду діяльності чи основного продукту;

5) класів боржників/контрагентів, що визначаються відповідно до вимог Положення № 351;

6) видів забезпечення виконання боржниками та контрагентами своїх зобов'язань;

7) видів валют.

Банк має право розглядати ризик концентрації в інших розрізах додатково до встановлених у пункті 14 глави 2 розділу I цього Положення.

15. Банк створює систему управління ризиками, яка має забезпечувати безперервний аналіз ризиків з метою прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків та зменшення пов'язаних із ними втрат (збитків).

16. Банк організовує систему управління ризиками, яка ґрунтується на розподілі обов'язків між підрозділами банку із застосуванням моделі трьох ліній захисту:

1) перша лінія - на рівні бізнес-підрозділів банку та підрозділів підтримки діяльності банку. Ці підрозділи приймають ризики та несуть відповідальність за них і подають звіти щодо поточного управління такими ризиками;

2) друга лінія - на рівні підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс);

3) третя лінія - на рівні підрозділу внутрішнього аудиту щодо перевірки та оцінки ефективності функціонування системи управління ризиками.

17. Система управління ризиками банку щонайменше має передбачати:

1) організаційну структуру, яка чітко визначає обов'язки, повноваження та відповідальність осіб щодо управління ризиками;

2) культуру управління ризиками та кодекс поведінки (етики);

3) внутрішньобанківські документи з питань управління ризиками;

4) інформаційну систему щодо управління ризиками та звітування;

5) інструменти для ефективного управління ризиками.

18. Відповідальна особа банківської групи забезпечує ефективну систему управління ризиками в банківській групі, що передбачає забезпечення надійного процесу виявлення, вимірювання (оцінки), моніторингу, звітування, контролю та пом'якшення всіх видів ризиків у банківській групі та її підгрупах, наявність внутрішніх положень банківської групи щодо управління ризиками, уключаючи кількісну та якісну оцінку (вимірювання) ризиків, чіткий розподіл функцій, обов'язків та повноважень з управління ризиками в банківській групі.

19. Банк оприлюднює інформацію щодо управління ризиками відповідно до вимог Інструкції про порядок складання та оприлюднення фінансової звітності банків України, затвердженої постановою Правління Національного банку України від 24 жовтня 2011 року № 373, зареєстрованої в Міністерстві юстиції України 10 листопада 2011 року за № 1288/20026 (зі змінами).

3. Організаційна структура системи управління ризиками

20. Банк створює організаційну структуру системи управління ризиками, яка забезпечує чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма суб'єктами системи управління ризиками, а також між працівниками банку, та передбачає їх відповідальність згідно з таким розподілом.

Банк під час визначення організаційної структури системи управління ризиками враховує необхідність забезпечення взаємозаміни працівників з метою уникнення негативного впливу на ефективність функціонування системи управління ризиками в разі тимчасової відсутності працівника або його звільнення.

21. Банк забезпечує наявність належної кількості кваліфікованих і досвідчених працівників виходячи з потреб організаційної структури системи управління ризиками, напрямів діяльності (бізнес-ліній) та профілю ризику банку.

Банк не має права передавати функції щодо управління ризиками банку на аутсорсинг.

22. Банк визначає функції, обов'язки, повноваження та відповідальність осіб у посадових інструкціях, у яких мають передбачатися функціональні обов'язки кожного працівника банку щодо участі в управлінні ризиками, що включають забезпечення належного звітування щодо управління ризиками.

23. Банк визначає механізми та відповідальних осіб за належне забезпечення обміном інформацією між окремими структурними підрозділами банку для ефективної взаємодії (співпраці) на всіх організаційних рівнях.

24. Суб'єктами системи управління ризиками банку є:

1) рада банку;

2) комітет ради банку з управління ризиками (за наявності);

3) правління банку;

4) кредитний комітет правління банку;

5) комітет правління банку з управління активами та пасивами;

6) інші колегіальні органи банку;

7) підрозділ внутрішнього аудиту;

8) підрозділ з управління ризиками;

9) підрозділ контролю за дотриманням норм (комплаєнс);

10) бізнес-підрозділи, ураховуючи підрозділ з роботи з НПА (workout unit), та підрозділи підтримки (перша лінія захисту).

25. Рада банку має право створювати інші комітети та делегувати їм частину своїх функцій з управління ризиками. Рада банку залишається відповідальною за загальне управління ризиками та забезпечує контроль за виконанням делегованих нею функцій.

26. Правління банку має право створити комітет з управління операційним ризиком та інші комітети банку, делегувавши їм частину своїх функцій з управління ризиками. У цьому разі правління банку залишається відповідальним за виконання делегованих ним функцій.

27. Комітет здійснює свою діяльність на підставі положення або іншого документа, у якому зазначаються його обов'язки, сфера діяльності та робочі процедури. Такі процедури включають подання комітетом звітів усім членам ради банку (для комітетів ради банку) та членам правління (для комітетів правління банку).

Комітети повинні вести документацію про обговорення й прийняті рішення, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк надає таку документацію уповноваженим працівникам Національного банку на їх вимогу.

Комітети та голови комітетів мають відповідати вимогам, установленим законодавством України.

4. Відповідальність та функції ради банку щодо управління ризиками

28. Рада банку несе повну відповідальність за створення комплексної, адекватної та ефективної системи управління ризиками, на які наражається банк у своїй діяльності. Для забезпечення належного управління ризиками рада банку повинна:

1) визначати та контролювати дотримання корпоративних цінностей банку, які базуються на здійсненні бізнесу на законних та етичних принципах, та постійно підтримувати високу культуру управління ризиками;

2) приділяти достатню кількість часу, зусиль і ресурсів для участі в управлінні ризиками банку та контролю за комплексністю, адекватністю та ефективністю системи управління ризиками;

3) створити та підтримувати на належному рівні організаційну структуру, інформаційну систему щодо управління ризиками та внутрішній контроль, що забезпечують ефективне управління ризиками;

4) забезпечувати, щоб політика винагороди в банку відповідала та сприяла ефективному управлінню ризиками, не стимулюючи прийняття надмірного рівня ризику;

5) установлення випадків накладання заборони (вето) керівниками підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) на рішення правління банку, комітетів та інших колегіальних органів правління банку;

6) сприяти створенню регулярних та прозорих механізмів комунікації в банку.

29. Рада банку для реалізації своїх завдань виконує такі функції:

1) забезпечує функціонування та контроль за ефективністю системи управління ризиками;

2) затверджує внутрішньобанківські документи з питань управління ризиками (далі - внутрішньобанківські документи), перелік яких визначено в додатку 2 до цього Положення, та здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);

3) затверджує перелік лімітів (обмежень) щодо кожного виду ризику та процедуру ескалації порушень лімітів ризиків;

4) ухвалює рішення щодо запровадження значних змін у діяльності банку;

5) затверджує щороку та регулярно переглядає стратегію управління НПА (далі - стратегія НПА) та оперативний план; не рідше ніж один раз на три місяці відстежує прогрес, досягнутий за попередній період за всіма показниками, визначеними в стратегії НПА та оперативному плані і за потреби визначає додаткові заходи, необхідні для забезпечення реалізації цієї стратегії;

6) затверджує план відновлення діяльності (Recovery Plan) та забезпечує виконання функцій щодо відновлення діяльності банку;

7) затверджує призначення та звільнення керівників підрозділу з управління ризиками (CRO) та підрозділу контролю за дотриманням норм (комплаєнс) (ССО);

8) визначає характер, формат та обсяги інформації про ризики, розглядає управлінську звітність про ризики та, якщо профіль ризику банку не відповідає затвердженому ризик-апетиту невідкладно приймає рішення щодо застосування адекватних заходів для пом'якшення ризиків;

9) уживає заходів щодо запобігання конфліктам інтересів у банку, сприяє їх врегулюванню та повідомляє Національний банк про конфлікти інтересів, що виникають у банку.

Рада банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 29 глави 4 розділу I цього Положення, які не суперечать вимогам цього Положення.

30. Рада банку забезпечує належний рівень документування обговорень та прийнятих рішень, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк подає таку документацію уповноваженим працівникам Національного банку на їх вимогу.

31. Рада банку з метою підвищення ефективності управління ризиками має право створити комітет з управління ризиками (далі - комітет з управління ризиками) та делегувати частину своїх функцій з управління ризиками до комітету з управління ризиками. Рада банку залишається відповідальною за загальне управління ризиками та забезпечує контроль за виконанням делегованих нею функцій.

32. Рада банку створює постійно діючий підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) і забезпечує незалежність цих підрозділів шляхом:

1) звітування та підпорядкування цих підрозділів раді банку;

2) надання цим підрозділам прямої та необмеженої можливості обговорення питань щодо ризиків безпосередньо з радою банку без необхідності (обов'язку) інформування про це членів правління банку;

3) організаційного та функціонального відокремлення цих підрозділів від підрозділів (керівників підрозділів) першої та третьої ліній захисту;

4) забезпечення достатньої чисельності працівників цих підрозділів і рівня їх кваліфікації для досягнення цілей і завдань, поставлених перед ними;

5) урахування в бюджеті банку достатнього розміру фінансового забезпечення цих підрозділів. Винагорода працівників цих підрозділів не повинна залежати від результатів роботи бізнес-підрозділів, які є об'єктом контролю, та має сприяти комплектуванню цих підрозділів кваліфікованими працівниками відповідного профілю. Оцінка ефективності роботи працівників цих підрозділів має ґрунтуватися на досягненні їх цілей таким чином, щоб не обмежувати їх незалежність;

6) гарантування доступу цих підрозділів до інформації, необхідної для їх ефективної роботи. Керівники та персонал банку мають сприяти в наданні такої інформації;

7) недопущення працівників цих підрозділів до здійснення функцій контролю за тією діяльністю, за яку вони раніше безпосередньо несли відповідальність або стосовно якої раніше ухвалювали рішення з метою запобігання конфлікту інтересів.

5. Функції комітету з управління ризиками

33. Комітет з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції:

1) розробляє, забезпечує розроблення та/або бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення, а також регулярно (не рідше одного разу на рік) переглядає їх з метою актуалізації та здійснює контроль за їх впровадженням та дотриманням;

2) контролює стан виконання заходів щодо оперативного усунення недоліків у функціонуванні системи управління ризиками, виконання рекомендацій і зауважень підрозділу внутрішнього аудиту, зовнішніх аудиторів, Національного банку та інших контролюючих органів;

3) здійснює контроль за тим, щоб ціноутворення/установлення тарифів на банківські продукти враховувало бізнес-модель банку та стратегію управління ризиками. Якщо ціни/тарифи не покривають ризики банку, то комітет з управління ризиками повинен розробити заходи та подати їх на розгляд раді банку;

4) готує та надає звіти не рідше одного разу на квартал про виконання покладених на нього функцій членам ради банку;

5) забезпечує виконання інших функцій та повноважень з питань управління ризиками, визначених радою банку.

Рада банку сама виконує функції комітету з управління ризиками, якщо вона не створила цей комітет.

34. Голова комітету з управління ризиками невідкладно ініціює скликання позачергового засідання ради банку в разі значного збільшення ризиків банку та необхідності прийняття рішень щодо вжиття необхідних попереджувальних заходів.

6. Відповідальність та функції правління банку щодо управління ризиками

35. Правління банку забезпечує виконання завдань, рішень ради банку щодо впровадження системи управління ризиками, уключаючи стратегію та політику управління ризиками, культуру управління ризиками, процедури, методи та інші заходи ефективного управління ризиками. Правління банку визнає та виконує вимоги щодо незалежного виконання обов'язків підрозділами управління ризиками і контролю за дотриманням норм (комплаєнс) і не втручається у виконання ними своїх обов'язків.

36. Правління банку для реалізації своїх завдань виконує такі функції щодо управління ризиками:

1) забезпечує розроблення, бере участь у розробленні та затверджує внутрішньобанківські документи згідно з додатком 2 до цього Положення;

2) забезпечує підготовку та надання раді банку управлінської звітності про ризики, на які наражається банк, яка включає інформацію щодо нових видів продуктів чи значних змін у діяльності банку;

3) забезпечує підготовку та надання раді банку пропозицій щодо необхідності внесення змін до стратегії та політики управління ризиками;

4) забезпечує контроль за доведенням до відома відповідних структурних підрозділів і працівників банку інформації про внесені зміни до стратегії та політики управління ризиками, інших внутрішньобанківських документів з питань управління ризиками;

5) розробляє заходи щодо оперативного усунення недоліків у функціонуванні системи управління ризиками, виконання рекомендацій та зауважень за результатами оцінки ризиків, перевірок підрозділу внутрішнього аудиту, зовнішніх аудиторів і наглядових органів;

6) затверджує значення лімітів щодо кожного виду ризиків згідно з визначеним радою банку переліком лімітів (обмежень).

Правління банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 36 глави 6 розділу I цього Положення, які не суперечать вимогам цього Положення.

7. Функції підрозділу з управління ризиками

37. Підрозділ з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції з управління ризиками:

1) забезпечує своєчасне виявлення, вимірювання, моніторинг, контроль, пом'якшення та звітування щодо суттєвих ризиків;

2) здійснює моніторинг рівня та обсягів НПА в цілому, у розрізі портфелів, у взаємозв'язку з достатністю капіталу;

3) забезпечує моніторинг та попередження порушень показників ризик-апетиту та лімітів ризику, контролює наближення показників ризиків до ризик-апетиту та лімітів ризику та ініціює вжиття заходів для попередження їх порушень;

4) готує та надає звіти щодо ризиків раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку - не рідше одного разу на місяць, а в разі виявлення ситуацій, що потребують невідкладного інформування ради банку, - не пізніше наступного робочого дня;

5) здійснює постійний аналіз ризиків, на які наражається банк під час своєї діяльності, з метою підготовки пропозицій з прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків;

6) розробляє та підтримує в актуальному стані методики, інструменти та моделі, що використовуються банком для аналізу впливу різних факторів ризиків на фінансовий стан, капітал та ліквідність банку;

7) впливає на прийняття рішень, що наражають банк на значні ризики, та за потреби вживає всіх можливих заходів щодо належного інформування ради банку, комітету з управління ризиками, правління банку з метою запобігання прийняттю таких рішень;

8) здійснює стрес-тестування;

9) обчислює профіль ризику банку;

10) готує висновки щодо ризиків, які притаманні новим продуктам та значним змінам у діяльності банку, до моменту їх впровадження для прийняття управлінських рішень;

11) готує висновки щодо ризиків, які притаманні як новим кредитам, так і змінам за діючими кредитами, для прийняття управлінських рішень щодо надання нових кредитів чи внесення змін до діючих кредитних договорів;

12) забезпечує координацію роботи з питань управління ризиками між структурними підрозділами банку;

13) надає пропозиції раді банку та правлінню банку щодо пом'якшення впливу ризиків (у розрізі кожного виду) на фінансовий стан, капітал та ліквідність банку шляхом ініціювання встановлення та/або перегляду лімітів на окремі види банківських операцій та послуг. Підрозділ з управління ризиками має право надавати інші пропозиції щодо пом'якшення впливу;

14) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Підрозділ з управління ризиками має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 37 глави 7 розділу I цього Положення, та які не суперечать вимогам цього Положення.

38. Керівник підрозділу з управління ризиками (CRO) несе відповідальність за діяльність цього підрозділу, має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, та накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення встановленого ризик-апетиту та/або затверджених лімітів ризику, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку або комітет з управління ризиками про такі рішення.

39. Керівник підрозділу з управління ризиками повинен мати освіту, яка забезпечить належне виконання його посадових обов'язків, досвід роботи не менше п'яти років в банківській системі в сфері управління ризиками.

8. Функції підрозділу контролю за дотриманням норм (комплаєнс)

40. Підрозділ контролю за дотриманням норм (комплаєнс) з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції контролю за дотриманням норм (комплаєнс):

1) забезпечує організацію контролю за дотриманням банком норм законодавства, внутрішньобанківських документів та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

2) забезпечує моніторинг змін у законодавстві та відповідних стандартах професійних об'єднань, дія яких поширюється на банк, та здійснює оцінку впливу таких змін на процеси та процедури, запроваджені в банку, а також забезпечує контроль за імплементацією відповідних змін у внутрішньобанківські документи;

3) забезпечує контроль за взаємовідносинами банку з клієнтами та контрагентами з метою запобіганню участі та/або використанню банку в незаконних операціях;

4) забезпечує управління ризиками, пов'язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури банку, прозорість реалізації процесів банку та в разі виявлення будь-яких фактів, що свідчать про наявність конфлікту інтересів у банку, інформує раду банку та/або уповноважений колегіальний орган ради банку;

5) забезпечує організацію контролю за дотриманням банком норм щодо своєчасності та достовірності фінансової та статистичної звітності;

6) забезпечує організацію контролю за захистом персональних даних відповідно до законодавства України;

7) надає роз'яснення керівникам банку на їх запит з питань дотримання банком законодавства та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

8) забезпечує проведення навчання та обізнаність працівників банку щодо дотримання норм законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, культури управління ризиками, ураховуючи кодекс поведінки (етики);

9) забезпечує координацію роботи з питань управління комплаєнс-ризиком між структурними підрозділами банку;

10) забезпечує функціонування системи управління ризиками шляхом здійснення своєчасного виявлення, вимірювання, моніторингу, контролю, звітування і надання рекомендацій щодо пом'якшення комплаєнс-ризику;

11) забезпечує організацію контролю за відповідністю процесів щодо управління НПА законодавству України та внутрішньобанківським документам;

12) уживає всіх можливих заходів з метою запобігання прийняттю рішень, що наражають банк на значний комплаєнс-ризик, і здійснює належне інформування керівників банку;

13) повідомляє Національний банк про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та конфлікти інтересів, що виникли в банку, якщо радою банку не були застосовані заходи щодо їх усунення. Інформація про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та про конфлікти інтересів, що виникли в банку, надається керівником підрозділу контролю за дотриманням норм (комплаєнс) структурному підрозділу Національного банку, що здійснює нагляд за банками;

14) готує висновки щодо комплаєнс-ризику, який притаманний новим продуктам та значним змінам у діяльності банку, до моменту їх упровадження для прийняття своєчасних та адекватних управлінських рішень;

15) готує висновки стосовно комплаєнс-ризику для ухвалення кредитних рішень щодо кредитів пов'язаним із банком особам;

16) здійснює контроль за відповідністю системи компенсацій та відшкодування, що запроваджена в банку, а також процедур притягнення до дисциплінарної відповідальності працівників банку, вимогам законодавства України;

17) готує та надає звіти щодо комплаєнс-ризику раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку - не рідше одного разу на місяць, а в разі виявлення ситуацій, що потребують невідкладного інформування ради банку, - не пізніше наступного робочого дня;

18) обчислює профіль комплаєнс-ризику;

19) бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення та контролює їх дотримання;

20) бере участь у дослідженні подій внутрішнього та зовнішнього шахрайства.

Підрозділ контролю за дотриманням норм (комплаєнс) має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 40 глави 8 розділу I цього Положення, та які не суперечать вимогам цього Положення.

41. Керівник підрозділу контролю за дотриманням норм (комплаєнс), (ССО), несе відповідальність за діяльність цього підрозділу, має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, і накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення вимог законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, конфлікту інтересів, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку та/або комітет з управління ризиками про такі рішення.

42. Керівник підрозділу контролю за дотриманням норм (комплаєнс) повинен мати повну вищу освіту в галузі економіки, менеджменту (управління) або права, досвід роботи не менше трьох років в банківській системі в сфері контролю за дотриманням норм (комплаєнс) або управління ризиками (у тому числі з питань фінансового моніторингу), внутрішнього аудиту, юридичного супроводження діяльності банку.

43. Банк має право покладати на керівника підрозділу контролю за дотриманням норм (комплаєнс) функції відповідального працівника банку за проведення фінансового моніторингу за дотримання вимог пункту 32 глави 4 розділу I цього Положення.

44. Банк визначає процедуру взаємодії між підрозділом контролю за дотриманням норм (комплаєнс) і підрозділом з управління ризиками, а також між іншими підрозділами банку в частині управління операційним ризиком.

45. Банк створює та веде базу подій комплаєнс-ризику, здійснює аналіз накопиченої в ній інформації. Банк забезпечує в базі подій операційного ризику реєстрацію всіх подій комплаєнс-ризику, які підпадають під визначені банком критерії звітування щодо операційних подій, якщо банк веде базу подій комплаєнс-ризику окремо від бази подій операційного ризику.

9. Культура управління ризиками, кодекс поведінки (етики) та запобігання конфліктам інтересів

46. Рада банку, комітет з управління ризиками та правління банку з метою дотримання як керівниками банку, так і іншими працівниками банку культури управління ризиками створюють необхідну атмосферу (tone at the top) шляхом:

1) визначення та дотримання корпоративних цінностей, а також здійснення нагляду за дотриманням таких цінностей;

2) забезпечення розуміння як керівниками банку, так і іншими працівниками банку їх ролі під час управління ризиками з метою досягнення цілей діяльності банку, а також відповідальності за порушення встановленого рівня ризик-апетиту;

3) просування обізнаності щодо ризиків шляхом забезпечення систематичного інформування всіх підрозділів банку про стратегію, політику, процедури з управління ризиками та заохочення до вільного обміну інформацією і критичної оцінки прийняття ризиків банком;

4) отримання підтверджень, що керівники та інші працівники банку, проінформовані про дисциплінарні санкції або інші дії, які застосовуватимуться до них у разі неприйнятної поведінки/порушення в діяльності банку.

47. Комітет з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) з метою дотримання керівниками банку та іншими працівниками банку корпоративних цінностей розробляють та здійснюють контроль за дотриманням:

1) кодексу поведінки (етики);

2) політики запобігання конфліктам інтересів;

3) механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку, який передбачає забезпечення захисту заявників (whistleblowing policy mechanism);

4) порядку дослідження випадків неприйнятної поведінки в банку/порушень у діяльності банку.

48. Кодекс поведінки (етики) має чітко визначати:

1) загальнообов'язкові норми поведінки для керівників та інших працівників банку, а також відповідальність за порушення цих норм;

2) норми щодо заборони здійснення незаконної діяльності:

подання недостовірної фінансової та статистичної звітності;

посадовий злочин, економічний злочин (шахрайство);

порушення санкцій;

легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення;

неконкурентна практика;

3) політику щодо дотримання культури управління ризиками;

4) норми щодо запобігання порушенню прав споживачів;

5) порядок дій керівників та інших працівників банку для запобігання завданню шкоди майну банку;

6) норми щодо заборони використання службового становища керівниками банку та іншими працівниками банку з метою отримання несправедливих персональних переваг або надання таких переваг третім особам;

7) норми щодо запобігання корупційним діям та хабарництву;

8) гарантії рівності відносин між банком та його клієнтами, працівниками, постачальниками та конкурентами;

9) обмеження щодо дарування та отримання подарунків;

10) принципи оброблення, зберігання та розповсюдження конфіденційної та інсайдерської інформації.

Кодекс поведінки може визначати інші норми, політику чи обмеження додатково до встановлених у пункті 48 глави 9 розділу I цього Положення.

49. Процедура запобігання корупційним діям та хабарництву має забезпечувати:

1) механізм контролю за дотриманням керівниками банку та іншими працівниками банку вимог законодавства з питань запобігання та протидії корупції під час виконання ними функціональних обов'язків;

2) механізм запобігання зловживанням з боку керівників банку та інших працівників банку під час взаємодії з органами державної влади, контролюючими органами та їх посадовими особами, посадовими особами клієнтів та контрагентів;

3) процедури контролю за здійсненням представницьких витрат та наданням/одержанням подарунків керівниками та іншими працівниками банку під час виконання ними посадових обов'язків.

50. Політика запобігання конфліктам інтересів має містити:

1) обов'язки членів ради банку щодо запобігання діяльності, що може спричиняти конфлікти інтересів або можливість виникнення конфліктів інтересів;

2) характерні для банку приклади конфліктів інтересів у членів колегіальних органів банку, ураховуючи членів ради банку, під час виконання ними своїх обов'язків (карта конфліктів інтересів);

3) обов'язки членів колегіальних органів банку та всіх працівників банку оперативно повідомляти про обставини, що можуть спричинити або вже спричинили конфлікт інтересів;

4) обов'язки членів колегіальних органів банку щодо утримання від голосування з будь-якого питання, яке може спричинити конфлікт інтересів або зашкодити об'єктивному ставленню чи належному виконанню таким членом обов'язків перед банком;

5) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту.

Політика запобігання конфліктам інтересів може містити інші обов'язки, процедури додатково до встановлених у пункті 50 глави 9 розділу I цього Положення.

51. Політика запобігання конфліктам інтересів має забезпечувати контроль за своєчасним виявленням, запобіганням та врегулюванням конфлікту інтересів, пов'язаного з:

1) вчиненням дій або прийняттям рішень керівниками банку, членами колегіальних органів та іншими працівниками банку на користь пов'язаних з ними осіб;

2) використанням інсайдерської інформації керівниками банку та іншими працівниками банку;

3) діловою та публічною діяльністю керівників банку та інших працівників банку за межами банку;

4) сторонньою господарською діяльністю керівників банку та інших працівників банку;

5) прямим підпорядкуванням близьких осіб;

6) неправомірним прийняттям подарунків чи даруванням подарунків керівниками банку та іншими працівниками банку.

52. Контроль за своєчасним виявленням, урегулюванням та запобіганням конфліктам інтересів має передбачати:

1) визначення поняття, терміну конфлікту інтересів та основних форм прояву такого конфлікту під час виконання посадових обов'язків керівниками банку та іншими працівниками банку;

2) функціонування процесу попередження конфліктів інтересів, ураховуючи застосування інформаційних бар'єрів для захисту інформації, отриманої керівниками банку та іншими працівниками банку під час виконання посадових обов'язків від неналежного використання в межах або поза межами банку;

3) наявність механізму моніторингу потенційного або реального конфлікту інтересів у керівників банку та інших працівників банку;

4) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту;

5) відповідальність за невиконання вимог інформування щодо потенційного або реального конфлікту інтересів керівниками та іншими працівниками банку.

53. Корпоративні цінності банку мають визначати критичну важливість вчасного, відвертого обговорення неприйнятної поведінки або інших порушень у банку та їх ескалації шляхом:

1) інформування всіх працівників банку про механізм, відповідно до якого вони можуть конфіденційно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

2) заохочення та надання можливості повідомляти раду банку конфіденційно та без ризику покарання про обґрунтовані занепокоєння щодо неприйнятної поведінки в банку/порушення в діяльності банку;

3) здійснення контролю за дотриманням механізму, відповідно до якого працівники банку можуть конфіденційно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

4) здійснення нагляду за дотриманням порядку дослідження неприйнятної поведінки в банку/порушень у діяльності банку.

Порядок дослідження неприйнятної поведінки в банку/порушень у діяльності банку має визначати повноваження структурних підрозділів банку щодо дослідження того чи іншого виду неприйнятної поведінки в банку/порушень у діяльності банку.

54. Банк має право передати на аутсорсинг функцію отримання повідомлень від працівників з метою дотримання конфіденційності повідомлень про неприйнятну поведінку в банку/порушення в діяльності банку.

55. Банк проводить регулярне (не рідше одного разу на рік для діючих працівників та під час прийняття на роботу нових працівників) навчання працівників банку з питань культури управління ризиками та дотримання кодексу поведінки (етики).

10. Внутрішньобанківські документи з питань управління ризиками

56. Банк розробляє внутрішньобанківські/внутрішньогрупові документи з питань управління ризиками, мінімальний перелік яких визначений у додатку 2 до цього Положення, з урахуванням вимог цього Положення, а також вимог законодавства України, документів Базельського комітету з банківського нагляду та міжнародних документів, які регламентують принципи корпоративного управління та управління ризиками в банках.

57. Банк розробляє за кожним видом ризику внутрішньобанківські документи у формі положень, порядків, процедур або іншій формі, які документально закріплюють процес управління ризиками, регламентують інші питання з управління кожним з видів ризиків та враховують вимоги цього Положення.

58. Банк має право об'єднувати окремі внутрішньобанківські документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.

59. Внутрішньобанківські документи з питань управління ризиками мають відповідати стратегії та бізнес-плану банку, декларації схильності до ризиків, бути оформленими, затвердженими, послідовними та мати достатній рівень деталізації.

60. Банк своєчасно переглядає та оновлює (актуалізує) внутрішньобанківські документи з питань управління ризиками з урахуванням змін у законодавстві, відповідних стандартах професійних об'єднань, дія яких поширюється на банк.

61. Внутрішньобанківські документи з питань управління ризиками мають визначати порядок взаємодії між усіма організаційними рівнями банку, включаючи рівень керівників банку.

62. Неподання для ознайомлення уповноваженим працівникам Національного банку на їх вимогу під час здійснення банківського нагляду внутрішньобанківських документів щодо побудови та функціонування системи управління ризиками, а також те, що в банку немає таких документів, є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку заходів впливу в порядку, установленому Положенням № 346.

63. Декларація схильності до ризиків повинна обов'язково визначати:

1) сукупний рівень та види ризиків, які банк має намір приймати та утримувати для досягнення бізнес-цілей. Загальний рівень ризик-апетиту має відповідати бізнес-моделі банку;

2) максимальний рівень допустимого для банку ризику, виходячи із розміру наявних ресурсів (капіталу та потреб у ліквідності) та з урахуванням необхідності дотримання вимог Національного банку, зобов'язань перед інвесторами, вкладниками, кредиторами та акціонерами;

3) кількісні та якісні показники, які враховують такі аспекти, як достатність капіталу, ліквідність, операційна прибутковість та вартість ризику. Банк має встановити показники ризик-апетиту щодо забезпечення банком дотримання встановлених нормативів достатності регулятивного капіталу та ліквідності;

4) рівень ризик-апетиту до кожного з видів ризику індивідуальний рівень, який має стати основою для встановлення лімітів щодо кожного з видів ризику, а також мінімальний перелік кількісних та якісних показників ризик-апетиту щодо кожного з видів ризику;

5) розрахунок визначення величини ризик-апетиту та перелік припущень, що були використані банком під час такого розрахунку;

6) види ризиків, яких банк має уникати;

7) внутрішні та зовнішні чинники та обмеження, що впливають на прийняття банком ризиків.

Зміст декларації схильності до ризиків має доводитися до відома працівників банку, які приймають ризики та несуть відповідальність за них. Декларація схильності до ризиків повинна бути легкою для її розуміння та моніторингу дотримання.

64. Ризик-апетит до кожного з видів ризику є комбінацією кількісних показників, перелік яких залежить від виду ризику та таких загальних якісних вимог:

1) повноти внутрішньобанківських документів з управління ризиками, які відповідають бізнес-моделі банку;

2) наявності опису процесів банку, що визначають ключові точки, в яких банк може наражатися на суттєві ризики;

3) достатнього рівня кваліфікації персоналу банку, що забезпечують виконання процесів з управління ризиками;

4) достатності та належного функціонування інформаційних систем банку щодо управління ризиками, необхідних для підтримки процесів;

5) наявності в інформаційних системах щодо управління ризиками банку повних та якісних даних, що забезпечують належну оцінку величини ризиків;

6) наявності контролю за дотриманням норм (комплаєнс), кодексу поведінки (етики), запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

65. Рада банку під час визначення стратегії та складання бізнес-плану банку враховує величину ризик-апетиту, зазначену в декларації схильності до ризиків. Рада банку також ураховує визначений рівень ризик-апетиту в разі прийняття рішення щодо збільшення обсягів активів у результаті розширення діючих видів діяльності, запровадження нових продуктів та значних змін у діяльності банку.

66. Стратегія та політика управління ризиками повинні обов'язково містити:

1) основні цілі управління ризиками;

2) перелік суттєвих видів ризиків, що притаманні діяльності банку;

3) принципи та порядок організації процесу управління ризиками;

4) порядок і терміни надання раді, комітету з управління ризиками та правлінню банку управлінської звітності про ризики.

67. Стратегія НПА є складовою частиною стратегії банку та має бути інтегрована в бізнес-план, бюджет, операційні та управлінські процеси банку.

68. Банк у стратегії НПА визначає стратегічні цілі та практичні заходи щодо їх реалізації, що забезпечують ефективне управління НПА та зменшення їх обсягу протягом визначеного часового інтервалу.

69. Банк розробляє стратегію НПА, ґрунтуючись на повному/всебічному аналізі операційного середовища, в якому він працює. Такий аналіз повинен обов'язково включати оцінку:

1) достатності внутрішніх операційних можливостей банку, включаючи наявні та необхідні операційні ресурси щодо ефективного управління НПА (процесів та інструментів управління НПА, рівня автоматизації, достатності та кваліфікації персоналу) з метою максимізації відновлення обслуговування боржниками активів та скорочення обсягів НПА;

2) зовнішніх факторів: поточних і прогнозних макроекономічних показників у розрізі секторів економіки та їх впливу на різні сегменти портфеля кредитів банку; прогнозних очікувань зовнішнього експертного середовища (Національного банку, рейтингових агенцій, інвесторів) щодо прийнятного рівня та обсягів НПА; рівня та обсягів НПА у банківському секторі в цілому та банках зі співставними обсягами та характером діяльності; можливості продажу НПА та заставного майна з урахуванням поточних та перспективних ринкових умов; впливу податкового регулювання, судової практики та практики виконавчого провадження на процес урегулювання НПА;

3) впливу реалізації стратегії НПА на достатність регулятивного та внутрішнього капіталу банку в прогнозних періодах із застосуванням стрес-сценаріїв.

70. Банк у стратегії НПА визначає цілі щодо ефективного управління НПА шляхом установлення якісних та кількісних показників з метою скорочення НПА у короткостроковому (до одного року), середньостроковому (до трьох років) та довгостроковому (більше трьох років) періодах часу в цілому і в розрізі портфелів. Банк визначає прогнозовані обсяги скорочень НПА в абсолютному і в процентному виразі (валові і за вирахуванням резервів; у цілому і в розрізі портфелів), заходи щодо скорочення обсягів заставного майна, що переходить у власність банку за результатами звернення стягнення на таке майно, включаючи його прогнозований продаж.

71. Стратегія НПА має доповнюватися оперативним планом, в якому має визначатися, яким чином банк упроваджуватиме цю стратегію в середньостроковому періоді в розрізі років.

Оперативний план повинен обов'язково містити:

1) прогнозовані обсяги скорочень НПА у встановлених часових періодах;

2) заходи, які банк здійснюватиме за відповідним портфелем НПА;

3) перелік ключових показників ефективності (КРІ) роботи з НПА в розрізі сегментів портфеля НПА та відповідальних підрозділів банку;

4) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо НПА, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками;

5) зміни в організаційній структурі та/або реорганізація внутрішніх процесів банку в разі потреби для поліпшення роботи з НПА;

6) фінансування процесу управління НПА: витрати на інформаційно-технологічну модернізацію та/або підтримку, залучення зовнішніх компаній для врегулювання/роботи з НПА, оплату праці та мотиваційні програми для персоналу, залученого до процесу врегулювання НПА;

7) процеси взаємодії з внутрішніми і зовнішніми зацікавленими сторонами (відносно продажу НПА, їх обслуговування, інших процедур).

72. Банк розробляє стратегію НПА та оперативний план відповідно до вимог, установлених цим Положенням.

73. Банк у стратегії НПА визначає стратегічні цілі щодо реалістичного та водночас амбітного скорочення обсягів НПА у короткостроковому (до одного року), середньостроковому (до трьох років) та довгостроковому (більше трьох років) періодах часу в цілому та в розрізі основних портфелів НПА.

74. Банк відповідно до вимог законодавства України розробляє план відновлення діяльності з метою запровадження заходів, що вживатимуться банком для відновлення свого фінансового стану в разі його значного погіршення.

75. Банк розробляє внутрішньобанківський документ щодо програми навчання та підвищення кваліфікації працівників банку з питань управління ризиками, який включає такі напрями:

1) вимоги законодавства України, нормативно-правових актів Національного банку, документів Базельського комітету з банківського нагляду з питань управління ризиками;

2) вимоги внутрішньобанківських документів з питань управління ризиками;

3) практичні заняття щодо реалізації внутрішньобанківських документів з питань управління ризиками;

4) виконання планів відновлення діяльності, забезпечення безперервної діяльності та фінансування в кризових ситуаціях;

5) вивчення сучасного досвіду, включаючи міжнародний, щодо управління ризиками;

6) порядок організації процесу управління ризиками та підходи до управління окремими видами ризиків.

11. Політика запровадження нових продуктів та значних змін в діяльності банку

76. Банк забезпечує належну оцінку ризиків за новими продуктами та значними змінами в діяльності банку до початку їх упровадження.

77. Новими продуктами є:

1) новий вид діяльності або новий вид фінансових послуг, визначених статтею 47 Закону України "Про банки і банківську діяльність" та статтею 4 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг";

2) вихід на новий ринок з наявними видами діяльності або видами фінансових послуг;

3) унесення змін до наявних видів діяльності або видів фінансових послуг, що вимагають змін IT-ресурсів та/або процедур, внутрішньобанківських документів, порядку взаємодії працівників (підрозділів) банку, необхідних для їх реалізації та супроводження;

4) унесення істотних змін до умов надання послуг, включаючи цінові.

78. Значними змінами в діяльності банку є:

1) набуття у власність активів та/або зобов'язань інших учасників ринку у значному обсязі;

2) продаж/передавання активів у значному обсязі;

3) створення філії, відділення, представництва, дочірньої компанії, іншої юридичної особи або внесення істотних змін до організаційної структури банку;

4) реорганізація банку;

5) інші зміни в діяльності банку, які вимагають використання/залучення ресурсів у значних обсягах або пов'язані з ризиками, обсяги яких важко оцінити.

79. Значним обсягом операції з набуття у власність активів та/або зобов'язань, продажу/передавання активів, використання/залучення ресурсів, є операція, в якій ринкова вартість активів/зобов'язань/ресурсів перевищує 10 відсотків балансової вартості активів банку за даними останньої річної фінансової звітності. Банк має право встановити інший розмір перевищення ринкової вартості активів/зобов'язань/ресурсів над балансовою вартістю активів банку під час визначення обсягу як значного, але не вищий ніж 10 відсотків.

80. Банк має право створювати комітет з питань нових продуктів та значних змін у діяльності банку (комітет правління банку), що є складовою організаційної структури системи управління ризиками і забезпечує виконання визначених радою банку функцій та повноважень щодо впровадження нових продуктів та значних змін у діяльності банку. Серед повноважень, покладених на цей комітет, може бути ухвалення рішень щодо запровадження нових продуктів та значних змін у діяльності банку.

81. Рада банку затверджує політику запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містить:

1) підхід до визначення істотності змін щодо умов надання послуг;

2) підхід до визначення істотності змін щодо організаційної структури банку;

3) підхід до визначення значних обсягів набуття у власність активів та/або зобов'язань інших учасників ринку та продажу/передавання активів, використання/залучення ресурсів;

4) підхід до визначення операцій, пов'язаних із ризиками, обсяги яких важко оцінити;

5) вимоги до процедури запровадження нових продуктів та значних змін у діяльності банку, включаючи визначення органу, який уповноважений ухвалювати такі рішення;

6) перелік обов'язкових підрозділів банку та/або відповідальних осіб, які мають залучатися до процесу підготовки документів для ухвалення рішення щодо нових продуктів і значних змін у діяльності банку;

7) вимоги щодо моніторингу ризиків, пов'язаних з упровадженням нових продуктів і значних змін у діяльності банку.

82. Банк розробляє процедури запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містять:

1) процедури ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

2) перелік документів, на підставі яких ухвалюється рішення;

3) порядок взаємодії підрозділів банку та опис процесів з підготовки документів для ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

4) процедури моніторингу впровадження нових продуктів та значних змін у діяльності банку.

83. Політика та процедури банку щодо запровадження нових продуктів і значних змін у діяльності банку також мають передбачати ухвалення радою банку або комітетом ради банку рішень щодо кожної значної зміни в діяльності банку до початку її запровадження.

84. Документи банку для ухвалення рішення щодо нового продукту або значної зміни в діяльності банку повинні обов'язково містити:

1) опис нового продукту/значної зміни в діяльності банку, аналіз їх відповідності стратегії банку, цільових клієнтів, які мають ним користуватися, а також основних цілей запровадження такого продукту/зміни в діяльності банку та результати маркетингового дослідження;

2) висновки підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) у межах їх функціональних обов'язків, які повинні обов'язково включати:

оцінку ризиків нового продукту/значної зміни в діяльності банку щодо того, чи перебуває новий продукт/значна зміна в діяльності банку в межах затвердженого банком ризик-апетиту та чи їх запровадження не призведе до порушень банком вимог законодавства, ринкових стандартів, правил добросовісної конкуренції;

рекомендації щодо методів управління виявленими ризиками (прийняття, передавання, пом'якшення чи уникнення ризиків);

розрахунок та пропозиції щодо величини лімітів ризиків, пов'язаних із новим продуктом/значною зміною в діяльності банку;

оцінку зміни профілю ризику банку, що може стати наслідком запровадження нового продукту/значної зміни в діяльності банку;

3) висновки інших підрозділів банку, на які покладені банком функції щодо визначення економічної доцільності та можливості запровадження і належної підтримки нового продукту/значної зміни в діяльності банку;

4) підходи до ціноутворення/установлення тарифів на новий продукт/значну зміну в діяльності банку;

5) аналіз прогнозованих доходів і втрат від запровадження нового продукту/значної зміни в діяльності банку;

6) типовий договір щодо нового продукту/значної зміни в діяльності банку та їх бухгалтерську модель обліку.

85. Ухвалення рішення щодо запровадження нового продукту/значної зміни в діяльності банку має ґрунтуватися на висновках підрозділів банку та виключати вплив акціонерів, керівників банку або третіх осіб, які не відповідають інтересам банку.

86. Банк проводить розроблення, налаштування та тестування готовності інформаційних систем щодо управління ризиками, а також навчання персоналу банку до початку впровадження нового продукту/значної зміни в діяльності банку та за потреби змінює строки впровадження до моменту забезпечення готовності.

12. Ліміти ризиків

87. Банк установлює ліміти (обмеження) для суттєвих ризиків, що піддаються кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкових ризиків;

5) інших суттєвих видів ризиків, на які може наражатися банк у своїй діяльності.

Банк також установлює ліміти для управління різними джерелами концентрації ризиків.

88. Банк установлює значення лімітів ризиків як у відсотках до регулятивного капіталу банку, так і до загального розміру активів, загальної суми зобов'язань. Банк має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків в абсолютних значеннях та/або у відсотках до інших показників банку.

89. Банк залежно від характеру діяльності та його бізнес-моделі має право встановлювати окремі значення лімітів для учасників банківської групи, бізнес-ліній, портфелів, типів інструментів або окремих інструментів.

90. Банк у своїй політиці щодо управління ризиками визначає порядок установлення значень лімітів ризиків та контролю за їх дотриманням.

91. Банк переглядає значення лімітів ризиків у разі змін ринкових умов або стратегії банку, але не рідше ніж раз на рік. Перегляд здійснюється на підставі пропозицій бізнес-підрозділів банку та підрозділу з управління ризиками.

92. Банк розробляє процедуру ескалації порушень лімітів ризиків: форму та порядок інформування про порушення цих лімітів ради банку, комітету з управління ризиками, правління банку та його комітетів.

93. Підрозділ з управління ризиками здійснює контроль за дотриманням лімітів ризиків і не пізніше наступного робочого дня після виявлення порушення ліміту ризику інформує раду банку, комітет з управління ризиками, правління банку та його комітети щодо такого порушення. Підрозділ з управління ризиками у строки та в порядку, визначених процедурою банку щодо ескалації порушень лімітів ризиків, надає раді банку, комітету з управління ризиками, правлінню банку та його комітетам інформацію про причини порушення лімітів та пропозиції щодо заходів для усунення порушення лімітів.

94. Рада банку має право делегувати колегіальним органам банку повноваження щодо погодження на здійснення операцій банку, що призводять до перевищення лімітів ризиків (авторизованих перевищень). У такому разі рада банку затверджує процедуру контролю за використанням цих повноважень. Така процедура повинна обов'язково містити:

1) види ризиків, щодо яких дозволяються авторизовані перевищення;

2) максимальний обсяг авторизованого перевищення;

3) вимоги до документування рішення щодо авторизованого перевищення;

4) порядок інформування ради банку щодо авторизованих перевищень.

95. Банк накопичує інформацію щодо авторизованих перевищень та порушень лімітів ризиків.

96. Рада банку проводить позачерговий перегляд значень лімітів, якщо авторизовані перевищення або порушення лімітів ризиків є частими або постійними. Результатом такого перегляду можуть бути:

1) перегляд значень діючих лімітів;

2) перегляд делегованих повноважень щодо авторизованих перевищень;

3) залишення значень лімітів без змін та затвердження плану заходів щодо запобігання їх подальшому перевищенню/порушенню.

13. Інформаційні системи щодо управління ризиками та звітування

97. Банк створює надійну інформаційну систему щодо управління ризиками та звітування, яка забезпечує агрегування даних щодо ризиків банку, оперативне та достовірне вимірювання ризиків як на рівні окремого банку, так і на рівні банківської групи як в звичайних, так і в стресових ситуаціях.

98. Банк розробляє процедури обробки даних щодо ризиків, політику конфіденційності та збереження такої інформації, а також доступу до неї.

99. Банк визначає процедури агрегування даних щодо ризиків під час розроблення плану забезпечення безперервної діяльності.

100. Банк розробляє процедури агрегування даних щодо ризиків, що забезпечують виконання таких принципів:

1) точність і цілісність.

Банк підтримує обґрунтоване співвідношення у застосуванні автоматизованих та ручних процесів агрегування даних щодо ризиків. Банк застосовує ручні процеси в ситуаціях, що потребують судження банку. В інших випадках банк максимально автоматизує процедури обробки даних з метою уникнення помилок. Банк складає опис агрегування даних щодо ризиків як щодо автоматизованих, так і щодо ручних процесів. Опис має містити пояснення щодо застосування ручних процесів, а судження має містити обґрунтування щодо його застосування.

Банк використовує надійні процедури агрегування даних щодо ризиків та забезпечує:

використання чітких процедур контролю за точністю даних про ризики;

розроблення політики та процедур використання програмного забезпечення працівниками банку в разі застосування банком ручних процесів та автоматизованих додатків та баз даних;

вивірку даних про ризики з даними бухгалтерського обліку;

наявність єдиного надійного джерела інформації за кожним видом ризику;

доступ до даних про ризики працівникам підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) з метою формування якісної та достовірної звітності про ризики;

2) повноту даних.

Банк здійснює агрегування даних щодо ризиків за усіма учасниками банківської групи. Дані про ризики мають групуватися за бізнес-лініями, видами активів та зобов'язань банку, галузевою та географічною концентрацією, показниками, що дасть змогу виявляти ризики та складати звіти;

3) своєчасність.

Банк своєчасно формує агреговані та актуалізовані дані щодо ризиків з одночасним дотриманням принципів точності і цілісності, повноти даних та адаптивності. Конкретні терміни формування даних щодо ризиків залежать від затвердженої періодичності надання звітів щодо ризиків, а в разі виникнення стресових ситуацій формування даних щодо ризиків здійснюється банком у найкоротші строки;

4) адаптивність, що означає:

наявність достатньо гнучких процедур, що дасть змогу агрегувати дані щодо ризиків згідно з установленими вимогами;

наявність можливостей модифікації процедур агрегування даних щодо ризиків з метою задоволення потреб користувачів, що дає змогу отримати інформацію з достатнім рівнем деталізації;

наявність можливостей унесення змін до процедур агрегування даних про ризики у зв'язку зі зміною законодавства.

101. Ефективне управління ризиками передбачає, що управлінська звітність про ризики містить точну, повну, своєчасну інформацію про ризики, надана раді банку, колегіальним органам, правлінню банку та іншим користувачам, які приймають рішення, та забезпечує повне розуміння ними ситуації щодо рівня ризиків банку для прийняття своєчасних та адекватних рішень.

102. Уповноважені підрозділи банку складають управлінську звітність про ризики, яка має бути:

1) точною, вивіреною та достовірно відображати рівень прийнятого банком ризику;

2) комплексною.

Управлінська звітність про ризики має охоплювати всі суттєві види ризиків банку, містити інформацію про концентрацію ризиків, дотримання встановленого розміру ризик-апетиту та значень лімітів ризику, а також надавати перспективну оцінку ризиків з урахуванням впливу майбутніх операцій, а не тільки поточну та історичну;

3) чіткою та інформативною.

Управлінська звітність про ризики має надавати чітку та однозначну інформацію та бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень.

Рада банку є головним користувачем управлінської звітності про ризики та несе відповідальність за розроблення вимог до такої звітності, формує запити та забезпечує отримання інформації, необхідної для виконання своїх функцій. Рада банку вимагає пояснень від керівників банку або підрозділів з управління ризиків та контролю за дотриманням норм (комплаєнс), якщо звітність про ризики не відповідає затвердженим нею вимогам щодо управлінської звітності про ризики та вживає адекватних заходів.

Правління банку є ключовим користувачем управлінської звітності про ризики і також несе відповідальність за розроблення вимог до такої звітності, забезпечує запити та отримання інформації, необхідної для виконання своїх функцій.

Банк повинен мати технічні можливості для формування нестандартної звітності про ризики:

під час стресових ситуацій;

у разі зміни потреб щодо необхідної управлінської інформації;

у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів;

4) періодичною.

Рада банку, колегіальні органи, правління банку та інші користувачі управлінської звітності про ризики встановлюють періодичність складання та надання управлінської звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Така періодичність має бути не рідшою ніж установлена цим Положенням;

5) поширеною серед користувачів управлінської звітності про ризики із забезпеченням конфіденційності.

14. Моделі та інструменти оцінки ризиків

103. Банк використовує ефективні моделі та інструменти для оцінки (вимірювання) ризиків, як тих, що піддягають кількісному виміру в повній мірі, так і тих, що піддягають кількісному виміру в меншій мірі (ризик репутації, стратегічний ризик).

104. Банк під час обрання моделей та інструментів оцінки ризиків ураховує:

1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;

2) бізнес-потреби;

3) припущення, що є основою для моделей та інструментів;

4) наявність коректних та повних вхідних даних;

5) можливості інформаційної системи банку щодо управління ризиками;

6) досвід та кваліфікацію персоналу.

105. Процес побудови моделі включає такі послідовні етапи:

1) визначення основних характеристик об'єкта оцінки та припущень для моделі;

2) підготовка вхідних даних для моделі, перевірка їх якості (коректності та повноти) і достатності;

3) побудова моделі;

4) тестування моделі, уключаючи її прогностичну здатність та коректність її результатів;

5) опис моделі;

6) затвердження моделі;

7) упровадження моделі;

8) наступна регулярна валідація моделі.

106. Банк використовує моделі та інструменти оцінки ризиків, які побудовані на коректних та повних вхідних даних.

107. Банк запроваджує порядок відбору вхідних даних для їх використання під час оцінки ризиків. Вхідні дані повинні:

1) відповідати ринковим значенням;

2) бути повними та коректними;

3) отримуватися з незалежних джерел або від підрозділів банку, діяльність яких не залежить від результатів оцінки ризиків.

108. Банк забезпечує своєчасну актуалізацію вхідних даних, що використовуються для розрахунку величини ризиків, в інформаційних системах щодо управління ризиками.

109. Опис моделі (документування) має включати:

1) опис методу використаного для моделювання та вид використаної моделі;

2) характеристики основних припущень та принципів, що лежать в основі моделі;

3) переваги та недоліки моделі, причини вибору саме цієї моделі;

4) опис вхідних даних для моделі та вимоги до них;

5) опис процесу використання моделі;

6) оцінку прогностичної здатності моделі;

7) правила внесення змін до моделі;

8) розподіл обов'язків та відповідальності за створення, упровадження, валідацію (перегляд ефективності) моделі та внесення змін до неї.

110. Банк регулярно (не рідше ніж раз на рік) здійснює валідацію моделей та інструментів оцінки ризиків шляхом:

1) оцінки адекватності основних припущень моделі/інструменту та її/його внутрішньої логіки;

2) бек-тестування, здійсненого шляхом порівняння фактичних даних з результатами, отриманими за допомогою моделі/інструменту;

3) порівняння результатів, отриманих за допомогою обраної банком моделі, з результатами інших внутрішніх та/або зовнішніх моделей (за наявності таких).

111. Результатом валідації моделі/інструменту оцінки ризиків може бути:

1) підтвердження адекватності моделі/інструменту оцінки ризиків та продовження її/його подальшого використання без змін;

2) продовження використання моделі/інструменту оцінки ризиків, але з коригуванням окремих її/його параметрів;

3) заміна діючої моделі/інструменту оцінки ризиків через її/його неефективність на нові.

112. Валідація моделі/інструменту оцінки ризиків має бути незалежною від побудови моделі або вибору інструменту та її/його використання. Валідація має здійснюватися окремим підрозділом банку (іншим, ніж підрозділ, який побудував та/або використовує модель або інструмент) або зовнішньою організацією.

113. Підрозділ з управління ризиками забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць моделей та інструментів оцінки ризиків, припущень та обмежень, притаманних моделям, з метою їх урахування під час розгляду результатів оцінки ризиків та прийняття своєчасних та адекватних управлінських рішень.

15. Стрес-тестування

114. Банк регулярно (не рідше одного разу на квартал) здійснює стрес-тестування з метою оцінки ризиків та визначення своєї спроможності протистояти потрясінням та загрозам, на які банк наражається під час своєї діяльності, або які можуть виникнути в майбутньому.

115. Банк забезпечує за потреби здійснення/проведення оперативного (позачергового) стрес-тестування, періодичність здійснення якого відповідає динаміці змін за окремими видами активів і зобов'язань банку, а також тенденціям змін в економічному і фінансовому середовищі.

116. Банк розробляє єдиний внутрішньобанківський документ або окремі розділи щодо стрес-тестування у відповідних документах щодо кожного з видів ризиків про порядок здійснення/проведення стрес-тестування (програма проведення стрес-тестування), який визначає:

1) методологію та моделі, що використовуються для здійснення стрес-тестування;

2) періодичність здійснення різних типів стрес-тестування;

3) перелік, функції та порядок взаємодії учасників процесу здійснення стрес-тестування, їх повноваження і відповідальність з чітким визначенням структури підпорядкування;

4) перелік видів ризиків, за якими здійснюється стрес-тестування;

5) перелік факторів ризиків, що використовуються під час здійснення стрес-тестування;

6) перелік припущень, що використовуються під час здійснення стрес-тестування;

7) інформаційну систему щодо управління ризиками, за допомогою якої банк здійснює стрес-тестування;

8) порядок розгляду результатів здійснення стрес-тестування та доведення їх змісту до відома ради банку, комітету з управління ризиками та правління банку з метою прийняття своєчасних та адекватних управлінських рішень щодо зниження рівня ризиків.

117. Програма проведення стрес-тестування має забезпечувати:

1) визначення розміру збитків банку в цілому та в розрізі видів операцій у разі реалізації екстремальних, однак реалістичних стрес-сценаріїв, а також оцінку потенційних можливостей банку покрити такі збитки;

2) оцінку впливу реалізації стрес-сценаріїв на дотримання банком граничних значень нормативів та лімітів валютної позиції, установлених Національним банком;

3) порівняння отриманих результатів з установленим рівнем ризик-апетиту;

4) визначення ступеня залежності величини ризиків від окремих факторів ризику, які пом'якшують або посилюють їх дію.

118. Банк забезпечує здійснення стрес-тестування, що охоплює всі види діяльності банку, балансові та позабалансові позиції з урахуванням особливостей його операцій.

119. Банк забезпечує здійснення стрес-тестування щонайменше за такими видами ризиків:

1) кредитний ризик;

2) ризик ліквідності;

3) процентний ризик банківської книги;

4) ринковий ризик;

5) операційний ризик.

Банк здійснює стрес-тестування щодо цих ризиків з урахуванням ризику концентрації.

120. Банк з урахуванням специфіки своєї діяльності та розміру впливу цих ризиків на всі напрями діяльності банку визначає перелік інших видів ризиків, за якими здійснює стрес-тестування.

121. Банк визначає методи проведення стрес-тестування, включаючи параметри/припущення для стрес-сценаріїв, які мають включати кількісні та якісні показники, та враховувати профіль ризику банку і основні напрями його діяльності.

122. Банк визначає методи проведення стрес-тестування самостійно з урахуванням власного досвіду. Банк залежно від ситуації використовує хоча б один із таких методів:

1) аналіз чутливості портфеля активів до зміни факторів ризиків, який полягає в моделюванні наслідків зміни одного фактора ризику або групи тісно взаємопов'язаних факторів ризику, але незмінних інших факторів ризику;

2) сценарний аналіз, який полягає в моделюванні наслідків одночасної зміни декількох факторів ризиків, що ґрунтується як на історичних, так і гіпотетичних подіях. Метод дає змогу оцінити потенційний вплив одночасного настання низки факторів ризику на діяльність банку в разі настання виняткової (екстремальної), але разом з тим імовірної події. Під час розроблення сценаріїв банк використовує фактори ризиків з максимально негативним впливом, що можуть призвести до подій, унаслідок виникнення яких банк може зазнати найбільших втрат, та опрацьовує варіанти найгіршого розвитку подій;

3) реверсивне стрес-тестування, яке полягає в пошуку такої комбінації значень факторів ризиків та визначенні такого сценарію, за яким банк отримає заздалегідь визначений негативний результат (порушення нормативів капіталу та/або інших нормативів, установлених Національним банком, втрату ліквідності, настання неплатоспроможності, інших негативних наслідків для банку). Пошук може здійснюватися як експертним методом, так і за допомогою статистичного моделювання.

123. Банк для проведення стрес-тестування визначає основні (базові) фактори ризиків, які можуть впливати на його діяльність і фінансовий стан, а саме: макроекономічні та мікроекономічні показники.

124. Банк серед макроекономічних показників може визначати такі:

1) розмір внутрішнього валового продукту;

2) облікову ставку Національного банку;

3) офіційний курс гривні до іноземних валют;

4) індекс споживчих цін та цін виробників;

5) рівень безробіття;

6) середню заробітну плату;

7) ціни на ключові товари, що експортуються з України (сталь, залізну руду, пшеницю, кукурудзу, соняшникову олію) та імпортуються до України (природний газ, нафту);

8) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

125. Банк серед мікроекономічних показників може визначати такі:

1) можливість доступу банку до зовнішніх джерел фінансування;

2) ринкову позицію банку;

3) структуру його балансу;

4) якість активів;

5) галузеву концентрацію;

6) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

126. Банк запроваджує адекватний та чіткий механізм трансформації факторів ризику, що застосовуються під час здійснення стрес-тестування, у відповідні внутрішні критерії банку, що використовуються для оцінки величини ризику (PD, LGD, зниження вартості інструментів та позицій).

127. Банк забезпечує рівень інформації та технологічну інфраструктуру, яка є достатньо гнучкою для розміщення різних і можливо змінних стрес-тестів на достатньому рівні деталізації.

128. Банк для забезпечення ефективності проведення стрес-тестування здійснює регулярний і систематичний (не рідше одного разу на рік) перегляд/удосконалення методів та стрес-сценаріїв.

129. Банк здійснює документування результатів стрес-тестування за кожним із стрес-сценаріїв з урахуванням аналізу впливу якості даних, які використовувалися для здійснення стрес-тестування.

130. Банк забезпечує належне використання результатів стрес-тестування всіма структурними підрозділами банку, залученими до виконання функцій з управлінням ризиками.

131. Підрозділ з управління ризиками забезпечує своєчасне доведення до ради банку, комітету з управління ризиками та правління банку висновків про результати стрес-тестування, які обов'язково мають містити оцінку впливу можливої реалізації стрес-сценаріїв на діяльність банку для розроблення та вжиття заходів щодо зменшення впливу потенційних ризиків та уникнення/мінімізації фінансових втрат.

132. Підрозділ з управління ризиками забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць методів та стрес-сценаріїв, що використовуються під час здійснення стрес-тестування, з метою їх врахування під час розгляду його результатів та прийняття своєчасних та адекватних управлінських рішень.

133. Банк використовує результати здійснення стрес-тестування під час розроблення/перегляду/коригування стратегії та бізнес-плану банку, стратегії, політики та процедур управління ризиками, планів відновлення діяльності, забезпечення безперервної діяльності та фінансування в кризових ситуаціях.

II. Управління кредитним ризиком

16. Загальні підходи до управління кредитним ризиком

134. Банк створює ефективну систему управління кредитним ризиком, що забезпечує своєчасні та адекватні виявлення, вимірювання, моніторинг, звітування, контроль і пом'якшення кредитного ризику як на індивідуальній, так і на портфельній основі.

135. Кредитний ризик уключає також такі ризики:

1) ризик країни;

2) трансфертний ризик;

3) ризик контрагента:

4) ризик інвестицій у дочірні компанії.

136. Банк визначає такі кількісні показники ризик-апетиту до кредитного ризику:

1) максимальне зростання обсягу портфеля кредитів у відсотках до його величини на початок року;

2) максимальний обсяг заборгованості за одним боржником/групою пов'язаних контрагентів у відсотках до загального обсягу портфеля кредитів та регулятивного капіталу банку;

3) максимальний обсяг галузевої та географічної концентрації портфеля кредитів у відсотках до загального обсягу портфеля кредитів (конкретний перелік видів економічної діяльності та/або географічних регіонів визначається банком на рівні деталізації відповідно до його бізнес-моделі);

4) максимальний обсяг портфеля кредитів за кредитними продуктами у відсотках (конкретний перелік продуктів визначається банком відповідно до його бізнес-моделі) до загального обсягу портфеля кредитів;

5) граничний обсяг НПА у відсотках до відповідного портфеля кредитів у розрізі видів економічної діяльності або кредитних продуктів, перевищення якого призводить до зупинки видачі нових кредитів/придбання або прийняття на баланс активів.

Банк має право визначати інші кількісні показники ризик-апетиту до кредитного ризику додатково до встановлених у пункті 136 глави 16 розділу II цього Положення.

137. Підрозділ з управління ризиками створює та використовує систему внутрішньої оцінки кредитного ризику, порівнює результати цієї оцінки з величиною кредитного ризику, розрахованою відповідно до вимог Положення № 351, та аналізує причини відхилення.

138. Банк вимірює ризик концентрації, щонайменше в розрізі:

1) величини заборгованості за боржниками та групами пов'язаних контрагентів;

2) строків до погашення кредитів;

3) кредитних продуктів;

4) географічних регіонів;

5) видів економічної діяльності;

6) видів забезпечення за кредитами.

17. Кредитна політика та політика, порядок і процедури управління кредитним ризиком

139. Банк розробляє та періодично (не рідше одного разу на рік) переглядає кредитну політику, політику, порядок та процедури управління кредитним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту банку до цього ризику.

140. Банк формує і запроваджує кредитну політику з урахуванням таких зовнішніх і внутрішніх факторів:

1) ринкова позиція банку;

2) макроекономічне середовище;

3) внутрішнє операційне середовище, уключаючи персонал;

4) наявні технології, інформаційні системи щодо управління ризиками.

141. Банк доводить кредитну політику, політику, порядки та процедури управління кредитним ризиком до працівників банку, які беруть участь у процесі видачі/придбання та супроводження кредитів відповідно до функціональних обов'язків, і які повинні чітко розуміти підхід банку до цього процесу та нести відповідальність за виконання політики, порядків і процедур.

142. Кредитна політика банку повинна обов'язково містити:

1) визначення цільових ринків кредитування та їх загальні характеристики;

2) перелік цільових напрямів кредитування в розрізі видів економічної діяльності, географічних регіонів, видів валюти;

3) загальні критерії прийнятності кредитування;

4) принципи управління ризиком концентрації;

5) загальні умови, на яких мають надаватися кредити: цінові умови, строковість, обсяги, види забезпечення та рівень забезпечення (покриття) заборгованості;

6) порядок ухвалення кредитних рішень;

7) процедуру делегування повноважень щодо ухвалення кредитних рішень.

143. Політика управління кредитним ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління кредитним ризиком;

2) організаційну структуру процесу управління кредитним ризиком з урахуванням розподілу функціональних обов'язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;

3) перелік лімітів для контролю за рівнем кредитного ризику та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику;

5) підходи щодо кредитного адміністрування та моніторингу;

6) підходи щодо перегляду кредитів, уключаючи кредити, надані пов'язаним особам;

7) підходи щодо завчасного (на ранньому етапі) виявлення та управління НПА;

8) підходи щодо списання кредитів;

9) підходи щодо здійснення стрес-тестування кредитного ризику;

10) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо кредитного ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

144. Банк має право об'єднувати кредитну політику та політику управління кредитним ризиком в один внутрішньобанківський документ.

145. Порядок та процедури управління кредитним ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику, уключаючи інструменти/індикатори, що використовуються;

2) перелік документів, що має надати потенційний боржник для розгляду кредитної заявки;

3) порядок розгляду кредитної заявки, підстави для ухвалення рішень щодо надання кредитів, уключаючи надання споживчих кредитів пов'язаним з банком особам, кредитів пов'язаним контрагентам;

4) порядок роботи зі споживачем до і під час надання споживчого кредиту, уключаючи розкриття інформації про реальну вартість кредитів;

5) вимоги до оцінки майна, що отримується банком в заставу та оцінювачів, порядок оцінки майна, якщо оцінювачем є працівник банку;

6) процедури кредитного адміністрування та моніторингу;

7) порядок формування резервів під очікувані кредитні збитки за фінансовими активами відповідно до Міжнародних стандартів фінансової звітності (далі - МСФЗ);

8) порядок перегляду кредитів, уключаючи порядок перегляду кредитів, наданих пов'язаним особам;

9) процедуру виявлення та управління НПА;

10) порядок списання кредитів;

11) порядок обміну інформацією між учасниками процесу управління кредитним ризиком, уключаючи види, форми і терміни подання інформації;

12) програму проведення стрес-тестування кредитного ризику;

13) порядок складання та перевірки достовірності статистичної звітності щодо кредитного ризику, що надається до Національного банку.

146. Банк використовує визначені критерії прийнятності кредитування, які визначають, хто має право на отримання кредиту і в якому розмірі, які види кредиту доступні і на які строки, а також на яких умовах надаються такі кредити.

Банк установлює критерії прийнятності кредитування, які не повинні прилаштовуватися до вимог та потреб пов'язаних з банком осіб.

147. Банк, ухвалюючи рішення щодо надання кредиту здійснює аналіз інформації та проводить всебічну оцінку ризиків. Банк під час схвалення кредитного рішення враховує такі фактори:

1) мету отримання кредиту та джерела його погашення;

2) кредитну історію і поточну платоспроможність боржника, виходячи з фінансових тенденцій попередніх періодів та прогнозів руху грошових коштів за різними сценаріями;

3) життєздатність бізнес-моделі боржника - юридичної особи, фізичної особи - суб'єкта господарювання, а також наявність у нього достатньої компетенції та ресурсів для її реалізації;

4) поведінкові моделі боржників фізичних осіб;

5) практичний досвід здійснення боржником господарської діяльності, стан галузі економіки, у якій здійснює свою діяльність боржник, та його позицію в ній, ринків збуту продукції/послуг, що виробляється/надається боржником, конкурентоспроможність боржника;

6) прийнятність та достатність забезпечення, можливість його реалізації;

7) додаткові умови кредитного договору, що забезпечують обмеження збільшення в майбутньому кредитного ризику;

8) прогнозні дані щодо необхідної суми формування резервів під очікувані кредитні збитки та величини кредитного ризику на момент видачі кредиту;

9) репутацію боржника та його здатність/готовність нести юридичну відповідальність та співпрацювати з банком з усіх питань, що можуть виникати протягом періоду користування кредитом;

10) структуру групи пов'язаних контрагентів та кредитну історію і поточну платоспроможність цих контрагентів. Для цього банк має розробити механізм виявлення ситуацій, коли доцільно класифікувати боржників як групу пов'язаних контрагентів і як окремого боржника;

11) рішення осіб, які відповідають за управління юридичною особою та здійснюють контроль за її діяльністю, щодо отримання кредиту, їх повноваження на прийняття такого рішення;

12) надійність та достатність юридичної позиції банку щодо умов кредитного договору та договорів забезпечення/застави для забезпечення належної співпраці з боржниками/контрагентами/заставодавцями.

148. Банк установлює значення лімітів кредитного ризику щонайменше щодо:

1) повноважень колегіального органу банку щодо ухвалення кредитних рішень як для портфеля кредитів у цілому, так і для одного боржника або групи пов'язаних контрагентів;

2) окремих боржників, а також груп пов'язаних контрагентів;

3) ризику концентрації (максимального обсягу заборгованості):

на одного боржника або групу пов'язаних контрагентів;

на боржників, що мають спільний вид економічної діяльності;

на боржників одного географічного регіону (регіон, у якому здійснює діяльність або проживає боржник, який може відрізнятися від регіону його реєстрації);

4) ризику контрагента в розрізі кожного з них;

5) максимального обсягу заставного майна, що може бути прийнятим на баланс банку у разі реалізації банком своїх прав як заставодержателя.

149. Банк забезпечує належне управління процесом надання кредитів з метою запобігання перевищенню внутрішніх лімітів кредитного ризику, нормативів кредитного ризику, установлених Національним банком.

150. Банк створює та застосовує механізми внутрішнього контролю та інші механізми, що забезпечують своєчасне інформування керівників банку про відхилення від політики, процедур та порушення встановлених лімітів ризиків для прийняття своєчасних та адекватних управлінських рішень.

18. Кредитне рішення

151. Банк установлює та впроваджує чіткий процес ухвалення кредитних рішень, уключаючи ухвалення автоматичних рішень, як для надання нових кредитів, так і для внесення змін до діючих/існуючих кредитів.

152. Банк визначає перелік документів та інформації, які необхідні для ухвалення кредитних рішень як щодо нових кредитів, так і зміни умов за діючими/існуючими кредитами. Цей перелік повинен обов'язково містити:

1) заявку кредитного підрозділу з визначенням структури та умов кредитування, висновком щодо здатності боржника забезпечити належне обслуговування та повернення кредиту, а також описом та обґрунтуванням кредитного рішення, що пропонується для ухвалення;

2) висновок підрозділу з управління ризиками;

3) висновок підрозділу контролю за дотриманням норм (комплаєнс) для ухвалення кредитних рішень щодо кредитів пов'язаним з банком особам;

4) висновок юридичного підрозділу (якщо внутрішньобанківськими документами передбачається такий висновок).

153. Банк за кожним кредитним рішенням формує документацію із паперових та/або електронних документів відповідно до вимог, визначених цим Положенням.

Банк під час формування документації із електронних документів використовує електронні документи, які відповідають вимогам Законів України "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг", "Про споживче кредитування" та нормативно-правових актів Національного банку щодо застосування електронного підпису в банківський системі або створені з використанням державних реєстрів, що є у вільному доступі.

Банк у разі формування документації щодо ухвалення кредитного рішення з електронних документів повинен забезпечити виконання вимог законодавства України щодо виготовлення та засвідчення їх копій на папері.

154. Кредитне рішення повинно обов'язково містити:

1) суму кредиту/ліміту та термін повернення (графік погашення) кредиту;

2) процентну ставку/маржу (у разі змінюваної ставки), комісію за користування кредитом та терміни сплати процентів;

3) зобов'язання боржника, які він має виконати для отримання кредиту (за потреби);

4) вимоги щодо переліку, видів та/або рівня забезпечення за кредитом (за потреби);

5) додаткові умови, яких повинен дотримуватися боржник протягом дії кредитного договору;

6) список осіб, які брали участь у прийнятті рішення, їх повноваження та особиста позиція кожної особи;

7) строк дії кредитного рішення, протягом якого можливе надання кредиту без додаткового рішення колегіального органу.

155. Кредитне рішення має базуватися на висновках кредитного підрозділу, підрозділу з управління ризиками, інших підрозділів [підрозділу контролю за дотриманням норм (комплаєнс), юридичного підрозділу] залежно від установленого в банку порядку прийняття кредитного рішення та виключати суб'єктивне судження, що базується на факторі впливу акціонерів, керівників банку або третіх осіб з метою схвалення рішень щодо видачі кредитів на умовах, що можуть зашкодити або шкодять інтересам банку.

156. Банк надає кредити пов'язаним з банком особам на умовах, які не відрізняються від умов надання таких видів кредитів іншим особам.

157. Члени ради банку або колегіальних органів, які мають право ухвалювати кредитне рішення, не можуть бути залученими до схвалення рішення щодо видачі кредитів особам, пов'язаним з ними.

158. Рада банку затверджує рішення щодо надання кредиту пов'язаним з банком особам, величина якого перевищує 1 % регулятивного капіталу банку, якщо таке рішення прийнято правлінням банку або іншим колегіальним органом. Інформація щодо кредитів, наданих пов'язаним з банком особам, подається Національному банку відповідно до Правил організації статистичної звітності, що подається до Національного банку України, затверджених постановою Правління Національного банку України від 01 березня 2016 року № 129 (зі змінами).

19. Кредитне адміністрування та моніторинг

159. Банк створює підрозділ(и), що виконує(ють) функції кредитного адміністрування, що у взаємодії з кредитним підрозділом, забезпечує належне супроводження кредиту протягом його видачі та моніторингу, уключаючи:

1) ведення кредитної справи боржника;

2) надання дозволу на перерахування коштів згідно з кредитним договором, що надається тільки після отримання та перевірки повноти пакета документів, отримання забезпечення та виконання інших умов, необхідних для надання кредиту (якщо це передбачено кредитним договором), крім випадків, коли система автоматично здійснює верифікацію та реалізацію прийнятого рішення, відповідно до алгоритму дій, затвердженого колегіальним органом банку;

3) контроль установлених значень лімітів;

4) моніторинг виконання умов кредитного договору щодо погашення відсотків та основної суми боргу;

5) моніторинг дотримання боржником інших умов кредитного договору;

6) моніторинг своєчасного перегляду наявності та стану збереження забезпечення, а також переоцінки його ринкової (справедливої) вартості.

160. Підрозділ кредитного адміністрування для уникнення конфлікту інтересів повинен:

1) бути незалежним від підрозділів, що здійснюють активні банківські операції;

2) отримувати винагороду, що не залежить від таких показників, як обсяг кредитів та обсяг прибутку, отриманого банком у короткостроковому періоді.

161. Банк забезпечує формування кредитної документації (справи) боржника відповідно до вимог Положення № 351.

Кредитна справа боржника має включати всю інформацію, необхідну для належної оцінки кредитного ризику, уключаючи оцінку поточного фінансового стану боржника на індивідуальній основі, а також контроль за виконанням умов, передбачених у кредитному рішенні та зазначені в кредитному договорі.

162. Банк забезпечує належне зберігання кредитної справи боржника, що мінімізує ризик її знищення або псування в результаті обставин непереборної сили (форс-мажор), а також дій працівників банку або третіх осіб. Переміщення, додавання або тимчасове вилучення документів має бути задокументованим та проводитися виключно особами, які мають такі повноваження. Банк забезпечує періодичний внутрішній контроль за повнотою кредитної справи боржника.

163. Банк здійснює на постійній основі моніторинг портфеля кредитів на рівні кожної активної операції/групи фінансових активів, уключаючи достатність сформованих банком резервів під очікувані кредитні збитки та величини кредитного ризику відповідно до вимог Положення № 351.

164. Банк розробляє та впроваджує комплексні процедури та інформаційні системи щодо управління ризиками для моніторингу портфеля кредитів на рівні кожної активної операції/групи фінансових активів. У цих процедурах визначаються критерії раннього виявлення НПА, передбачена відповідна звітність, класифікація та заходи щодо запобігання збільшенню кредитного ризику.

165. Банк запроваджує ефективну систему кредитного моніторингу на рівні кожної активної операції/групи фінансових активів, яка включає такі заходи:

1) оцінку поточного фінансового стану боржника для кредитів, що оцінюються на індивідуальній основі;

2) моніторинг виконання умов кредитного договору щодо погашення відсотків та основної суми боргу;

3) моніторинг дотримання боржником інших умов кредитного договору;

4) моніторинг своєчасного перегляду наявності та стану збереження забезпечення, а також його ринкової (справедливої) вартості;

5) своєчасне виявлення НПА;

6) своєчасне інформування керівників банку стосовно виявлених проблем з метою вжиття заходів для запобігання збільшенню кредитного ризику.

166. Банк створює систему моніторингу якості кредитів на груповій основі, яка відповідає характеру, масштабу та структурі портфеля кредитів банку.

167. Банк здійснює моніторинг портфеля кредитів, під час якого забезпечує оцінку таких показників:

1) якості портфеля кредитів залежно від кількості днів прострочення боргу в розрізі:

боржників або групи пов'язаних контрагентів;

боржників, що мають спільний вид економічної діяльності;

боржників одного географічного регіону;

кредитних продуктів;

2) структури застави/забезпечення за кредитами;

3) повноти сформованих банком резервів під очікувані кредитні збитки відповідно до вимог МСФЗ та величини кредитного ризику відповідно до вимог Положення № 351.

Банк має право здійснювати моніторинг портфеля кредитів, що забезпечує оцінку інших показників додатково до встановлених у пункті 167 глави 19 розділу II цього Положення.

20. Перегляд кредитів

168. Банк проводить перегляд кредитів (credit review) не пізніше ніж через один рік з дати видачі кредиту та в подальшому - не рідше ніж один раз на рік.

169. Метою перегляду кредитів є:

1) перевірка правильності оцінки фінансового стану боржника, коефіцієнтів ймовірності дефолту (PD) та втрат у разі дефолту боржника/контрагента (LGD), ринкової (справедливої) вартості забезпечення, розміру резервів під очікувані кредитні збитки та величини кредитного ризику;

2) визначення плану подальших дій банку щодо боржника.

170. Банк використовує результати перегляду кредитів для удосконалення процедур надання, моніторингу кредитів та контролю за дотриманням цих процедур.

171. Предметом перегляду кредитів є кредити, за якими обсяг боргу щодо одного боржника (без урахування суми сформованих резервів під очікувані кредитні збитки) станом на дату перегляду становить:

1) більше двадцяти розмірів мінімальної заробітної плати, установленої законодавством України - для боржника - пов'язаної з банком особи;

2) більше 1 % загального обсягу портфеля кредитів банку (без урахування сум сформованих резервів під очікувані кредитні збитки) - для інших кредитів.

172. Банк визначає процедуру перегляду кредитів, що включає:

1) перелік, функції та порядок взаємодії учасників процесу перегляду кредитів, їх повноваження і відповідальність;

2) періодичність перегляду;

3) вимоги до переоцінки застави в рамках перегляду;

4) оцінку можливих змін у здатності боржника обслуговувати кредит;

5) вимоги до документування результатів перегляду;

6) вимоги до рекомендацій або дій, що можуть бути результатом перегляду;

7) вимоги щодо термінів та формату надання звітів про результати перегляду кредитів раді банку.

173. Перегляд кредитів проводиться колегіальним органом банку згідно з рівнем розподілу повноважень, що діють на момент перегляду кредитів.

174. Колегіальний орган банку здійснює перегляд кредитів з урахуванням актуальних висновків, а саме:

1) висновку кредитного підрозділу з пропозиціями відносно подальших дій щодо боржника;

2) висновку підрозділу з управління ризиками, що містить детальну оцінку ризиків боржника та динаміки їх зміни порівняно з датою видачі/останнього перегляду;

3) висновку щодо фінансового стану боржника, зовнішнього середовища, у якому він працює, та стану виконання ним зобов'язань за кредитним договором.

Колегіальний орган банку має право здійснювати перегляд кредитів з урахуванням інших актуальних висновків додатково до визначених у пункті 174 глави 20 розділу II цього Положення.

175. Колегіальний орган банку за результатами перегляду кредиту у разі обґрунтованої доцільності розробляє заходи щодо сприяння підвищенню або запобігання зниженню кредитної якості боржника.

21. Непрацюючі активи

176. Банк запроваджує ефективну процедуру завчасного виявлення та управління НПА.

177. Банк узгоджує процедуру виявлення та управління НПА зі стратегією НПА та оперативним планом.

178. Процедура виявлення та управління НПА повинна обов'язково визначати:

1) порядок проведення раннього виявлення НПА;

2) методи та інструменти, що застосовуються банком для врегулювання НПА, основні критерії для вибору того чи іншого методу/інструменту;

3) порядок співпраці з іншими кредиторами боржника, кредит якого є непрацюючим;

4) порядок роботи з майном та іншим забезпеченням за НПА;

5) порядок роботи з боржниками, правила спілкування з боржником на кожному з етапів стягнення заборгованості, що ґрунтується на кодексі поведінки (етики) та нормах законодавства України;

6) порядок співпраці з аутсорсерами в процесі роботи з НПА (якщо така можливість передбачена внутрішньобанківськими документами);

7) порядок залучення кваліфікованих оцінювачів заставного майна;

8) порядок списання НПА;

9) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо НПА, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

179. Банк створює окремий підрозділ щодо роботи з НПА (workout unit), який має бути відокремлений від підрозділів, що відповідають за видачу кредитів. Цей підрозділ повинен мати необхідну кількість персоналу та належну технологічну інфраструктуру для реалізації необхідних заходів з метою управління НПА. Відповідні витрати мають бути передбачені в бюджеті банку.

180. Підрозділ щодо роботи з НПА готує та надає звіти підрозділу з управління ризиками в порядку та за формами, установленими внутрішньобанківськими документами.

22. Вимоги до управління окремими видами кредитного ризику

181. Банк, який здійснює активні операції з боржниками або контрагентами, що є резидентами інших країн, визначає відповідну політику та процедури виявлення, вимірювання, моніторингу, звітування та контролю ризику країни та трансфертного ризику.

182. Банк виявляє, вимірює, здійснює моніторинг, контроль та заходи щодо пом'якшення кредитного ризику контрагента:

1) передрозрахункового ризику (pre-settlement risk).

Особливістю цього ризику є те, що його величина змінюється залежно від зміни справедливої вартості інструменту, щодо якого банк наражається на цей вид ризику.

Банк здійснює управління передрозрахунковим ризиком шляхом установлення значень лімітів на контрагента та їх контролю, а також розроблення порядку дій у разі дефолту контрагента за договором.

Банк може пом'якшувати передрозрахунковий ризик шляхом:

використання захисної маржі (safety margin);

отримання від контрагента покриття на суму можливої величини передрозрахункового ризику;

передбачення в договорах права банку в односторонньому порядку достроково припиняти договір без сплати штрафних санкцій (early redemption option) у випадку недостатності покриття порівняно з величиною передрозрахункового ризику;

укладення з контрагентом договору про нетинг зустрічних вимог;

2) ризику розрахунків (settlement risk).

Банк з метою уникнення ризику розрахунків має право укладати договори на умовах попередньої оплати чи попередньої поставки від контрагента або на умовах поставки проти платежу через центрального контрагента.

Банк у разі прийняття іншого рішення, а саме прийняття ризику розрахунків (здійснення попередньої оплати або поставки банком), здійснює управління цим ризиком шляхом установлення значень лімітів на контрагента та їх контролю, а також розроблення порядку дій в разі дефолту контрагента за договором.

183. Банк оцінює можливість прийняття ризику контрагента за процедурою, що є аналогічною до тієї, на підставі якої банк оцінював би можливість надання кредиту контрагенту за договором.

184. Банк, який здійснює інвестиції в дочірні компанії, визначає вимоги до виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ризику інвестицій у дочірні компанії.

23. Стрес-тестування кредитного ризику

185. Банк здійснює на регулярній основі стрес-тестування кредитного ризику для різних короткострокових та довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливого підвищення кредитного ризику та оцінки відповідності результатів здійснення стрес-тестування встановленому банком рівню ризик-апетиту до кредитного ризику.

186. Банк за результатами здійснення стрес-тестування визначає прогнозовану величину резервів під очікувані кредитні збитки, які необхідно буде сформувати відповідно до вимог МСФЗ, а також прогнозований розмір кредитного ризику відповідно до вимог Положення № 351 у разі реалізації стрес-сценаріїв.

187. Банк використовує стрес-сценарії, які базуються на:

1) припущеннях щодо шокової зміни основних макроекономічних показників;

2) припущеннях щодо зміни фінансових класів або кредитних рейтингів боржників банку та відповідно ймовірності їх дефолту (PD) у разі зміни макроекономічних показників;

3) припущеннях щодо зміни ринкової (справедливої) вартості застави та відповідно показника LGD у разі зміни макроекономічних показників;

4) специфічних припущеннях, пов'язаних з бізнес-моделлю банку, якщо банк спеціалізується на кредитуванні певних видів економічної діяльності або боржників, продукція яких експортується (падіння цін на певні види продукції, запровадження ембарго або значних обмежень на експорт до певних країн, припинення або значне зменшення обсягу імпорту з певних країн).

188. Банк використовує результати здійснення стрес-тестування для коригування своєї стратегії/політики та процедур управління кредитним ризиком.

24. Звітування щодо кредитного ризику

189. Підрозділ з управління ризиками надає раді банку та комітету з управління ризиками управлінську звітність щодо кредитного ризику не рідше одного разу на квартал, правлінню банку та кредитному комітету - не рідше одного разу на місяць.

Підрозділ з управління ризиками не пізніше наступного робочого дня після виявлення ризику інформує раду банку, комітет з управління ризиками, правління банку та кредитний комітет про значне підвищення кредитного ризику (наближення фактичних показників кредитного ризику до встановлених значень лімітів) та порушення лімітів. Підрозділ з управління ризиками надає інформацію про причини порушення та пропозиції щодо заходів усунення порушення в строки та порядку, визначеному процедурою ескалації порушень лімітів ризиків.

190. Банк розробляє управлінську звітність щодо кредитного ризику, яка повинна обов'язково включати звіти щодо:

1) концентрації портфеля кредитів у розрізі боржників, груп пов'язаних контрагентів, видів економічної діяльності та географічних регіонів, фінансових класів, бізнес-ліній та продуктів, видів забезпечення за кредитними договорами, видів валют;

2) розміру та якості портфеля кредитів у розрізі кількості днів прострочення боргу, класифікації згідно з вимогами Національного банку та внутрішньою оцінкою банку в розрізі бізнес-ліній банку та рівня повноважень кожного з колегіальних органів банку;

3) рівня сформованих резервів під очікувані кредитні збитки відповідно до вимог МСФЗ;

4) розміру кредитного ризику, розрахованого відповідно до вимог Положення № 351;

5) величини та якості заборгованості, щодо якої вжиті заходи для запобігання підвищенню кредитного ризику;

6) НПА;

7) списань кредитів, а також обсягу погашення списаних кредитів;

8) порушень банком установлених значень лімітів кредитного ризику, а також інформації щодо авторизованих перевищень лімітів;

9) результатів стрес-тестування кредитного ризику.

III. Управління ризиком ліквідності

25. Загальні підходи до управління ризиком ліквідності

191. Банк створює ефективну систему управління ризиком ліквідності для забезпечення підтримання достатнього рівня ліквідності як в звичайних, так і стресових ситуаціях.

192. Банк визначає мінімальний перелік кількісних показників ризик-апетиту до ризику ліквідності, який обов'язково включає тривалість періоду повного і своєчасного виконання банком своїх платіжних (розрахункових) зобов'язань під час стресової ситуації без залучення кредитів від Національного банку для екстреної підтримки ліквідності та необхідний для цього обсяг високоякісних ліквідних активів.

193. Банк розробляє та періодично (не рідше одного разу на рік) переглядає політику, порядки та процедури управління ризиком ліквідності з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту до цього ризику.

194. Політика управління ризиком ліквідності повинна обов'язково містити:

1) мету, завдання та принципи управління ризиком ліквідності;

2) організаційну структуру процесу управління ризиком ліквідності з урахуванням розподілу функціоналу учасників процесу, їх повноваження, відповідальність та порядок взаємодії;

3) перелік лімітів для контролю за ризиком ліквідності та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ризику ліквідності;

5) процедури визначення, затвердження та перегляду припущень, що використовуються для вимірювання ризику ліквідності;

6) принципи диверсифікації активів та джерел фінансування з точки зору їх впливу на ризик ліквідності;

7) підходи щодо проведення стрес-тестування ризику ліквідності;

8) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо ризику ліквідності, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

195. Порядок та процедури управління ризиком ліквідності повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ризику ліквідності, уключаючи інструменти/індикатори, що використовуються;

2) перелік стабільних джерел фінансування, а також вимоги щодо складу, обсягу та характеристик високоякісних ліквідних активів, які банк планує використати для покриття можливого дефіциту ліквідності;

3) порядок управління ризиком ліквідності в розрізі учасників банківської групи, окремих бізнес-ліній банку та валют з урахуванням регуляторних та операційних обмежень щодо перерозподілу ліквідності;

4) опис припущень для продуктів з вбудованими опціонами (опціонів дострокового погашення кредитів та дострокового відкликання депозитів), що використовуються для вимірювання ризику ліквідності;

5) опис припущень для активів та зобов'язань банку, що не мають визначеної дати виконання [кредитів овердрафт, відновлювальних кредитних ліній, вкладів (депозитів) на вимогу], що використовуються для вимірювання ризику ліквідності;

6) порядок управління ризиком ліквідності в межах операційного дня;

7) перелік індикаторів раннього попередження про настання/загрозу настання кризи ліквідності;

8) порядок обміну інформацією між учасниками процесу управління ризиком ліквідності, уключаючи види, форми і терміни подання інформації;

9) програму проведення стрес-тестування ризику ліквідності;

10) порядок складання та перевірки достовірності статистичної звітності щодо ризику ліквідності, що надається Національному банку.

196. Правління банку та/або підрозділ з управління ризиками не пізніше наступного робочого дня інформують раду банку щодо нових та/або непередбачуваних значних загроз ліквідності банку щодо:

1) зростання вартості ресурсів для банку, що не супроводжується відповідними змінами на ринку;

2) зростання концентрації зобов'язань банку;

3) зростання дефіциту ліквідності та/або зникнення/зменшення можливості його покриття;

4) значного зменшення обсягу високоякісних ліквідних активів;

5) зміни ринкового середовища, що може призвести до проблем з ліквідністю.

197. Банк ураховує витрати на підтримання достатнього рівня ліквідності в процедурі внутрішнього ціноутворення своїх продуктів у разі визначення трансфертних цін (ставок) для перерозподілу фінансових ресурсів усередині банку.

198. Банк установлює чіткі процедури виявлення, вимірювання, моніторингу, звітування та контролю, а також пом'якшення ризику ліквідності. Ці процедури мають уключати чіткий алгоритм усебічного аналізу та прогнозування грошових потоків за активними та пасивними банківськими операціями, позабалансовими банківськими операціями в розрізі заданих часових інтервалів.

199. Прогнозування грошових потоків банку має базуватись як на контрактних строках (міжбанківське кредитування, погашення кредитів та боргових цінних паперів, повернення депозитів та погашення боргових цінних паперів власної емісії), так і на припущеннях щодо поведінки клієнтів (відтік коштів клієнтів з поточних рахунків, несвоєчасне погашення кредитів, використання клієнтами коштів у рамках зобов'язань банку з кредитування, які є безвідкличними) та реалізації вбудованих у банківські продукти опціонів (дострокове погашення кредитів, дострокове розірвання строкових депозитів).

Банк формує судження щодо обґрунтованості таких припущень. Банк здійснює перегляд цих припущень у разі зміни ринкового середовища, але не рідше одного разу на рік.

26. Інструменти оцінки ризику ліквідності

200. Банк для оцінки ризику ліквідності використовує такі інструменти моніторингу:

1) аналіз дотримання нормативів ліквідності та норм обов'язкового резервування, установлених Національним банком;

2) GAP-аналіз, що відображає часову неузгодженість між вимогами та зобов'язаннями банку (як балансовими, так і позабалансовими) за контрактними або очікуваними строками погашення. GAP-аналіз проводиться за двома видами:

контрактний - виключно за контрактними строками як за основними інструментами, так і за вбудованими опціонами;

прогнозний - за контрактними строками з урахуванням припущень, уключаючи припущення щодо нових операцій. Банк здійснює GAP-аналіз не рідше одного разу на тиждень з урахуванням вимог щодо прогнозування грошових потоків, зазначених у пункті 200 глави 26 розділу III цього Положення. Банк здійснює GAP-аналіз ризику ліквідності та процентного ризику банківської книги за часовими інтервалами, наведеними в додатку 3 до цього Положення;

3) аналіз концентрації зобов'язань банку за значимими групами контрагентів, інструментами/продуктами, а саме коефіцієнтів концентрації в загальних зобов'язаннях банку за:

п'ятьма та десятьма найбільшими вкладниками/групами пов'язаних контрагентів за сукупним обсягом залучених коштів за усіма укладеними договорами;

п'ятьма та десятьма найбільшими кредиторами банку/групами пов'язаних контрагентів за сукупним обсягом залучених коштів за усіма укладеними договорами;

значимими вкладниками та іншими кредиторами банку/групами пов'язаних контрагентів. Значимими є вкладники та інші кредитори банку/групи пов'язаних контрагентів, сукупний обсяг залучених коштів за усіма укладеними договорами з якими становить більше одного відсотка зобов'язань банку на дату проведення аналізу;

типами контрагентів (банками, небанківськими фінансовими установами, юридичними особами, пов'язаними з банком особами, фізичними особами);

за значимими інструментами/продуктами або групами інструментів/продуктів. Значимим інструментом/продуктом є один інструмент/продукт або група інструментів/продуктів зі схожими характеристиками, сукупний обсяг залучених коштів за якими становить більше одного відсотка зобов'язань банку на дату проведення аналізу. Банк самостійно визначає характеристики, за якими об'єднує інструменти/продукти в групи інструментів/продуктів зі схожими характеристиками.

Банк здійснює розрахунок цих коефіцієнтів як за зобов'язаннями банку в цілому, так і в розрізі часових інтервалів: до 1 місяця, 1 - 3 місяці, 3 - 6 місяців, 6 - 9 місяців, 9 - 12 місяців та понад 12 місяців;

4) співставлення обсягів активів та зобов'язань у кожній значимій валюті, уключаючи співставлення в розрізі часових інтервалів: до 1 місяця, 1 - 3 місяці, 3 - 6 місяців, 6 - 9 місяців, 9 - 12 місяців та понад 12 місяців. Значимою валютою є іноземна валюта, частка якої в зобов'язаннях банку становить більше п'яти відсотків на дату проведення аналізу;

5) моніторинг наявних необтяжених високоякісних ліквідних активів, що підтримуються як можливе забезпечення на випадок реалізації стрес-сценаріїв, уключаючи втрату або погіршення умов залучення незабезпечених і доступних у нормальних умовах забезпечених джерел фінансування за видами та значимими валютами;

6) аналіз інформації про ситуацію на ринку цінних паперів та фінансовому секторі, а також ринкових характеристик цінних паперів, включених до переліку високоякісних ліквідних активів;

7) аналіз ризику ліквідності банку в межах операційного дня, а саме розрахунок таких показників:

максимального використання ліквідності в межах операційного дня (maximum daily liquidity usage) - максимального кумулятивного негативного сальдо між вхідними та вихідними платежами за кореспондентськими рахунками банку з початку дня до часу розрахунку. Банк розраховує цей показник не рідше ніж один раз на годину як загалом за всіма операціями, так і без урахування операцій з Національним банком та іншими банками;

доступної миттєвої ліквідності на початок кожного робочого дня (available intraday liquidity at the start of the business day) - обсягу високоякісних ліквідних безготівкових активів (коштів на кореспондентських рахунках), що є в наявності в банку на початок робочого дня. Банк здійснює розрахунок цього показника як загалом (gross), так і без урахування грошових потоків за операціями з Національним банком та іншими банками (net).

Банк для оцінки ризику ліквідності має право використовувати інші інструменти моніторингу додатково до встановлених у пункті 200 глави 26 розділу III цього Положення.

201. Банк використовує такі методи оцінки ризику ліквідності: аналіз коефіцієнта покриття ліквідності (LCR) відповідно до вимог постанови Правління Національного банку України від 15 лютого 2018 року № 13 "Про запровадження коефіцієнта покриття ліквідністю (LCR)" та аналіз коефіцієнта чистого стабільного фінансування (NSFR) з урахуванням рекомендацій Базельського комітету з банківського нагляду (Basel III: the net stable funding ratio).

202. Банк здійснює оцінку ризику ліквідності з використанням зазначених у пункті 200 глави 26 розділу III цього Положення інструментів моніторингу як за всіма валютами загалом, так і в розрізі значних валют.

27. Ліміти для контролю ризику ліквідності

203. Банк установлює такі ліміти для контролю ризику ліквідності:

1) кумулятивного розриву (cumulative GAP) між вимогами та зобов'язаннями банку для часових інтервалів до одного року, що розрахований на підставі GAP-аналізу;

2) концентрації фінансування банку за п'ятьма та десятьма найбільшими вкладниками та іншими кредиторами банку/групами пов'язаних контрагентів, пов'язаними з банком особами.

204. Банк установлює ліміти як за всіма валютами загалом, так і в розрізі значимих валют. Банк має право встановлювати ліміти в розрізі: національна валюта/всі іноземні валюти.

205. Банк установлює значення лімітів на основі припущень щодо можливих шляхів покриття дефіциту ліквідності.

206. Підрозділ з управління ризиками не пізніше наступного робочого дня інформує раду банку, комітет з управління ризиками, правління банку та комітет з управління активами і пасивами про факти значного погіршення ліквідності банку та порушення лімітів ліквідності. Інформація про причини порушення та пропозиції щодо заходів усунення порушення надається в строки та порядку, визначеному процедурою ескалації порушень лімітів ризиків з метою прийняття своєчасних та адекватних управлінських рішень.

28. Програма фінансування

207. Банк здійснює на постійній основі моніторинг та контроль за величиною ризику ліквідності та потребою у фінансуванні як загалом, так і в розрізі:

1) клієнтів банку;

2) основних бізнес-ліній та продуктів;

3) значимих валют з урахуванням нормативних та операційних обмежень щодо купівлі, продажу та обміну валюти.

208. Банк розробляє програму фінансування (funding strategy), яка як частина загальної системи управління ризиком ліквідності, забезпечує диверсифікацію джерел, строків залучення коштів та обов'язково містить:

1) перелік пріоритетних ринків/типів контрагентів, від яких планується залучення коштів із зазначенням відсотку до загального обсягу зобов'язань банку;

2) строки залучення коштів;

3) альтернативні джерела залучення коштів у разі обмеження або відсутності доступу до пріоритетних ринків.

209. Банк переглядає програму фінансування не рідше одного разу на рік, а в разі зміни внутрішнього та/або зовнішнього ринкового середовища - невідкладно.

29. Управління ліквідністю в межах операційного дня

210. Банк з метою своєчасного виконання своїх зобов'язань як у звичайних, так і в стресових ситуаціях розробляє порядок управління ліквідністю в межах операційного дня, який забезпечує:

1) визначення переліку, функцій та порядку взаємодії учасників процесу управління ризиком ліквідності в межах операційного дня, їх повноваження, відповідальність та підпорядкування;

2) виявлення клієнтів банку, яким можуть надходити найбільші суми коштів протягом операційного дня та/або кошти яких банк має перерахувати протягом операційного дня, а також порядок роботи з ними;

3) виявлення днів (останній день кварталу, останній день сплати податків) або проміжків операційного дня, що потребують особливого режиму управління ризиком ліквідності в межах операційного дня;

4) визначення обсягів очікуваних грошових потоків у межах операційного дня;

5) прогнозування суми дефіциту ліквідності, що може виникнути в певні проміжки впродовж операційного дня;

6) оцінку доступної ліквідності, уключаючи оцінку доступної ліквідності активів, що можуть бути використані як застава для залучення додаткового фінансування, необхідна для покриття можливого відпливу коштів у межах операційного дня;

7) розрахунок показників, які банк використовує для оцінки ризику ліквідності в межах операційного дня, визначених цим Положенням;

8) порядок визначення пріоритетності платежів з метою підтримання ліквідності в межах операційного дня;

9) порядок управління ліквідністю в межах операційного дня в кризових ситуаціях.

211. Банк самостійно встановлює цілі управління ліквідністю в межах операційного дня, що дають змогу йому:

1) визначати платежі з високим пріоритетом та здійснювати їх без затримок;

2) здійснювати платежі з низьким пріоритетом так швидко, як це можливо.

30. Необтяжені високоякісні ліквідні активи

212. Банк створює та підтримує достатній обсяг необтяжених високоякісних ліквідних активів як можливе забезпечення на випадок реалізації стрес-сценаріїв, уключаючи втрату або погіршення умов залучення незабезпечених і доступних у нормальних умовах забезпечених джерел фінансування. Для цього банк здійснює такі заходи:

1) визначає обсяг високоякісних ліквідних активів, який є необхідним для можливого залучення коштів під заставу;

2) виявляє активи, які можуть бути використані як застава, для кожного з типів кредиторів та ринків забезпеченого фінансування;

3) здійснює моніторинг активів у розрізі емітентів, валют, інших показників, які можуть бути використані як застава, з метою визначення оперативності можливого залучення коштів;

4) здійснює диверсифікацію активів, які можуть бути використані як застава, з метою уникнення залежності від окремих кредиторів та ринків залучення фінансування.

213. Банк забезпечує наявність необхідного обсягу необтяжених високоякісних ліквідних активів, який:

1) відповідає затвердженому рівню ризик-апетиту щодо ризику ліквідності;

2) складається з найбільш високоякісних ліквідних необтяжених активів, які можна використовувати як заставу для залучення коштів у найкоротші строки без значних втрат і дисконтів за різних умов функціонування банку (облігації внутрішньої державної позики, депозитні сертифікати, емітовані Національним банком);

3) є достатнім для покриття дефіциту ліквідності, визначеному в результаті здійснення стрес-тестування, як мінімум, за короткостроковими сценаріями.

31. План фінансування в кризових ситуаціях

214. Банк розробляє план фінансування в кризових ситуаціях, який обов'язково містить:

1) процедури виявлення кризи ліквідності та інформування про це керівництва банку;

2) порядок дій керівників банку, відповідальних колегіальних органів та працівників банку в умовах різних видів стресового середовища;

3) чіткий перелік заходів, що має здійснюватися кожним з підрозділів, які є відповідальними за управління ризиком ліквідністю, залежно від типу та рівня складності виявленої кризи ліквідності;

4) порядок комунікації між працівниками банку та учасниками ринку, що має забезпечити вчасне, чітке та послідовне інформування стосовно причин виникнення кризи ліквідності та заходів банку, що здійснюються з метою її подолання. Цільовими адресатами інформування є:

регуляторні органи;

інші учасники ринку;

працівники банку;

клієнти банку;

власники цінних паперів банку;

банки-кореспонденти;

платіжні системи.

215. Банк має право розробити план фінансування в кризових ситуаціях у рамках плану відновлення діяльності.

216. Банк з метою своєчасного виявлення кризи ліквідності та застосування плану фінансування в кризових ситуаціях визначає індикатори раннього виявлення кризи ліквідності, мінімальний перелік яких визначений у додатку 4 до цього Положення.

217. Банк періодично проводить тестування плану фінансування в кризових ситуаціях з метою відпрацювання взаємодії підрозділів банку та визначення реалістичності закладених у нього припущень щодо можливості залучення фінансування, реалізації або використання як застави наявних високоякісних ліквідних активів.

32. Стрес-тестування ризику ліквідності

218. Банк на регулярній основі здійснює стрес-тестування ризику ліквідності для різних короткострокових та довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому (окремо і в поєднанні), з метою виявлення причин можливих проблем з ліквідністю та оцінки відповідності результатів здійснення стрес-тестування встановленому банком рівню ризик-апетиту до ризику ліквідності.

219. Банк використовує результати здійснення стрес-тестування для коригування своєї стратегії/політики та процедур управління ризиком ліквідності та забезпечення ефективності розробленого банком плану фінансування в кризових ситуаціях.

220. Банк під час здійснення стрес-тестування використовує не менше трьох стрес-сценаріїв:

1) властивий для банку (специфічний) - виникнення внутрішньої кризи в банку на тлі стабільної загальної ситуації в банківській системі (погіршення якості активів, зростання концентрації зобов'язань, значне зменшення обсягу високоякісних ліквідних активів, зростання дефіциту ліквідності та/або зникнення/зменшення можливості його покриття, зниження кредитного рейтингу банку, інформаційну атаку, паніку вкладників, проблеми з акціонерами);

2) загальноринковий - виникнення кризи в банківській системі в цілому;

3) комбінований (найбільш жорсткий) - виникнення внутрішньої кризи в банку на тлі загальної кризи в банківській системі.

221. Банк під час розроблення цих сценаріїв використовує найбільш негативну:

1) власну статистику для нормального та кризового стану банківської системи;

2) статистику Національного банку щодо динаміки активів та зобов'язань у банківській системі;

3) статистику динаміки активів та зобов'язань банків, що стали неплатоспроможними, або банків, що опинилися в умовах специфічної або комбінованої кризи.

222. Банк розробляє стрес-сценарії з урахуванням припущень щодо:

1) відпливу коштів клієнтів як юридичних осіб (крім банків), так і фізичних осіб;

2) джерел фінансування:

знецінення/унеможливлення використання активів банку, що можуть використовуватися як застава для залучення коштів за нормальних ринкових умов;

втрати або значного зменшення можливості залучення коштів значних вкладників та інших кредиторів банку;

закриття або значного зменшення значень міжбанківських лімітів банками-контрагентами, материнським банком, іншими банками - учасниками банківської групи;

необхідності використання додаткового обсягу активів банку, як застави для запобігання відпливу наявного фінансування;

3) потреби в додатковому залученні коштів у зв'язку з непередбачуваним використанням клієнтами права на отримання коштів у рамках наданих банком зобов'язань з кредитування;

4) інших складових:

значного зменшення можливості перерозподілу ліквідності з однієї валюти в іншу;

проблем у роботі з платіжними (розрахунковими) системами, що використовуються банком.

Банк має право розробляти стрес-сценарії з урахуванням інших припущень додатково до визначених у пункті 222 глави 32 розділу III цього Положення.

33. Звітування щодо ризику ліквідності

223. Підрозділ з управління ризиками подає раді банку та комітету з управління ризиками управлінську звітність щодо ризику ліквідності не рідше одного разу на квартал, правлінню банку та комітету з управління активами і пасивами - не рідше одного разу на місяць.

224. Банк розробляє управлінську звітність щодо ризику ліквідності, яка повинна обов'язково включати звіти щодо:

1) порушень нормативів/коефіцієнтів ліквідності, установлених Національним банком;

2) порушень норм обов'язкового резервування, установлених Національним банком;

3) результатів GAP-аналізу;

4) концентрації активів/зобов'язань банку за основними клієнтами/групами пов'язаних контрагентів;

5) оцінки ризику ліквідності банку в межах операційного дня;

6) результатів здійснення стрес-тестування ризику ліквідності;

7) індикаторів раннього виявлення кризи ліквідності;

8) обсягів високоякісних ліквідних активів та їх достатності для покриття зобов'язань банку;

9) порушень банком установлених значень лімітів ліквідності, а також інформації щодо авторизованих перевищень лімітів.

IV. Управління процентним ризиком банківської книги

34. Загальні підходи до управління процентним ризиком банківської книги

225. Банк створює ефективну систему управління процентним ризиком банківської книги (IRRBB), що має повністю інтегруватися в загальну систему управління ризиками банку.

226. Процентний ризик банківської книги включає такі ризики:

1) ризик розривів, який виникає через різницю в строках погашення (для інструментів з фіксованою процентною ставкою) або зміни величини індексу процентної ставки (для інструментів із плаваючою процентною ставкою) активів, зобов'язань та позабалансових позицій в банківській книзі. Банк здійснює розрахунок ризику розривів з урахуванням того, чи відбуваються зміни процентних ставок послідовно за всією кривою дохідності (паралельний ризик), чи диференційовано за періодами зі зміною в нахилі та формі кривої дохідності (непаралельний ризик);

2) базисний ризик, який виникає через те, що немає достатнього тісного зв'язку між коригуванням ставок, отриманих та сплачених за різними інструментами, всі інші характеристики яких щодо переоцінки є однаковими;

3) ризик опціонності, який виникає через проведення банком операцій з опціонами (автоматичний ризик опціонності) або наявності вбудованих опціонів у стандартних продуктах банку (поведінковий ризик опціонності).

227. Банк визначає такі кількісні показники ризик-апетиту до процентного ризику банківської книги:

1) максимальне падіння чистого процентного доходу банку протягом наступних 12 місяців, що визначається як найгірше зниження значення цього показника, визначене із застосуванням усіх сценаріїв зміни процентних ставок, що використовуються банком;

2) максимальне падіння економічної вартості капіталу банку, що визначається як найгірше зниження значення цього показника, визначене із застосуванням усіх сценаріїв зміни процентних ставок, що використовуються банком.

Банк має право визначати інші кількісні показники ризик-апетиту до процентного ризику банківської книги додатково до встановлених у пункті 227 глави 34 розділу IV цього Положення.

35. Політика та процедури управління процентним ризиком банківської книги

228. Банк розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядки та процедури управління процентним ризиком банківської книги з метою забезпечення їх відповідності рівню ризик-апетиту до цього ризику.

229. Політика управління процентним ризиком банківської книги повинна обов'язково містити:

1) мету, завдання та принципи управління процентним ризиком банківської книги;

2) організаційну структуру процесу управління процентним ризиком банківської книги з урахуванням розподілу функціональних обов'язків учасників процесу, їх повноважень, відповідальності та порядку взаємодії;

3) перелік лімітів для контролю за процентним ризиком банківської книги та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення процентного ризику банківської книги;

5) процедури визначення, затвердження та перегляду припущень, що використовуються під час вимірювання процентного ризику банківської книги;

6) підходи до здійснення стрес-тестування процентного ризику банківської книги;

7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо процентного ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

230. Порядок та процедури управління процентним ризиком банківської книги повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення процентного ризику банківської книги, уключаючи інструменти/індикатори, що використовуються банком;

2) опис сценаріїв зміни процентних ставок;

3) опис припущень, що використовуються банком під час вимірювання процентного ризику банківської книги для продуктів із убудованими опціонами;

4) опис припущень, що використовуються банком під час вимірювання процентного ризику банківської книги для всіх статей банківської книги, що не мають визначеної дати зміни процентної ставки;

5) порядок обміну інформацією між учасниками процесу управління процентним ризиком банківської книги, уключаючи види, форми і терміни подання інформації;

6) програму проведення стрес-тестування процентного ризику банківської книги;

7) порядок складання та перевірки достовірності статистичної звітності щодо процентного ризику банківської книги, що подається до Національного банку.

231. Банк установлює ліміти процентного ризику банківської книги щонайменше в розрізі значимих валют щодо:

1) максимального падіння чистого процентного доходу банку протягом наступних 12 місяців, що визначається як найгірше зі значень цього показника, розраховане на підставі усіх сценаріїв зміни процентних ставок, що використовуються банком;

2) максимального падіння економічної вартості капіталу банку, що визначається як найгірше зниження значення цього показника, розраховане на підставі всіх сценаріїв зміни процентних ставок, що використовуються банком.

232. Банк установлює значення лімітів процентного ризику банківської книги у відсотках до:

1) планового річного чистого процентного доходу - для лімітів максимального можливого падіння чистого процентного доходу банку;

2) регулятивного капіталу банку - для лімітів максимального падіння економічної вартості капіталу банку.

233. Банк має право встановити загальний ліміт за валютами 1 групи Класифікатора іноземних валют та банківських металів, затвердженого постановою Правління Національного банку України від 04 лютого 1998 року № 34 (у редакції постанови Правління Національного банку України від 19 квітня 2016 року № 269) (зі змінами) (далі - Класифікатор), якщо визначена банком величина зміни процентних ставок для цих валют є однаковою.

36. Вимірювання процентного ризику банківської книги

234. Банк вимірює процентний ризик банківської книги як величину зміни економічної вартості капіталу банку (далі - метод EVE) та чистого процентного доходу банку (далі - метод NII) на підставі повного та економічно обґрунтованого переліку змін процентних ставок та стрес-сценаріїв.

235. Метод EVE відображає можливу зміну чистої теперішньої вартості активів, зобов'язань та позабалансових позицій банківської книги в результаті реалізації певних сценаріїв зміни процентних ставок на ринку.

236. Метод NII відображає можливу зміну чистого процентного доходу банку протягом визначеного періоду часу, що призведе до відповідної зміни регулятивного капіталу банку.

237. Горизонт оцінки процентного ризику банківської книги за методом EVE відображає зміну вартості активів, зобов'язань та позабалансових позицій до кінцевого терміну їх утримування без припущення щодо заміни інструменту в разі його закінчення.

Горизонт оцінки процентного ризику банківської книги за методом NII обмежується короткостроковим періодом (до одного року) з урахуванням припущень щодо заміни інструменту або його продовження на такий же термін, але за новою процентною ставкою, не покриваючи вплив зміни процентної ставки в часовому інтервалі, що залишається поза рамками горизонту оцінки.

238. Банк вимірює процентний ризик банківської книги на підставі, щонайменше, чотирьох сценаріїв зміни процентної ставки:

1) однакові темпи зростання ставок за всіма строками (parallel shock up);

2) однакові темпи падіння ставок за всіма строками (parallel shock down);

3) зростання ставок лише за строками до шести місяців уключно (short rates shock up);

4) падіння ставок за строками лише до шести місяців уключно (short rates shock down).

239. Банк має право додатково використовувати такі сценарії зміни процентних ставок:

1) зростання ставок за строками до шести місяців уключно в разі одночасного падіння ставок в інших строках (flattener shock);

2) падіння ставок за строками до шести місяців уключно в разі одночасного зростання ставок в інших строках (steepener shock).

240. Банк самостійно встановлює величину зміни процентних ставок для кожного із сценаріїв на підставі як власного досвіду, так і статистики зміни процентних ставок на українському та світовому ринках (для тих випадків, де це є релевантним). Водночас мінімальна величина зміни процентних ставок банку не може бути меншою ніж:

1) для гривні та валют 2 та 3 групи Класифікатора - 500 базисних пунктів для сценарію зміни ставок для короткострокових строків та 400 базисних пунктів - для сценарію зміни ставок для всіх строків;

2) для валют 1 групи Класифікатора - 300 базисних пунктів для сценарію зміни ставок для короткострокових строків та 200 базисних пунктів - для сценарію зміни ставок для всіх строків.

241. Банк здійснює оцінку процентного ризику банківської книги як за всіма валютами загалом, так і в розрізі значимих валют. Банк має право здійснювати оцінку процентного ризику банківської книги за валютами 1 групи Класифікатора в цілому, якщо визначена банком величина зміни процентних ставок за цими валютами є однаковою.

242. Перелік сценаріїв, що використовується банком для оцінки процентного ризику банківської книги, та величина зміни процентних ставок для кожного із сценаріїв затверджуються правлінням банку або комітетом з управління активами і пасивами та переглядаються ними в разі змін процентних ставок на ринку, але не рідше одного разу на рік.

243. Банк використовує зрозумілі, повні, обґрунтовані та задокументовані припущення під час оцінки процентного ризику банківської книги, які мають бути протестовані та відповідати бізнес-плану банку.

244. Банк визначає припущення щодо поведінки інструментів із убудованими опціонами (поведінковою опціонністю), а саме для:

1) кредитів із фіксованою процентною ставкою та можливістю дострокового погашення (обсяг дострокового погашення);

2) безвідкличних зобов'язань із кредитування з фіксованою процентною ставкою (можливий обсяг кредитування за такими зобов'язаннями);

3) строкових депозитів із можливістю дострокового відкликання (можливий обсяг дострокового відкликання).

245. Банк визначає припущення щодо оцінки рахунків клієнтів, що не мають визначеної дати зміни процентної ставки (залишків на поточних та карткових рахунках клієнтів), а саме:

1) обсяг стабільних залишків, що є нечутливими до зміни процентних ставок;

2) строк знаходження таких коштів на балансі банку.

Банк використовує власний досвід для визначення цих припущень із урахуванням історичної динаміки (як власної, так і банківської системи в цілому) в умовах різного макроекономічного середовища (зростання/падіння економіки).

Банк установлює зазначені припущення в розрізі значних валют, типів клієнтів та/або продуктів банку.

246. Банк для оцінки процентного ризику банківської книги використовує такі інструменти:

1) GAP-аналіз - для оцінки зміни чистого процентного доходу банку;

2) метод модифікованої дюрації - для оцінки зміни економічної вартості капіталу банку.

Банк здійснює GAP-аналіз як інструмент вимірювання величини процентного ризику банківської книги та використовує метод модифікованої дюрації як інструмент вимірювання величини процентного ризику банківської книги за етапами, визначеними в додатках 5 та 6 до цього Положення.

247. Банк має право використовувати інші інструменти оцінки процентного ризику банківської книги додатково до встановлених цим Положенням, що наведені в документі EBA "Guidelines on the management of interest rate risk arising from non-trading activities".

37. Стрес-тестування процентного ризику банківської книги

248. Банк на регулярній основі здійснює стрес-тестування процентного ризику банківської книги для короткострокових та довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому з метою виявлення причин виникнення можливих проблем унаслідок зростання процентного ризику банківської книги та оцінки співставності результатів здійснення стрес-тестування встановленому банком рівню ризик-апетиту до процентного ризику банківської книги.

249. Результатом здійснення стрес-тестування процентного ризику банківської книги має бути величина максимального падіння чистого процентного доходу банку та величина максимального падіння економічної вартості капіталу банку в разі реалізації стрес-сценаріїв.

250. Банк використовує стрес-сценарії, які обов'язково містять:

1) припущення щодо шокової величини зміни процентних ставок у кризових умовах за кожним із чотирьох сценаріїв, що зазначені в пункті 238 глави 36 розділу IV цього Положення, та ґрунтується на статистиці як банку, так і банківської системи в цілому;

2) припущення щодо зміни поведінки інструментів із убудованими опціонами (поведінковою опціонністю);

3) припущення щодо зміни поведінки рахунків клієнтів, що не мають визначеної дати зміни процентної ставки (залишків на поточних та карткових рахунках клієнтів);

4) специфічні припущення, що пов'язані з реалізацією бізнес-моделі банку.

38. Звітування щодо процентного ризику банківської книги

251. Підрозділ з управління ризиками подає звіти щодо оцінки процентного ризику банківської книги раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку та комітету з управління активами і пасивами - не рідше одного разу на місяць.

252. Підрозділ з управління ризиками не пізніше наступного робочого дня інформує раду банку, комітет з управління ризиками, правління банку та комітет з управління активами і пасивами про значне підвищення процентного ризику банківської книги та порушення лімітів. Підрозділ з управління ризиками надає інформацію про причини порушення та пропозиції щодо заходів усунення порушення в строки та в порядку, визначених процедурою ескалації порушень лімітів ризиків.

253. Банк розробляє управлінську звітність щодо процентного ризику банківської книги, яка повинна обов'язково включати звіти щодо:

1) величини процентного ризику банківської книги в розрізі можливого падіння чистого процентного доходу та економічної вартості капіталу банку з описовою частиною, що визначає активи, зобов'язання, позабалансові позиції, грошові потоки та продукти, що є основними з точки зору процентного ризику банківської книги;

2) порушень банком установлених лімітів процентного ризику банківської книги та авторизованого перевищення лімітів;

3) результатів здійснення стрес-тестування процентного ризику банківської книги.

V. Управління ринковими ризиками

39. Загальні підходи до управління ринковими ризиками

254. Банк створює ефективну систему управління ринковими ризиками, що має повністю інтегруватися в загальну систему управління ризиками банку.

255. Ринкові ризики включають такі ризики:

1) ризик дефолту, який виникає через невиконання емітентом боргового цінного папера або іншого інструменту, що міститься в торговій книзі банку, своїх контрактних зобов'язань;

2) процентний ризик торгової книги, який виникає через несприятливі зміни ринкових процентних ставок, що впливають на вартість боргового цінного паперу або іншого інструменту з фіксованим прибутком, вартість похідного фінансового інструменту (деривативу), базовою змінною для якого є ринкова процентна ставка, що містяться в торговій книзі банку;

3) ризик кредитного спреду, який виникає через розширення (збільшення) кредитного спреду між дохідністю до погашення цінного папера або іншого фінансового інструменту з фіксованим прибутком, що міститься в торговій книзі банку, та безризиковою дохідністю до погашення (дохідністю до погашення облігацій внутрішньої державної позики, номінованих у національній валюті) з аналогічною дюрацією, яка впливає на ринкову вартість таких інструментів. Розширення кредитного спреду може бути пов'язане як зі зниженням кредитної якості емітента фінансового інструменту, так і з загальними змінами ринкової кон'юнктури;

4) фондовий ризик, який виникає через несприятливі зміни ринкової вартості акцій та інших цінних паперів із нефіксованим прибутком, що містяться в торговій книзі банку;

5) валютний ризик, який виникає через несприятливі коливання курсів іноземних валют, що впливають на активи, зобов'язання та позабалансові позиції, що містяться в торговій та банківській книгах банку;

6) товарний ризик, який виникає через несприятливі зміни ринкової вартості товарів, уключаючи дорогоцінні метали, що містяться в торговій та банківській книгах банку;

7) ризик волатильності, який виникає через несприятливі зміни волатильності ринкових цін, процентних ставок, ринкових індексів і валютних курсів, що призводять до зменшення вартості опціонів, уключаючи вбудовані опціони в інші фінансові інструменти. Банк оцінює ризик волатильності, якщо в його балансі сума вартостей опціонів, уключаючи вбудовані опціони в інші фінансові інструменти, базовими змінними для яких є ринкові ціни акцій або товарів, процентні ставки, ринкові індекси або валютні курси без урахування знаку позиції, перевищує 1 % регулятивного капіталу банку.

256. Банк оцінює ризик дефолту, процентний ризик торгової книги, ризик кредитного спреду та фондовий ризик виключно за інструментами, що містяться в торговій книзі банку.

257. Банк уключає до торгової книги фінансові інструменти, які одночасно відповідають таким вимогам:

1) немає юридичних обмежень на продаж або повне хеджування;

2) проведення щоденної переоцінки справедливої вартості з відображенням результату через прибутки/збитки;

3) утримання фінансових інструментів у торговій книзі з метою подальшого продажу протягом короткого проміжку часу, отримання прибутку від короткострокових коливань ціни; фіксування арбітражного прибутку або хеджування ризиків від утримання інструментів для досягнення вищезазначеної мети.

258. Банк оцінює ризик волатильності, валютний та товарний ризики за інструментами, що містяться у торговій і в банківській книгах.

259. Банк має право оцінювати в сукупності процентний ризик торгової книги та ризик кредитного спреду (сукупний ризик). У такому разі банк використовує величину ризику за борговими інструментами як найбільшу із двох: величини ризику дефолту за борговими інструментами та величини сукупного ризику за такими інструментами.

260. Банк визначає мінімальний перелік кількісних показників ризик-апетиту до ринкових ризиків, який складається з максимальної величини вартості під ризиком або очікуваних втрат (можливих збитків) для кожного виду ринкових ризиків та/або в цілому для всіх видів ринкових ризиків з розподілом між торговою та банківською книгами у відсотках до регулятивного капіталу банку.

40. Політика та процедури управління ринковими ризиками

261. Банк розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядки та процедури управління ринковими ризиками з метою забезпечення їх відповідності рівню ризик-апетиту до цього ризику. Політика, порядки та процедури управління ринковими ризиками можуть бути єдині для всіх видів ринкових ризиків або окремі для кожного з його видів.

262. Політика управління ринковими ризиками повинна обов'язково містити:

1) мету, завдання та принципи управління ринковими ризиками;

2) організаційну структуру процесу управління ринковими ризиками з урахуванням розподілу функціонала учасників процесу, їх повноваження, відповідальність та порядок взаємодії;

3) перелік лімітів для контролю за ринковими ризиками та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ринкових ризиків;

5) процедури визначення, затвердження та перегляду припущень, що використовуються під час вимірювання ринкових ризиків;

6) підходи щодо здійснення стрес-тестування ринкових ризиків;

7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо ринкових ризиків, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

263. Порядок та процедури управління ринковими ризиками повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ринкових ризиків, уключаючи інструменти/індикатори, що використовуються;

2) опис сценаріїв зміни процентних ставок, цін акцій та інших цінних паперів із нефіксованим прибутком, товарів та курсів валют, зміни їх волатильності, а також стрес-сценаріїв;

3) опис припущень для продуктів із убудованими опціонами, що використовуються під час вимірювання ринкових ризиків;

4) порядок обміну інформацією між учасниками процесу управління ринковими ризиками, уключаючи види, форми і терміни надання інформації;

5) програма проведення стрес-тестування ринкових ризиків;

6) порядок складання та перевірки достовірності статистичної звітності щодо ринкових ризиків, що подається до Національного банку.

264. Банк має право не створювати політику та процедури управління ринковими ризиками, що властиві інструментам торгової книги (ризик дефолту, процентний ризик торгової книги, ризик кредитного спреду, ризик волатильності, фондовий ризик та товарний ризик), якщо декларацією схильності до ризиків визначено уникнення таких ризиків.

У цьому разі банк:

1) створює порядок моніторингу дотримання затвердженого нульового ризик-апетиту (якщо немає інструментів у торговій книзі);

2) розпочинає операції з новими інструментами в торговій книзі тільки після затвердження радою банку відповідного рівня ризик-апетиту та інших внутрішньобанківських документів відповідно до цього Положення.

265. Банк установлює ліміти ринкових ризиків щонайменше щодо:

1) максимально можливої вартості під ризиком (Value-at-Risk, VAR) або максимально можливих очікуваних втрат (Expected Shortfall) для визначеного банком строку з довірчою ймовірністю не нижчою, ніж 99 % в цілому для всіх видів ринкових ризиків з розподілом між торговою та банківською книгами та/або окремо для:

процентного ризику торгової книги;

ризику кредитного спреду;

фондового ризику;

валютного ризику;

товарного ризику;

ризику волатильності.

Банк установлює загальний ліміт процентного ризику торгової книги та ризику кредитного спреду, якщо банк оцінює ці ризики в сукупності;

2) розміру відкритих валютних позицій в значимих валютах у абсолютному значенні або у відсотках до регулятивного капіталу банку;

3) величини портфеля інструментів у торговій книзі банку в абсолютному значенні або у відсотках до регулятивного капіталу банку.

41. Вимірювання ринкових ризиків

266. Банк здійснює вимірювання ринкових ризиків як в цілому за всіма видами цього ризику, так і в розрізі кожного з його видів.

267. Банк використовує під час вимірювання ринкових ризиків зрозумілі, повні та документовані припущення, що відповідають бізнес-плану банку, а також історичній ринковій та власній статистиці банку.

268. Банк під час вимірювання ринкових ризиків ураховує кореляцію між різними їх видами.

269. Банк для вимірювання ринкових ризиків використовує такі інструменти:

1) для ризику дефолту - порядок оцінки кредитного ризику за активними банківськими операціями, установлений Положенням № 351;

2) для процентного ризику торгової книги та ризику кредитного спреду - метод модифікованої дюрації, який забезпечує оцінку відносної зміни справедливої вартості боргових інструментів у торговій книзі банку в разі зміни їх дохідності до погашення на один базисний пункт.

У цьому разі банк дотримується такої послідовності розрахунку:

визначає модифіковану дюрацію кожного з боргових інструментів у торговій книзі банку;

визначає показник опуклості (convexity) за кожним із видів боргових інструментів;

визначає величину зміни дохідності до погашення інструментів.

Банк самостійно визначає припущення щодо зміни процентної ставки на підставі як власного досвіду, так і статистики зміни процентних ставок на українському та світовому ринках (у випадках, коли це є релевантним). Банк застосовує можливу величину зміни процентних ставок, яка складає не менше ніж:

для гривні та валют 2 та 3 групи Класифікатора - 500 базисних пунктів для цінних паперів із дюрацією не більше ніж шість місяців та 400 базисних пунктів для цінних паперів із більшою дюрацією;

для валют 1 групи Класифікатора - 300 базисних пунктів для цінних паперів із дюрацією не більше ніж шість місяців та 200 базисних пунктів для цінних паперів із більшою дюрацією;

розраховує розмір процентного ризику торгової книги за кожним з боргових інструментів;

розраховує загальний розмір процентного ризику торгової книги з урахуванням кореляції між можливою зміною доходності до погашення різних боргових інструментів у торговій книзі банку;

3) для ризику волатильності, фондового, валютного та товарного ризиків - метод вартості під ризиком (VaR) або метод очікуваних втрат (Expected Shortfall, ES).

Банк самостійно обирає підхід до оцінки VaR або ES: історичне моделювання, параметрична модель, сценарне моделювання за методом Монте-Карло, ARCH і GARCH-моделі.

Банк має право обрати інший підхід до оцінки VaR або ES, забезпечуючи дотримання таких мінімальних кількісних характеристик:

довірча ймовірність - не нижче ніж 99 %;

глибина статистичної вибірки - не менше ніж 250 спостережень за період, не менший ніж один календарний рік.

Банк для вимірювання ризику волатильності використовує метод веги, який вимірює чутливість вартості опціону до волатильності базової змінної.

42. Стрес-тестування ринкових ризиків

270. Банк здійснює на регулярній основі стрес-тестування ринкових ризиків для різних короткострокових та довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливих збитків через реалізацію ринкових ризиків та оцінки співставності результатів здійснення стрес-тестування та встановленого рівня ризик-апетиту до ринкового ризику.

Результатом здійснення стрес-тестування ринкових ризиків має бути величина можливих збитків у разі реалізації стрес-сценаріїв.

271. Банк ґрунтує стрес-сценарії на:

1) статистиці українського та світового ринку щодо зміни в кризових умовах:

процентних ставок;

курсів іноземних валют;

вартості акцій та інших цінних паперів з нефіксованим прибутком;

вартості товарів, уключаючи дорогоцінні метали;

волатильності ринкових цін, процентних ставок, ринкових індексів і валютних курсів;

2) припущеннях банку щодо сценарію, який він визначає як найбільш несприятливий, на основі характеристик портфеля інструментів, що наражають його на ринкові ризики. Ці припущення повинні бути консервативнішими порівняно з тими, що базуються на статистиці.

43. Звітування щодо ринкових ризиків

272. Підрозділ з управління ризиками подає звіти щодо оцінки ринкових ризиків раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку та комітету з управління активами і пасивами - не рідше одного разу на місяць.

273. Підрозділ з управління ризиками не пізніше наступного робочого дня інформує раду банку, комітет з управління ризиками, правління банку та комітет з управління активами і пасивами про значне підвищення ринкових ризиків та порушення лімітів. Інформація про причини порушення та пропозиції щодо заходів усунення порушення надається в строки та в порядку, визначеному процедурою ескалації порушень лімітів ризиків для прийняття своєчасних та адекватних управлінських рішень.

274. Банк розробляє управлінську звітність щодо ринкових ризиків, яка повинна обов'язково включати звіти щодо:

1) величини ринкових ризиків та кожного з їх видів з описовою частиною, що визначає активи, зобов'язання, позабалансові позиції, грошові потоки та продукти, що є головними з точки зору схильності до ринкових ризиків;

2) порушень банком установлених лімітів ринкових ризиків та авторизованих перевищень лімітів;

3) результатів здійснення стрес-тестування ринкових ризиків.

VI. Управління операційним ризиком

44. Загальні підходи до управління операційним ризиком

275. Банк створює ефективну систему управління операційним ризиком, що має повністю інтегруватися в загальну систему управління ризиками банку.

276. Банк оцінює операційний ризик з урахуванням його взаємозв'язку та впливу на інші ризики, що притаманні діяльності банку.

277. Банк самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику. Такий перелік повинен обов'язково включати показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців.

45. Політика та процедури управління операційним ризиком

278. Банк розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядки управління операційним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту до цього ризику.

279. Політика управління операційним ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління операційним ризиком;

2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціонала відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;

3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику;

4) критеріїв визначення значних подій операційного ризику, порядок ескалації інформації щодо таких подій керівникам банку та порядок їх дослідження;

5) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);

6) підходи щодо здійснення стрес-тестування операційного ризику;

7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо операційного ризику, порядок і періодичність/терміни їх надання суб'єктам системи управління ризиками;

8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв.

280. Порядок та процедури управління операційним ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику, уключаючи інструменти/індикатори, що використовуються;

2) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-лініями;

3) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов'язаних із кредитним ризиком;

4) критерії визначення груп пов'язаних операційних подій;

5) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;

6) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;

7) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком з метою уникнення їх дублювання;

8) порядок обміну інформацією між учасниками процесу управління операційним ризиком, уключаючи види, форми і терміни подання інформації;

9) програма проведення стрес-тестування операційного ризику;

10) порядок складання та перевірки достовірності статистичної звітності щодо операційного ризику, що подається до Національного банку.

281. Банк забезпечує управління операційним ризиком, дотримуючись моделі трьох ліній захисту:

1) на першій лінії захисту перебувають бізнес-підрозділи та підрозділи підтримки банку. Вони є власниками всіх операційних ризиків, що виникають у сфері їх відповідальності. Зазначені підрозділи відповідають за виявлення та оцінювання операційних ризиків, ужиття управлінських заходів та звітування щодо таких ризиків. На першій лінії захисту банк призначає в рамках підрозділів працівників, відповідальних за внутрішній контроль операційного ризику - ризик-координаторів. До їх функцій у сфері управління операційним ризиком належать:

участь у побудові карт процесів (технологічних карт), власниками яких є підрозділи, які також використовуються для організації здійснення цих процесів, а також для побудови та впровадження ефективної системи внутрішнього контролю;

взаємодія з підрозділом з управління ризиками;

взаємодія з керівником свого підрозділу з питань дотримання політики, порядків та процедур з управління операційним ризиком;

координація з питань навчання і забезпечення обізнаності працівників підрозділу щодо політики, порядків і процедур з управління операційним ризиком;

забезпечення виявлення подій операційного ризику на рівні підрозділу та інформування ризик-координатором про такі події;

повний і своєчасний збір та внесення інформації про події операційного ризику до внутрішньої бази подій операційного ризику;

сприяння підрозділу з управління ризиками у формуванні переліку та розрахунку значень ключових індикаторів ризику для моніторингу операційного ризику, забезпечення здійснення постійного моніторингу та звітування підрозділу з управління ризиками щодо динаміки їх значень у підрозділі;

участь як експерт у створенні сценаріїв для сценарного аналізу операційного ризику та забезпечення участі експертів підрозділу в проведенні сценарного аналізу;

участь у проведенні стрес-тестування операційного ризику;

забезпечення проведення підрозділом ідентифікації та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку;

проведення самооцінки операційних ризиків;

забезпечення складання підрозділом управлінської звітності щодо операційного ризику.

Структурні підрозділи банку відповідають за дотримання вимог політики, процедур та використання інструментів управління операційними ризиками під час здійснення своєї діяльності;

2) на другій лінії захисту підрозділ з управління ризиками виконує такі функції в частині управління операційним ризиком:

розроблення, упровадження та постійний розвиток системи управління операційним ризиком;

оцінка величини операційного ризику банку, уключаючи оцінку на основі інформації, що надається ризик-координаторами підрозділів першої лінії захисту;

консультування структурних підрозділів банку з питань управління операційним ризиком;

проведення навчання і забезпечення обізнаності працівників банку щодо управління операційними ризиками;

формування зведеної звітності про результати управління операційним ризиком у банку;

контроль за виконанням заходів щодо уникнення, передавання та пом'якшення операційного ризику;

участь у розробленні карт процесів;

супровід та підтримка бази внутрішніх подій операційного ризику, уключаючи збір, накопичення і аналіз даних щодо внутрішніх подій операційного ризику, верифікації подій, унесених до бази, дослідження значних подій;

розроблення разом з підрозділами першої лінії захисту переліку специфікацій ключових індикаторів операційного ризику, порядку їх розрахунку та визначення граничних значень;

контроль за дотриманням граничних значень ключових індикаторів операційного ризику та аналіз причин порушень;

планування і проведення сценарного аналізу;

координація або контроль за розробленням плану забезпечення безперервної діяльності залежно від обраної моделі управління процесом;

координація проведення та аналіз результатів самооцінки операційних ризиків;

надання експертного висновку, погодження результатів аналізу та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку, проведених підрозділами першої лінії захисту;

аналіз операційних ризиків, притаманних діяльності банку, що передається на аутсорсинг;

формування пропозицій щодо політики страхування ризиків банку;

3) на третій лінії захисту підрозділ внутрішнього аудиту здійснює оцінку ефективності системи управління операційним ризиком підрозділами першого та другого рівнів захисту, уключаючи оцінку ефективності системи внутрішнього контролю.

282. Правління банку має право створити комітет з управління операційним ризиком, що є складовою організаційної структури системи управління ризиками і забезпечує виконання визначених функцій та повноважень щодо управління операційним ризиком.

283. Банк створює ефективні механізми управління інформаційним ризиком, який є частиною системи управління операційним ризиком банку з урахуванням впливу на інші ризики, притаманні діяльності банку.

284. Банк забезпечує управління інформаційним ризиком, дотримуючись моделі трьох ліній захисту.

До першої лінії захисту належать усі структурні підрозділи банку, які під час здійснення своєї діяльності повинні забезпечувати дотримання вимог політики, процедур та використання інструментів управління інформаційним ризиком. Ризик-координатори, відповідальні за управління інформаційним ризиком, призначаються зі складу підрозділів першої лінії захисту, функції яких полягають в управлінні інформаційною безпекою або інформаційними технологіями.

До другої та третьої ліній захисту належать підрозділ з управління ризиками та підрозділ внутрішнього аудиту відповідно, які забезпечують виконання функцій, визначених цим Положенням щодо дотримання трьох ліній захисту під час управління операційним ризиком.

285. Банк розробляє та періодично переглядає політику, процедури, інструменти управління інформаційним ризиком не рідше одного разу на рік.

286. Політика управління інформаційним ризиком банку може бути складовою політики управління операційним ризиком або окремим документом та повинна обов'язково містити:

1) мету, завдання та принципи управління інформаційним ризиком;

2) цілі банку щодо інформаційного ризику;

3) уплив інформаційного ризику на досягнення цілей банку: стратегічних, операційних, цілей у сфері підготовки фінансової та статистичної звітності, дотримання законодавства України;

4) організаційну структуру процесу управління інформаційним ризиком з урахуванням розподілу функціонала учасників процесу відповідно до трьох ліній захисту, їх повноважень, відповідальності та порядку взаємодії;

5) порядок взаємодії між учасниками процесу управління інформаційним ризиком;

6) підходи банку до управління інформаційним ризиком.

287. Порядки та процедури управління інформаційним ризиком повинні обов'язково містити:

1) визначення та опис основних інструментів та індикаторів, що використовуються банком в управлінні інформаційним ризиком, та порядок їх використання;

2) методику оцінки інформаційного ризику;

3) правила визначення критеріїв значних подій інформаційного ризику, порядок їх класифікації (з урахуванням вимог цього Положення щодо класифікації подій операційного ризику), процедури їх оброблення, аналізу, дослідження, ескалації інформації та звітування керівництву банку;

4) порядок та процедури реагування на інформаційний ризик;

5) опис засобів контролю та порядок моніторингу інформаційного ризику;

6) порядок обміну інформацією між учасниками процесу управління інформаційним ризиком, уключаючи визначення видів, форм і строків подання управлінської звітності щодо інформаційного ризику.

288. Оцінка інформаційного ризику здійснюється банком за допомогою інструментів, визначених для оцінки операційного ризику із зазначеною для цих інструментів періодичністю, або за допомогою інших інструментів, визначених банком, не рідше одного разу на рік.

289. Банк створює та веде базу подій інформаційного ризику, здійснює аналіз накопиченої в ній інформації. Банк веде базу подій інформаційного ризику окремо від бази подій операційного ризику, але всі події інформаційного ризику, які підпадають під визначені банком критерії звітування, вносяться в базу подій операційного ризику з дотриманням установлених цим Положенням вимог.

290. Банк створює ефективні механізми управління модельним ризиком [ризиком невиконання або некоректного виконання задач моделями, які використовуються банком для оцінки (вимірювання) ризиків, оцінки фінансових інструментів, ціноутворення за продуктами], який є частиною системи управління операційним ризиком банку з урахуванням вимог цього Положення щодо використання моделей для оцінки (вимірювання) ризиків.

46. Виявлення та вимірювання операційного ризику

291. Банк з метою виявлення та вимірювання операційного ризику використовує такі інструменти:

1) аналіз результатів перевірок, здійснених підрозділом внутрішнього аудиту та зовнішнім аудитором;

2) створення та ведення бази внутрішніх подій операційного ризику та аналіз накопиченої в ній інформації.

Класифікація бізнес-ліній і подій, що призводять до втрат, визначені в додатках 7, 8 до цього Положення. Інформація щодо подій операційного ризику, що вноситься в базу внутрішніх подій операційного ризику, має, щонайменше, містити складові, наведені в додатках 7 - 9 до цього Положення.

Банк уносить операційні події в базу внутрішніх подій операційного ризику з урахуванням визначених банком критеріїв звітування;

3) ключові показники ризику (Key Risk Indicators - KRI).

KRI є кількісним показником, який динамічно змінюється в часі та відображає зміну характеру операційного ризику. KRI використовується банком для раннього виявлення негативних тенденцій/явищ, пов'язаних з підвищенням операційного ризику, що притаманні процесам.

Банк визначає перелік показників KRI, порядок їх розрахунку та граничні значення, які забезпечують своєчасне та найбільш повне виявлення факторів операційного ризику з метою застосування своєчасних заходів щодо управління ними.

Банк розраховує показники KRI з періодичністю не рідше ніж раз на три місяці. Приклади показників KRI наведені в додатку 10 до цього Положення;

4) самооцінка операційного ризику (Risk Self Assessments).

У рамках самооцінки операційного ризику уповноважені працівники банку не рідше ніж один раз на рік:

проводять аналіз бізнес-процесів банку з урахуванням інформації щодо можливих загроз і вразливостей та оцінюють можливі втрати від них;

оцінюють ризики бізнес-процесів банку (до впровадження або перегляду контролів), ефективність контрольного середовища (запроваджених контролів) та залишкові ризики (з урахуванням запроваджених або переглянутих контролів);

5) сценарний аналіз (Scenario Analysis).

Цей інструмент застосовується підрозділом з управління ризиками шляхом формування судження щодо визначення можливих подій операційного ризику та їх кількісної оцінки на підставі власної експертної думки, а також експертної думки представників підрозділів першої лінії захисту.

292. Банк, крім обов'язкових інструментів виявлення та вимірювання операційного ризику, має право використовувати такі додаткові інструменти:

1) створення та ведення бази зовнішніх подій операційного ризику та аналіз накопиченої в ній інформації (External Data Collection and Analysis).

Інформація щодо зовнішніх подій операційного ризику вноситься до бази підрозділом другого рівня захисту на підставі інформації з відкритих джерел, спеціалізованих баз даних або в рамках обміну інформацією між банками та має містити складові, аналогічні складовим бази внутрішніх подій операційного ризику;

2) вимірювання (Measurement).

Цей інструмент застосовується підрозділом з управління ризиками шляхом побудови математичної моделі оцінки можливих втрат від операційного ризику на підставі статистичних даних щодо подій операційного ризику;

3) аналіз карт процесів (Business Process Mapping).

Метою аналізу карт процесів є виявлення етапів процесів, видів діяльності та організаційних функцій, а також операційних ризиків, притаманних процесам. Під час аналізу карт процесів аналізуються властиві операційні ризики, їх взаємозв'язок з іншими ризиками, наявні контролі та їх недоліки.

Цей інструмент застосовується підрозділом з управління ризиками шляхом формування судження щодо визначення можливих подій операційного ризику та їх кількісної оцінки на підставі власної експертної думки, а також експертної думки представників підрозділів першої лінії захисту;

4) порівняльний аналіз (Comparative Analysis).

Цей інструмент застосовується підрозділом з управління ризиками шляхом порівняння результатів застосування різних інструментів з метою об'єктивної оцінки (вимірювання) операційного ризику банку.

293. Банк забезпечує своєчасне виявлення значних подій операційного ризику та невідкладне повідомлення про такі події підрозділу з управління ризиками. Підрозділ з управління ризиками не пізніше наступного робочого дня з дня отримання ним повідомлення доводить до ради банку та правління банку інформацію про значну подію операційного ризику.

294. Банк затверджує порядок дослідження значних подій операційного ризику, який обов'язково включає:

1) критерії віднесення подій операційного ризику до значних;

2) процедуру створення робочої групи та порядок проведення нею досліджень, уключаючи визначення переліку її учасників;

3) процедуру ескалації результатів дослідження та затвердження заходів щодо мінімізації наслідків події та запобігання подібним подіям у майбутньому.

295. Банк має право розподіляти можливі події операційного ризику за такими категоріями:

1) події з низьким рівнем втрат та низькою ймовірністю настання;

2) події зі значним рівнем втрат та низькою ймовірністю настання;

3) події з низьким рівнем втрат з високою ймовірністю настання;

4) події зі значним рівнем втрат та високою ймовірністю настання.

296. Банк залежно від визначеної категорії операційного ризику має право використовувати такі методи управління операційним ризиком:

1) прийняття ризику, що передбачає продовження діяльності без змін у разі можливості понесення незначних втрат з низькою ймовірністю настання;

2) передавання ризику, що передбачає страхування, переважно, ризиків з потенційно значними втратами з низькою імовірністю настання або ризиків, які перебувають під обмеженим контролем банку;

3) пом'якшення ризику, що передбачає коригування певних процесів та впровадження додаткових контролів у разі понесення в їх результаті незначних втрат з високою імовірністю настання;

4) уникнення ризику, що передбачає припинення здійснення діяльності та/або закриття позицій, що призводять до значних втрат з високою ймовірністю настання.

297. Підрозділ з управління ризиками повинен мати достатню кількість кваліфікованих працівників для адекватної оцінки цього виду ризику.

47. Аутсорсинг

298. Банк визначає у внутрішньобанківських документах вимоги щодо співпраці з аутсорсерами для обмеження величини операційного ризику, що виникає внаслідок передавання визначених банком функцій третім особам на умовах аутсорсингу.

299. Порядок співпраці з аутсорсерами повинен обов'язково містити:

1) процедуру визначення функцій, що можуть передаватися на аутсорсинг, за винятком функцій щодо управління ризиками, які банк не має права передавати на аутсорсинг;

2) порядок визначення критеріїв прийнятності аутсорсерів;

3) процес передавання функцій на аутсорсинг та розторгнення договорів з аутсорсерами, уключаючи забезпечення конфіденційності даних;

4) процедуру управління ризиками, що пов'язані з передаванням функцій на аутсорсинг, уключаючи оцінку фінансового стану аутсорсерів;

5) засади ефективного контролю банком функцій, що передані в аутсорсинг;

6) порядок дій банку та аутсорсера в разі настання надзвичайних обставин;

7) вимоги до типового договору аутсорсингу з чітко викладеними умовами щодо управління ризиками;

8) порядок перевірки банком відповідності діяльності аутсорсера усім вимогам, установленим у пункті 299 глави 47 розділу VI цього Положення.

48. Безперервність діяльності

300. Банк розробляє методологію управління безперервною діяльністю, яка включає:

1) політику управління безперервною діяльністю;

2) процедуру аналізу впливу негативних факторів на процеси банку;

3) план забезпечення безперервної діяльності.

301. Політика управління безперервною діяльністю повинна обов'язково містити:

1) ключові цілі банку щодо забезпечення безперервної діяльності;

2) принципи та підходи банку щодо здійснення аналізу впливу негативних факторів на процеси банку;

3) принципи та підходи банку щодо розроблення та приведення в дію плану забезпечення безперервної діяльності;

4) принципи та підходи банку щодо моніторингу ефективності та вдосконалення плану забезпечення безперервної діяльності.

302. Процедура аналізу впливу негативних факторів на процеси банку включає визначення рівнів критичності процесів, інформаційних систем, інформаційних даних, інших ресурсів (працівники, приміщення, техніка) з урахуванням:

1) цільового часу на відновлення процесів та систем, що обслуговують цей процес, після збою/переривання діяльності (recovery time objective);

2) максимально допустимого проміжку часу, за який можлива втрата критичних даних банку в разі збою/відмови інформаційних систем (recovery point objective).

Цей аналіз повинен охоплювати всі процеси та підрозділи банку з урахуванням їх взаємозалежності.

Банк забезпечує послідовний та комплексний аналіз вразливості процесів та інформаційних систем банку до різних типів імовірних сценаріїв переривання діяльності. Банк здійснює кількісну та якісну оцінку ймовірного фінансового, операційного та репутаційного впливу сценаріїв на діяльність банку, використовуючи внутрішні та зовнішні дані.

Банк використовує результати аналізу впливу негативних факторів на процеси банку для встановлення цілей і пріоритетів під час розроблення плану забезпечення безперервної діяльності. Залишкові ризики переривання діяльності (після оцінки банком впливу застосування заходів, передбачених планом забезпечення безперервної діяльності) повинні перебувати в межах затвердженого банком ризик-апетиту.

303. Банк розробляє план забезпечення безперервної діяльності, який уключає:

1) стратегічні цілі та пріоритети банку щодо забезпечення безперервної діяльності в розрізі процесів банку;

2) процедури та заходи реагування на інциденти порушення безперервності діяльності;

3) заходи у разі порушення безперервної діяльності щодо внутрішніх комунікацій, а також зовнішніх комунікацій банку з клієнтами, контрагентами банку, Національним банком, іншими регуляторними, контролюючими органами та органами державної влади;

4) заходи відновлення діяльності для критичних процесів банку;

5) заходи відновлення інформаційних систем після збоїв.

304. Банк не рідше одного разу на рік здійснює аналіз впливу негативних факторів на процеси банку, оцінку ризиків та переглядає план забезпечення безперервної діяльності для того, щоб пересвідчитися, що він відповідає поточному профілю діяльності банку, ураховує наявні ризики та загрози, а також охоплює всі види діяльності, процеси та інформаційні системи щодо управління ризиками.

305. Банк не рідше одного разу на два роки проводить навчання працівників щодо організації та впровадження плану забезпечення безперервної діяльності.

306. Банк не рідше одного разу на рік проводить поетапне тестування плану забезпечення безперервної діяльності з метою забезпечення належної впевненості та контролю за реалізацією заходів, передбачених у плані, забезпечить досягнення мети безперервної діяльності банку. За потреби банк долучає до участі в тестуванні відновлення та забезпечення безперервної діяльності ключових постачальників послуг.

307. Банк документує всі суттєві відхилення та помилки, виявлені за результатами тестування плану забезпечення безперервної діяльності, та забезпечує розроблення, затвердження та впровадження коригуючих заходів.

308. Банк забезпечує захищене зберігання всієї необхідної документації щодо плану забезпечення безперервної діяльності. Банк забезпечує безперешкодний доступ до цієї документації працівникам банку, відповідальним за його виконання, у разі настання надзвичайних ситуацій.

49. Стрес-тестування операційного ризику

309. Банк здійснює на регулярній основі стрес-тестування операційного ризику для різних короткострокових і довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливих втрат внаслідок реалізації операційного ризику та оцінки відповідності результатів здійснення стрес-тестування встановленому рівню ризик-апетиту до операційного ризику.

Результатом здійснення стрес-тестування операційного ризику має бути величина можливих втрат.

310. Банк під час здійснення стрес-тестування використовує, щонайменше, один з таких методів:

1) сценарний аналіз;

2) математичне моделювання.

311. Банк проводить сценарний аналіз, базуючись на судженнях працівників підрозділів першої лінії захисту та працівників підрозділу з управління ризиками щодо:

1) імовірного збільшення частоти (кількості) подій та/або обсягу операційних збитків порівняно зі статистикою, що міститься в базі внутрішніх подій операційного ризику;

2) виникнення нових подій операційного ризику внаслідок впровадження нових або внесення значних змін у діючі процеси;

3) виникнення подій операційного ризику зі значним рівнем втрат та низькою імовірністю настання.

312. Банк здійснює стрес-тестування операційного ризику з використанням математичних моделей у разі наявності статистики, достатньої для їх побудови.

50. Звітування щодо операційного ризику

313. Підрозділ з управління ризиками подає звіти щодо оцінки операційного ризику раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку, комітету з управління операційним ризиком (у разі його наявності) - не рідше одного разу на місяць.

314. Підрозділ з управління ризиками не пізніше наступного робочого дня після виявлення ризику інформує раду банку, комітет з управління ризиками, правління банку, комітет з управління операційним ризиком (у разі його наявності) про значне підвищення операційних ризиків з метою прийняття своєчасних та адекватних управлінських рішень.

315. Банк розробляє управлінську звітність щодо операційного ризику, яка повинна обов'язково включати звіти щодо:

1) узагальнених даних подій операційного ризику, накопичених у базі внутрішніх подій операційного ризику, аналіз їх динаміки у порівнянні з попередніми періодами;

2) значних подій операційного ризику, результатів дослідження їх причин та заходів щодо запобігання таким подіям у майбутньому;

3) значних зовнішніх подій операційного ризику та їх потенційних наслідків для банку;

4) переліку та значень показників KRI, їх динаміки порівняно з попередніми періодами та відповідно до встановлених граничних значень;

5) результатів самооцінки операційного ризику та результатів застосування інших інструментів оцінки операційного ризику, якщо вони використовуються банком;

6) результатів здійснення стрес-тестування операційного ризику.

VII. Управління комплаєнс-ризиком

51. Загальні підходи до управління комплаєнс-ризиком

316. Банк створює ефективну систему управління комплаєнс-ризиком, що має бути повністю інтегрована в загальну систему управління ризиками банку.

317. Банк, що веде діяльність в різних країнах, створює систему управління комплаєнс-ризиком, що забезпечує дотримання законодавства в кожній з них.

52. Політика та процедури управління комплаєнс-ризиком

318. Банк розробляє та періодично (не рідше одного разу на рік) переглядає політику, порядок та процедури управління комплаєнс-ризиком.

319. Політика управління комплаєнс-ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління комплаєнс-ризиком;

2) організаційну структуру процесу управління комплаєнс-ризиком з урахуванням розподілу функціонала учасників процесу, їх повноваження, відповідальність та порядок взаємодії;

3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику;

4) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо комплаєнс-ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

320. Порядок та процедури управління комплаєнс-ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику, уключаючи інструменти/індикатори, що використовуються;

2) процедури та процеси забезпечення відповідності діяльності банку вимогам законодавства, уключаючи законодавство у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення та внутрішньобанківських документів під час діяльності банку;

3) процедуру забезпечення контролю за достовірністю фінансової та статистичної звітності;

4) процедуру навчання працівників банку з метою забезпечення їх обізнаності з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс) законодавства України та внутрішньобанківських документів;

5) чітке розмежування функцій управління комплаєнс-ризиком та операційним ризиком із метою уникнення їх дублювання та механізм співпраці між працівниками, які виконують функції управління цими ризиками;

6) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, уключаючи види, форми і терміни подання інформації.

321. Банк забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом'якшення.

322. Банк із метою виявлення та вимірювання комплаєнс-ризику використовує інформацію:

1) від працівників банку в рамках механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку;

2) із бази внутрішніх подій операційного ризику;

3) зі скарг клієнтів;

4) із особистого звернення працівників банку чи третіх осіб до підрозділу з контролю за дотриманням норм (комплаєнс);

5) зі звітів підрозділу внутрішнього аудиту та перевірок зовнішніх аудиторів;

6) від регуляторних та контролюючих органів (результати інспекційних перевірок Національним банком, накладені штрафи, встановлені порушення законодавства України);

7) інших джерел інформації, отриманих працівниками підрозділу контролю за дотриманням норм (комплаєнс) під час своєї діяльності.

53. Звітування щодо комплаєнс-ризику

323. Підрозділ контролю за дотриманням норм (комплаєнс) подає звіти щодо оцінки комплаєнс-ризику раді банку, комітету з управління ризиками та правлінню банку не рідше одного разу на квартал.

324. Банк розробляє управлінську звітність щодо комплаєнс-ризику, яка повинна обов'язково включати звіти щодо:

1) продуктів, видів діяльності, процесів, що піддають банк значному комплаєнс-ризику та впливають на банк у разі його реалізації, а також пропозицій щодо уникнення чи пом'якшення цього ризику;

2) випадків порушень вимог законодавства України [податкового законодавства, законодавства про захист прав споживачів, трудового, антимонопольного законодавства, законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, інших законів, нормативно-правових актів Національного банку] та внутрішньобанківських документів під час діяльності банку, а також застосованих санкцій до банку або інших негативних наслідків у результаті таких порушень;

3) випадків порушень працівниками банку кодексу поведінки (етики), результатів дослідження їх причин та заходів щодо запобігання таким подіям надалі;

4) випадків формування недостовірної звітності для регуляторних і контролюючих органів, а також застосованих до банку санкцій;

5) значних змін у законодавстві та їх потенційних наслідків для банку;

6) зовнішньої інформації щодо комплаєнс-ризику (штрафи, накладені на інші банки, події, що призвели до погіршення репутації інших банків) та їх потенційних наслідків для банку;

7) випадків конфлікту інтересів;

8) проведених навчань працівників банку з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс).

Директор Департаменту
методології


Н.В. Іваненко

ПОГОДЖЕНО:

Заступник Голови Національного
банку України




К.В. Рожкова



Додаток 1
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 12 глави 2 розділу I)

КАРТА
ризиків торгової та банківської книг

№ з/п

Види ризиків

Торгова книга

Банківська книга

1

2

3

4

1

1. Кредитний ризик

2

Ризик країни

Ні*

Так

3

Трансфертний ризик

Ні*

Так

4

Ризик контрагента

Ні*

Так

5

Ризик інвестицій у дочірні компанії

Ні

Так

6

2. Ризик ліквідності

Так

Так

7

3. Процентний ризик банківської книги

8

Ризик розривів

Ні

Так

9

Базисний ризик

Ні

Так

10

Ризик опціонності

Ні

Так

11

4. Ринковий ризик

12

Процентний ризик торгової книги

Так

Ні

13

Ризик кредитного спреду

Так

Ні

14

Фондовий ризик

Так

Ні

15

Валютний ризик

Так

Так

16

Товарний ризик

Так

Так

17

Ризик волатильності

Так

Так

18

Ризик дефолту

Так

Ні

__________
* Оцінюється як складова ризику дефолту.



Додаток 2
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 29 глави 4 розділу I)

ПЕРЕЛІК
внутрішньобанківських документів з питань управління ризиками

№ з/п

Назва документа

Рада банку

Комітет з управління ризиками

Правління банку

Підрозділ з управління ризиками

Підрозділ контролю за дотриманням норм (комплаєнс)

1

2

3

4

5

6

7

1

Організаційна структура системи управління ризиками

Затверджує

Розробляє

Бере участь у розробленні

Бере участь у розробленні

Бере участь у розробленні

2

Декларація схильності до ризиків

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Розробляє

Бере участь у розробленні

3

Стратегія управління ризиками

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Розробляє

Бере участь у розробленні

4

Фінансове забезпечення (бюджет) підрозділів із управління ризиками та контролю за дотриманням норм (комплаєнс)

Затверджує

Розробляє

Бере участь у розробленні

Бере участь у розробленні

5

Кредитна політика

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

6

Політики управління ризиками

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Розробляє

Бере участь у розробленні

7

Політика запровадження нових продуктів та значних змін у діяльності банку

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

8

Процедури запровадження нових продуктів та значних змін в діяльності банку

Забезпечує розроблення та затверджує

Бере участь у розробленні

Бере участь у розробленні

9

Процедура ескалації порушень лімітів ризиків

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

10

Порядок, форми, наповнення та періодичність надання звітів суб'єктам системи управління ризиками

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

11

Методика виявлення суттєвих ризиків

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

12

Стратегія НПА та оперативний план

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

13

Порядки та процедури управління ризиками

Забезпечує розроблення та затверджує

Бере участь у розробленні

Бере участь у розробленні

14

Процедура виявлення та управління НПА

Забезпечує розроблення та затверджує

Бере участь у розробленні

Бере участь у розробленні

15

Припущення, інструменти та моделі, що використовуються для вимірювання ризику

Забезпечує розроблення та затверджує

Бере участь у розробленні

Бере участь у розробленні

16

План відновлення діяльності (Recovery Plan)

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

17

План забезпечення безперервної діяльності (ВСР - Business Continuity Plan)

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

18

План фінансування в кризових ситуаціях (CFP-Contingency Funding Plan)

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

19

Програма фінансування

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

20

Порядок здійснення операцій із пов'язаними з банком особами

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

21

Кодекс поведінки (етики)

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

22

Політика запобігання конфліктам інтересів, уключаючи процедуру забезпечення дотримання норм щодо упровадження такої політики

Затверджує

Бере участь у розробленні

Забезпечує розроблення

Бере участь у розробленні

23

Механізм конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку (whistleblowi ng policy mechanism)

Затверджує

Забезпечує розроблення

Бере участь у розробленні

Бере участь у розробленні

24

Порядок дослідження порушень у діяльності банку

Бере участь у розробленні

Забезпечує розроблення та затверджує

Бере участь у розробленні

25

Програма проведення стрес-тестування

Забезпечує розроблення та затверджує

Бере участь у розробленні

26

Програма навчання та підвищення кваліфікації працівників банку з питань управління ризиками

Забезпечує розроблення та затверджує

Бере участь у розробленні

Бере участь у розробленні


Додаток 3
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 200 глави 26 розділу III)

ЧАСОВІ ІНТЕРВАЛИ,
за якими банк здійснює GAP-аналіз ризику ліквідності та процентного ризику банківської книги

1. Часовими інтервалами, за якими банк здійснює GAP-аналіз ризику ліквідності та процентного ризику банківської книги, є:

1) на вимогу;

2) овернайт;

3) від 2 до 7 днів;

4) від 8 до 14 днів;

5) від 15 до 21 дня;

6) від 21 до 31 дня;

7) від 32 до 62 днів;

8) від 63 до 92 днів;

9) від 93 до 183 днів;

10) від 184 до 274 днів;

11) від 275 до 365 (366) днів;

12) від 366 (367) до 730 (731) днів (дня);

13) від 2 до 3 років;

14) від 3 до 5 років;

15) більше 5 років;

16) не визначений.



Додаток 4
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 216 глави 31 розділу III)

ІНДИКАТОРИ
раннього виявлення кризи ліквідності

1. Індикаторами раннього виявлення кризи ліквідності, які банк застосовує у своїх процедурах можуть бути:

1) для специфічної кризи:

порушення або ризик порушення вимог нормативно-правових актів Національного банку щодо нормативів ліквідності;

порушення або ризик порушення внутрішніх лімітів ліквідності;

значне зростання концентрації активів та/або зобов'язань;

значне зменшення обсягу клієнтських коштів або зростання волатильності джерел фінансування;

стрімке зростання активів за рахунок потенційно волатильних зобов'язань;

зменшення середньозваженого строку зобов'язань;

збільшення середньозваженого строку активів;

значне зростання обсягу НПА;

поширення в засобах масової інформації негативної інформації щодо банку, що може призвести до відпливу клієнтських коштів або погіршення платіжної дисципліни боржників;

зниження зовнішнього кредитного рейтингу банку;

виникнення перешкод для оперативного залучення коштів у разі дефіциту ліквідності [закриття або значне зниження значень лімітів на банк як внутрішньо групових, так і від інших учасників ринку - банків, небанківських фінансових установ та значних клієнтів - юридичних осіб (крім банків); необхідність надання додаткової застави за договорами з залучення коштів];

2) для загально ринкової кризи:

значне падіння обсягу ліквідності банківської системи;

значне зростання вартості ресурсів, що залучатимуться від банків/клієнтів (індекси UIIR, UIRD);

падіння загального обсягу коштів клієнтів у банківській системі;

військові конфлікти, техногенні та природні катастрофи регіонального та національного масштабу, масові заворушення, що можуть призвести до паніки клієнтів та зниження обсягу їх коштів у банківській системі або погіршення платіжної дисципліни боржників.



Додаток 5
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 246 глави 36 розділу IV)

ЕТАПИ
проведення GAP-аналізу як інструменту вимірювання величини процентного ризику банківської книги

1. Обов'язковими етапами проведення GAP-аналізу як інструменту вимірювання величини процентного ризику банківської книги є:

1) розподіл усіх чутливих до процентного ризику банківської книги активів, зобов'язань та позабалансових позицій банку за визначеними наперед часовими інтервалами згідно з додатком 3 до Положення про організацію системи управління ризиками в банках України та банківських групах:

за датою погашення - для інструментів із фіксованою процентною ставкою;

за датою наступної зміни величини індексу - для інструментів із плаваючою процентною ставкою;

за затвердженими припущеннями - для інструментів, що не мають контрактних строків (поточні рахунки, карткові рахунки);

із урахуванням впливу вбудованих опціонів - для інструментів, що мають вбудовані опціони;

2) визначення обсягу невідповідності між активами та зобов'язаннями банку, чутливими до процентного ризику банківської книги, в кожному часовому інтервалі за результатами розподілу;

3) обчислення добутку обсягу невідповідності та величини зміни процентних ставок за кожним часовим інтервалом в межах наступних 12 місяців;

4) приведення до річного виміру шляхом обчислення добутку кожної суми, отриманої на попередньому етапі, та різниці між повним роком і середнім строком у роках за кожним часовим інтервалом та додання обчислених добутків. Середній строк у роках за кожним часовим інтервалом визначається як відношення різниці між максимальною і мінімальною кількістю днів у відповідному часовому інтервалі до 365 (366) днів. Для часових інтервалів "на вимогу" та "овернайт" середній строк - один рік.

2. Результатом GAP-аналізу є кількісна оцінка можливої зміни чистого процентного доходу банку протягом наступних 12 місяців в результаті зміни процентних ставок відповідно до обраного сценарію.



Додаток 6
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 246 глави 36 розділу IV)

ЕТАПИ
застосування методу модифікованої дюрації як інструменту вимірювання величини процентного ризику банківської книги

1. Обов'язковими етапами застосування методу модифікованої дюрації як інструменту вимірювання величини процентного ризику банківської книги є:

1) розподіл усіх чутливих до процентного ризику банківської книги активів, зобов'язань та позабалансових позицій банку за визначеними наперед часовими інтервалами згідно з додатком 3 до Положення про організацію системи управління ризиками в банках України та банківських групах;

2) розрахунок модифікованої дюраціі для кожного часового інтервалу (за активами у разі позитивного значення невідповідності та пасивами в разі негативного значення невідповідності);

3) визначення модифікованої дюрації капіталу, що здійснюється шляхом розрахунку середньозваженої дюрації за всіма часовими інтервалами (дюрація за активами враховується зі знаком "+", за пасивами - зі знаком "-"). Абсолютна величина зміни капіталу банку (PV01) розраховується шляхом множення модифікованої дюрації капіталу на його величину та діленням результату на 10000. Для розрахунку можливої зміни економічної вартості капіталу при зміні процентних ставок повинні бути використані показники модифікованої дюрації, величина зміни процентних ставок та показник опуклості, що підвищує точність розрахунку для змін процентних ставок, що перевищують 100 базисних пункти.

2. Результатом використання методу модифікованої дюрації є кількісна оцінка можливої зміни економічної вартості капіталу в результаті зміни процентних ставок у відповідності до обраного сценарію.



Додаток 7
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 291 глави 46 розділу VI)

КЛАСИФІКАЦІЯ
бізнес-ліній

№ з/п

Рівень 1

Рівень 2

Рівень 3 (групування за видами діяльності)

1

2

3

4

1

Корпоративне фінансування

Корпоративне фінансування;
фінансування органів державної влади та місцевого самоврядування;
торгові операції;
консультаційні послуги

Злиття та поглинання, андерайтинг, сек'юритизація, дослідження, розміщення державних цінних паперів та інших цінних паперів, участь у капіталі підприємств, консорціумне кредитування, публічне та приватне розміщення цінних паперів на первинному ринку та вторинному ринку

2

Торгівля та продаж

Продаж;
маркет-мейкінг;
торгові операції банку для власних потреб;
казначейські операції

Цінні папери з фіксованим прибутком, іноземна валюта, акції та інші цінні папери з нефіксованим прибутком, міжбанківське кредитування, операції репо, боргові зобов'язання банку, брокерські послуги, власні позиції щодо цінних паперів, залучення фінансування (фондування)

3

Роздрібний бізнес

Роздрібний бізнес;
обслуговування VIP-клієнтів - фізичних осіб;
операції з використанням електронних платіжних засобів

Роздрібне кредитування, залучення депозитів, інші банківські послуги, операції з довірчого управління активами;
кредитування, залучення депозитів, інші банківські послуги, операції з довірчого управління активами, консультування у сфері інвестицій;
розрахункові та інші операції із використанням електронних платіжних засобів

4

Корпоративний бізнес

Корпоративний бізнес

Кредитування, проектне фінансування, операції з нерухомістю, експортне фінансування, торгове фінансування, факторинг, лізинг, вексельні операції, гарантійні операції, залучення депозитів

5

Платежі та розрахунки*

Зовнішні клієнти

Виконання та отримання переказів, кліринг та платежі

6

Агентські послуги

Послуги зберігача;
агентські послуги корпоративному бізнесу;
агентські послуги корпоративному бізнесу з довірчого управління

Рахунки для депонування коштів, цінних паперів;
депозитарні розписки;
кредитування цінними паперами;
агентські послуги на здійснення платежів за цінними паперами

7

Управління активами

Управління інститутами спільного інвестування на власний розсуд;
управління інститутами спільного інвестування за рішенням клієнтів

Корпоративні інвестиційні фонди, венчурні фонди, пайові інвестиційні фонди

8

Брокерські послуги роздрібним клієнтам

Брокерські послуги роздрібним клієнтам

Проведення операцій з цінними паперами роздрібних клієнтів за їх дорученням

9

Операції банку для власних потреб

Операції банку для власних потреб

Операції, що виконуються з метою забезпечення діяльності банку (здійснення господарських операцій, бухгалтерського обліку, складання фінансової звітності)

__________
* До бізнес-лінії належать послуги банку із забезпечення проведення платежів та взаєморозрахунків для інших контрагентів-юридичних осіб. Збитки від платіжних (розрахункових) операцій, пов'язані із власною діяльністю банку, мають бути віднесені до інших відповідних бізнес-ліній.



Додаток 8
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 291 глави 46 розділу VI)

КЛАСИФІКАЦІЯ
подій, що призводять до втрат

№ з/п

Тип події 1-го рівня

Визначення

Тип події 2-го рівня

Приклади

1

2

3

4

5

1

Внутрішнє шахрайство

Втрати внаслідок шахрайських дій, незаконного привласнення майна або навмисного порушення норм законодавства України або внутрішньо-банківських документів, здійснених працівниками банку

Несанкціонована діяльність

Операції, що не відображені у звітності (навмисно);
недозволені операції, що призвели до втрат;
неналежна переоцінка позицій (навмисна)

2

Шахрайство та викрадення

Шахрайство під час надання кредитів, оформлення депозитів без внесення коштів на рахунок;
крадіжка, вимагання, грабіж;
привласнення активів;
умисне знищення активів;
заволодіння коштами за підробленими документами, чеками;
контрабанда;
привласнення чужих рахунків/неправомірне використання рахунків;
навмисне порушення податкового законодавства;
хабарі/підкуп;
використання інсайдерської інформації для власного збагачення не за рахунок банку

3

Зовнішнє шахрайство

Втрати внаслідок шахрайських дій, незаконного привласнення майна або навмисного порушення норм законодавства України або внутрішньо-банківських документів, здійснених іншими особами

Шахрайство та викрадення

Крадіжка, грабіж;
шахрайство, підробка;
погрози на адресу працівників банку, вимагання;
підробка документів, чеків для заволодіння коштами;
заволодіння коштами за підробленими документами, чеками;
неправдиве повідомлення про замінування приміщень банку

4

Порушення безпеки інформаційних систем

Вторгнення та атаки на інформаційні системи банку;
поширення шкідливого програмного забезпечення;
крадіжка інформації з банку, що призвело до втрат

5

Управління персоналом та охорона праці

Втрати внаслідок дій, що не відповідають законодавству в сфері охорони праці (виплати персоналу у зв'язку з виробничими травмами, втратою здоров'я та фактами дискримінаційних обмежень)

Неналежні трудові відносини з персоналом

Порушення трудового законодавства (тривалість робочого дня, суперечки з приводу заробітної плати, компенсації у разі звільнення, інші трудові спори);
спори з профспілками

6

Неналежна безпека робочого середовища

Випадки травмування осіб, які не є працівниками банку, через неналежні умови в приміщеннях банку або дії працівників банку;
виробничі травми працівників банку, порушення вимог законодавства з питань охорони праці

7

Дискримінація

Усі види дискримінації

8

Клієнти, продукти та норми ділової практики

Втрати внаслідок неумисного або недбалого ставлення до професійних обов'язків перед клієнтами (уключаючи неналежну якість рекомендацій) або в результаті недосконалості продуктів банку

Неналежне надання рекомендацій клієнтам, порушення вимог до розкриття інформації, порушення фідуціарних обов'язків

Порушення фідуціарних обов'язків/порушення інструкцій, отриманих від клієнтів;
надання неналежних рекомендацій щодо операцій із цінними паперами та іншими фінансовими інструментами/порушення щодо розкриття інформації;
надання неповної інформації або ненадання інформації споживачам фінансових послуг;
порушення вимог щодо нерозголошення даних про клієнтів;
практика нав'язування продуктів і послуг клієнтам банку;
неправомірне стягування комісій;
неналежне використання конфіденційної інформації

9

Неналежні норми ведення діяльності

Порушення антимонопольного законодавства;
неналежні норми проведення торгових операцій; маніпулювання ринком;
операції з використанням інсайдерської інформації;
здійснення операцій, якщо немає ліцензії;
легалізація (відмивання) доходів, одержаних злочинним шляхом

10

Недоліки продуктів

Недоліки продуктів;
помилки в моделях, що використовуються для ціноутворення за продуктами

11

Встановлення відносин із клієнтом, спонсорство, ризики

Невиконання вимог щодо ідентифікації та перевірки клієнта;
перевищення значень лімітів ризику на одного клієнта

12

Консультаційні послуги

Претензійні вимоги клієнтів щодо отриманих консультаційних послуг

13

Пошкодження або знищення активів

Втрати внаслідок пошкодження або знищення активів через природну катастрофу або інші події

Стихійні лиха, техногенні катастрофи, результати військових конфліктів, терористичні акти

Природні стихійні лиха;
надзвичайні ситуації, викликані діяльністю людини (техногенні катастрофи, результати військових конфліктів, терористичні акти, вандалізм)

14

Унеможливлення діяльності та функціонування систем

Втрати внаслідок збоїв, порушень у роботі систем підтримки діяльності

Збої, порушення роботи систем

Збої в роботі програмного, апаратного забезпечення, технічних засобів, телекомунікаційних систем та інших систем інженерної інфраструктури;
неузгодження, помилкове трактування сторонами умов виконання операцій

15

Виконання переказів, надання платіжних доручень у здійсненні переказів та управління процесами

Втрати внаслідок розладу, збоїв під час оброблення транзакцій банком або неналежного виконання контрагентами та постачальниками банку своїх зобов'язань

Збої в підготовці та виконанні операцій

Помилки під час уведення та зберігання даних; порушення строків виконання або невиконання операцій;
неналежне застосування моделей/систем;
бухгалтерські помилки/помилки щодо віднесення контрагента до певної групи;
неналежне виконання інших завдань;
проблеми з відправленням платіжних документів;
помилки в роботі із заставою;
проблеми щодо підтримки в належному стані довідкових даних в інформаційних системах банку

16

Неналежний моніторинг та звітування

Невиконання зобов'язань щодо подання регуляторної звітності до Національного банку та інших регуляторних органів;
помилки у зовнішній звітності до Національного банку та інших регуляторних органів, що призвели до втрат

17

Помилки в залученні клієнтів та створенні належної документації

Немає дозволів та погоджень від клієнтів щодо обробки персональних даних;
немає або неповна документація щодо клієнтів

18

Неналежне управління рахунками клієнтів

Неавторизований доступ до рахунків;
неналежна документація щодо клієнтів, що призвела до втрат;
втрати або пошкодження активів клієнтів через неналежні дії банку

19

Проблеми з торговими партнерами

Неналежні дії контрагентів, що не є клієнтами банку;
конфлікти з контрагентами, що не є клієнтами банку

20

Проблеми з постачальниками (включаючи аутсорсинг)

Конфлікти з аутсорсинговими компаніями;
конфлікти з постачальниками технічних та технологічних послуг


Додаток 9
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 291 глави 46 розділу VI)

ДАНІ
щодо інформації про події операційного ризику

1. Інформація щодо подій операційного ризику, яку банк уносить до бази внутрішніх подій операційного ризику, містить:

1) дату виникнення події;

2) дату виявлення події;

3) дату реєстрації події;

4) дату обліку ефекту від події (не пізніше ніж перша дата обліку збитку від події на рахунках витрат);

5) підрозділ, у якому сталася подія;

6) підрозділ, який виявив подію;

7) підрозділ, який відповідальний за дослідження події;

8) бізнес-лінію, у якій сталася подія, щонайменше 1-го рівня, згідно з класифікацією, наведеною в додатку 7 до Положення про організацію системи управління ризиками в банках України та банківських групах;

9) тип події, щонайменше 2-го рівня, згідно з класифікацією, наведеною у додатку 8 до Положення про організацію системи управління ризиками в банках України та банківських групах;

10) опис події;

11) причину події (за внутрішньобанківською типологією причин/класифікатором факторів ризику);

12) суму економічного ефекту події в гривневому еквіваленті;

13) вид економічного ефекту події, що обов'язково включає:

збитки (витрати), уключаючи прямі витрати та резерви, створені під потенційні операційні збитки, з них окремо - нереалізовані збитки (тимчасово обліковані на транзитних рахунках, рахунках дебіторської заборгованості);

компенсації (відшкодування) збитків та окремо від страхування та інших компенсацій (відшкодування) збитків або коригування суми резервів;

потенційні збитки (не відображені на балансових рахунках);

14) вид крос-операційного ризику, з яким пов'язана подія, окремо - кредитний ризик і ринковий ризик;

15) ідентифікатор (параметр) групи пов'язаних подій;

16) статус події (відкрита, закрита).



Додаток 10
до Положення про організацію
системи управління ризиками
в банках України та банківських групах
(пункт 291 глави 46 розділу VI)

ПРИКЛАДИ
показників KRI

1. Показники KRI:

1) плинність персоналу банку;

2) обсяг сплачених штрафів у відсотках до операційного доходу;

3) відсоток виданих кредитів з ознаками внутрішнього та зовнішнього шахрайства щодо загальної кількості виданих кредитів;

4) тривалість обмеженого функціонування працездатності систем банку через технічний або технологічний збій, знеструмлення у відсотках щодо загального часу їх роботи;

5) відсоток платіжних документів, що були відхилені під час кожного з видів контролю, до загальної кількості опрацьованих документів;

6) відсоток договорів, що укладені з порушенням установлених лімітів щодо загальної кількості договорів;

7) відсоток скомпрометованих платіжних карт щодо загальної кількості емітованих карт;

8) кількість випадків спрацювання систем сигналізації на об'єктах банку.



вгору