Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

2) виникнення нових подій операційного ризику внаслідок впровадження нових або внесення значних змін у діючі процеси;

3) виникнення подій операційного ризику зі значним рівнем втрат та низькою імовірністю настання.

312. Банк здійснює стрес-тестування операційного ризику з використанням математичних моделей у разі наявності статистики, достатньої для їх побудови.

313. Головний ризик-менеджер подає звіти щодо операційного ризику раді банку, комітету з управління ризиками, комітету з управління операційним ризиком (у разі його створення) та правлінню банку не рідше одного разу на квартал.

314. Головний ризик-менеджер/підрозділ з управління ризиками не пізніше наступного робочого дня після виявлення ризику інформує раду банку, комітет з управління ризиками, правління банку, комітет з управління операційним ризиком (у разі його наявності) про значне підвищення операційних ризиків з метою прийняття своєчасних та адекватних управлінських рішень.

315. Банк розробляє управлінську звітність щодо операційного ризику, яка повинна обов'язково включати звіти щодо:

1) узагальнених даних подій операційного ризику, накопичених у базі внутрішніх подій операційного ризику, аналіз їх динаміки у порівнянні з попередніми періодами;

2) значних подій операційного ризику, результатів дослідження їх причин та заходів щодо запобігання таким подіям у майбутньому;

3) значних зовнішніх подій операційного ризику та їх потенційних наслідків для банку;

4) переліку та значень показників KRI, їх динаміки порівняно з попередніми періодами та відповідно до встановлених граничних значень;

5) результатів самооцінки операційного ризику та результатів застосування інших інструментів оцінки операційного ризику, якщо вони використовуються банком;

6) результатів здійснення стрес-тестування операційного ризику.

316. Банк створює ефективну систему управління комплаєнс-ризиком, що має бути повністю інтегрована в загальну систему управління ризиками банку.

317. Банк, що веде діяльність в різних країнах, створює систему управління комплаєнс-ризиком, що забезпечує дотримання законодавства в кожній з них.

Банк у разі наявності суперечностей між законодавством різних країн уживає заходів для пом'якшення комплаєнс-ризику.

318. Банк розробляє та періодично (не рідше одного разу на рік) переглядає політику, порядок та процедури управління комплаєнс-ризиком.

319. Політика управління комплаєнс-ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління комплаєнс-ризиком;

2) організаційну структуру процесу управління комплаєнс-ризиком з урахуванням розподілу функціонала учасників процесу, їх повноваження, відповідальність та порядок взаємодії;

3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику;

4) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо комплаєнс-ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

320. Порядок та процедури управління комплаєнс-ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику, уключаючи інструменти/індикатори, що використовуються;

2) процедури та процеси забезпечення відповідності діяльності банку вимогам законодавства, уключаючи законодавство у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення та внутрішньобанківських документів під час діяльності банку;

3) процедуру забезпечення контролю за достовірністю фінансової та статистичної звітності;

4) процедуру навчання працівників банку з метою забезпечення їх обізнаності з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс) законодавства України та внутрішньобанківських документів;

5) чітке розмежування функцій управління комплаєнс-ризиком та операційним ризиком із метою уникнення їх дублювання та механізм співпраці між працівниками, які виконують функції управління цими ризиками;

6) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, уключаючи види, форми і терміни подання інформації;

7) правила взаємодії банку з Національним банком, іншими регуляторними та контролюючими органами з питань дотримання вимог законодавства.

321. Банк забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом'якшення.

322. Банк із метою виявлення та вимірювання комплаєнс-ризику використовує інформацію:

1) від працівників банку в рамках механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку;

2) із бази внутрішніх подій операційного ризику;

3) зі скарг клієнтів;

4) із особистого звернення працівників банку чи третіх осіб до підрозділу з контролю за дотриманням норм (комплаєнс);

5) зі звітів підрозділу внутрішнього аудиту та перевірок зовнішніх аудиторів;

6) від регуляторних та контролюючих органів (результати перевірок Національним банком та іншими регуляторними та контролюючими органами, накладені штрафи, установлені порушення законодавства України);

7) інших джерел інформації, отриманих працівниками підрозділу контролю за дотриманням норм (комплаєнс) під час своєї діяльності.

323. Головний комплаєнс-менеджер подає звіти щодо оцінки комплаєнс-ризику раді банку, комітету з управління ризиками та правлінню банку не рідше одного разу на квартал або частіше у випадках, установлених законодавством України.

324. Банк розробляє управлінську звітність щодо комплаєнс-ризику, яка повинна обов'язково включати звіти щодо:

1) продуктів, видів діяльності, процесів, що піддають банк значному комплаєнс-ризику та впливають на банк у разі його реалізації, а також пропозицій щодо уникнення чи пом'якшення цього ризику;

2) випадків порушень вимог законодавства України [податкового, банківського законодавства, законодавства про захист прав споживачів, трудового, антимонопольного законодавства, законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, інших законів, нормативно-правових актів Національного банку та інших регуляторних органів] та внутрішньобанківських документів під час діяльності банку, а також застосованих санкцій до банку або інших негативних наслідків у результаті таких порушень;

3) випадків порушень працівниками банку кодексу поведінки (етики), результатів дослідження їх причин та заходів щодо запобігання таким подіям надалі;

4) випадків формування недостовірної звітності для регуляторних і контролюючих органів, а також застосованих до банку санкцій;

5) значних змін у законодавстві та їх потенційних наслідків для банку;

6) зовнішньої інформації щодо комплаєнс-ризику (штрафи, накладені на інші банки, події, що призвели до погіршення репутації інших банків) та їх потенційних наслідків для банку;

7) випадків конфлікту інтересів;

8) проведених навчань працівників банку з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс).

1. Часовими інтервалами, за якими банку рекомендовано здійснювати GAP-аналіз ризику ліквідності та процентного ризику банківської книги, є:

1) на вимогу;

2) овернайт;

3) від 2 до 7 днів;

4) від 8 до 14 днів;

5) від 15 до 21 дня;

6) від 21 до 30 дня;

7) від 31 до 62 днів;

8) від 63 до 92 днів;

9) від 93 до 183 днів;

10) від 184 до 274 днів;

11) від 275 до 365 (366) днів;

12) від 366 (367) до 730 (731) днів (дня);

13) від 2 до 3 років;

14) від 3 до 5 років;

15) більше 5 років;

16) не визначений.

1. Індикаторами раннього виявлення кризи ліквідності, які банк застосовує у своїх процедурах можуть бути:

1) для специфічної кризи:

порушення або ризик порушення вимог нормативно-правових актів Національного банку щодо нормативів ліквідності;

порушення або ризик порушення внутрішніх лімітів ліквідності;

значне зростання концентрації активів та/або зобов'язань;

значне зменшення обсягу клієнтських коштів або зростання волатильності джерел фінансування;

стрімке зростання активів за рахунок потенційно волатильних зобов'язань;

зменшення середньозваженого строку зобов'язань;

збільшення середньозваженого строку активів;

значне зростання обсягу непрацюючих активів;

поширення в засобах масової інформації негативної інформації щодо банку, що може призвести до відпливу клієнтських коштів або погіршення платіжної дисципліни боржників;

зниження зовнішнього кредитного рейтингу банку;

виникнення перешкод для оперативного залучення коштів у разі дефіциту ліквідності [закриття або значне зниження значень лімітів на банк як внутрішньо групових, так і від інших учасників ринку - банків, небанківських фінансових установ та значних клієнтів - юридичних осіб (крім банків); необхідність надання додаткової застави за договорами з залучення коштів];

2) для загально ринкової кризи:

значне падіння обсягу ліквідності банківської системи;

значне зростання вартості ресурсів, що залучатимуться від банків/клієнтів (індекси UONIA, UIRD);

падіння загального обсягу коштів клієнтів у банківській системі;

військові конфлікти, техногенні та природні катастрофи регіонального та національного масштабу, масові заворушення, що можуть призвести до паніки клієнтів та зниження обсягу їх коштів у банківській системі або погіршення платіжної дисципліни боржників.

1. Обов'язковими етапами проведення GAP-аналізу як інструменту вимірювання величини процентного ризику банківської книги є:

1) розподіл усіх чутливих до процентного ризику банківської книги активів, зобов'язань та позабалансових позицій банку за визначеними наперед часовими інтервалами згідно з додатком 3 до Положення про організацію системи управління ризиками в банках України та банківських групах:

за датою погашення - для інструментів із фіксованою процентною ставкою;

за датою наступної зміни величини індексу - для інструментів із плаваючою процентною ставкою;

за затвердженими припущеннями - для інструментів, що не мають контрактних строків (поточні рахунки, карткові рахунки);

із урахуванням впливу вбудованих опціонів - для інструментів, що мають вбудовані опціони;

2) визначення обсягу невідповідності між активами та зобов'язаннями банку, чутливими до процентного ризику банківської книги, в кожному часовому інтервалі за результатами розподілу;

3) обчислення добутку обсягу невідповідності та величини зміни процентних ставок за кожним часовим інтервалом в межах наступних 12 місяців;

4) приведення до річного виміру шляхом обчислення добутку кожної суми, отриманої на попередньому етапі, та різниці між повним роком і середнім строком у роках за кожним часовим інтервалом та додання обчислених добутків. Середній строк у роках за кожним часовим інтервалом визначається як відношення різниці між максимальною і мінімальною кількістю днів у відповідному часовому інтервалі до 365 (366) днів. Для часових інтервалів "на вимогу" та "овернайт" середній строк - один рік.

2. Результатом GAP-аналізу є кількісна оцінка можливої зміни чистого процентного доходу банку протягом наступних 12 місяців в результаті зміни процентних ставок відповідно до обраного сценарію.

1. Обов'язковими етапами застосування методу модифікованої дюрації як інструменту вимірювання величини процентного ризику банківської книги є:

1) розподіл усіх чутливих до процентного ризику банківської книги активів, зобов'язань та позабалансових позицій банку за визначеними наперед часовими інтервалами згідно з додатком 3 до Положення про організацію системи управління ризиками в банках України та банківських групах;

2) розрахунок модифікованої дюраціі для кожного часового інтервалу (за активами у разі позитивного значення невідповідності та пасивами в разі негативного значення невідповідності);

3) визначення модифікованої дюрації капіталу, що здійснюється шляхом розрахунку середньозваженої дюрації за всіма часовими інтервалами (дюрація за активами враховується зі знаком "+", за пасивами - зі знаком "-"). Абсолютна величина зміни капіталу банку (PV01) розраховується шляхом множення модифікованої дюрації капіталу на його величину та діленням результату на 10000. Для розрахунку можливої зміни економічної вартості капіталу при зміні процентних ставок повинні бути використані показники модифікованої дюрації, величина зміни процентних ставок та показник опуклості, що підвищує точність розрахунку для змін процентних ставок, що перевищують 100 базисних пункти.

2. Результатом використання методу модифікованої дюрації є кількісна оцінка можливої зміни економічної вартості капіталу в результаті зміни процентних ставок у відповідності до обраного сценарію.

1. Інформація щодо подій операційного ризику, яку банк уносить до бази внутрішніх подій операційного ризику, містить:

1) дату виникнення події;

2) дату виявлення події;

3) дату реєстрації події;

4) дату обліку ефекту від події (не пізніше ніж перша дата обліку збитку від події на рахунках витрат);

5) підрозділ, у якому сталася подія;

6) підрозділ, який виявив подію;

7) підрозділ, який відповідальний за дослідження події;

8) бізнес-лінію, у якій сталася подія, щонайменше 1-го рівня, згідно з класифікацією, наведеною в додатку 7 до Положення про організацію системи управління ризиками в банках України та банківських групах;

9) тип події, щонайменше 2-го рівня, згідно з класифікацією, наведеною у додатку 8 до Положення про організацію системи управління ризиками в банках України та банківських групах;

10) опис події;

11) причину події (за внутрішньобанківською типологією причин/класифікатором факторів ризику);

12) суму економічного ефекту події в гривневому еквіваленті;

13) вид економічного ефекту події, що обов'язково включає:

збитки (витрати), уключаючи прямі витрати та резерви, створені під потенційні операційні збитки, з них окремо - нереалізовані збитки (тимчасово обліковані на транзитних рахунках, рахунках дебіторської заборгованості);

компенсації (відшкодування) збитків та окремо від страхування та інших компенсацій (відшкодування) збитків або коригування суми резервів;

потенційні збитки (не відображені на балансових рахунках);

14) вид крос-операційного ризику, з яким пов'язана подія, окремо - кредитний ризик і ринковий ризик;

15) ідентифікатор (параметр) групи пов'язаних подій;

16) статус події (відкрита, закрита).

1. Показники KRI:

1) плинність персоналу банку;

2) обсяг сплачених штрафів у відсотках до операційного доходу;

3) відсоток виданих кредитів з ознаками внутрішнього та зовнішнього шахрайства щодо загальної кількості виданих кредитів;

4) тривалість обмеженого функціонування працездатності систем банку через технічний або технологічний збій, знеструмлення у відсотках щодо загального часу їх роботи;

5) відсоток платіжних документів, що були відхилені під час кожного з видів контролю, до загальної кількості опрацьованих документів;

6) відсоток договорів, що укладені з порушенням установлених лімітів щодо загальної кількості договорів;

7) відсоток скомпрометованих платіжних карт щодо загальної кількості емітованих карт;

8) кількість випадків спрацювання систем сигналізації на об'єктах банку.