( Главу 39 розділу V доповнено новим пунктом 257-10 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-11. Рішення Національного банку про надання / відмову в задоволенні заяви банку про надання дозволів, визначених у пунктах 257-3, 257-4 глави 39 розділу V цього Положення, приймає Комітет з питань нагляду протягом 30 календарних днів із дня, наступного за днем отримання заяви про отримання такого дозволу.
Уповноважена особа Національного банку має право одноразово прийняти рішення про продовження строку розгляду заяви не більше ніж на 15 календарних днів за потреби перевірки достовірності поданих документів / інформації та/або отримання додаткових документів / інформації, необхідних для прийняття рішення про надання дозволів, визначених у пунктах 257-3, 257-4 глави 39 розділу V цього Положення.
Національний банк надсилає банку лист за підписом уповноваженої особи Національного банку про продовження строку прийняття рішення про надання дозволів, визначених у пунктах 257-3, 257-4 глави 39 розділу V цього Положення, з відповідним обґрунтуванням не менше ніж за три робочих дні до завершення граничного строку для його прийняття.
( Главу 39 розділу V доповнено новим пунктом 257-11 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-12. Національний банк залишає заяву без руху в разі:
1) подання банком неповного пакета документів, визначеного в пунктах 257-3, 257-4 глави 39 розділу V цього Положення;
2) недотримання банком вимог щодо способу подання документів, визначеного в пунктах 257-7, 257-8 глави 39 розділу V цього Положення.
( Главу 39 розділу V доповнено новим пунктом 257-12 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-13. Рішення про залишення заяви без руху приймає уповноважена особа Національного банку.
Національний банк надсилає банку лист про залишення поданої банком заяви без руху за підписом уповноваженої особи Національного банку протягом трьох робочих днів із дня отримання такої заяви.
Національний банк у листі про залишення заяви без руху зазначає:
1) виявлені недоліки з посиланням на порушені вимоги цього Положення;
2) спосіб і строк усунення недоліків;
3) способи, порядок і строк оскарження рішення про залишення заяви без руху.
( Главу 39 розділу V доповнено новим пунктом 257-13 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-14. Уповноважена особа Національного банку має право одноразово продовжити строк усунення виявлених недоліків за обґрунтованим клопотанням банку.
( Главу 39 розділу V доповнено новим пунктом 257-14 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-15. Заява банку вважається поданою у день її первинного подання в разі усунення банком виявлених недоліків у строк, установлений Національним банком. Строк розгляду заяви продовжується на строк залишення заяви без руху.
( Главу 39 розділу V доповнено новим пунктом 257-15 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-16. Національний банк надсилає банку рішення Комітету з питань нагляду невідкладно, але не пізніше наступного робочого дня з дня його прийняття, а за наявності обґрунтованих причин - не пізніше третього робочого дня з дня його прийняття.
( Главу 39 розділу V доповнено новим пунктом 257-16 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-17. Національний банк у рішенні про відмову в задоволенні заяви банку про надання дозволів, визначених у пунктах 257-3, 257-4 глави 39 розділу V цього Положення, та в рішенні з вимогою щодо переміщення інструменту, визначеного в пункті 257-6 глави 39 розділу V цього Положення, обов’язково зазначає підстави такого рішення, обґрунтування, строк і порядок його оскарження (у тому числі найменування суду, до якого особа може подати позов).
( Главу 39 розділу V доповнено новим пунктом 257-17 згідно з Постановою Національного банку № 152 від 20.12.2024 )
257-18. Національний банк приймає рішення про відмову в задоволенні заяви банку про надання дозволів, визначених у пунктах 257-3, 257-4 глави 39 розділу V цього Положення, за однією з таких підстав:
1) Національний банк дійшов висновку про те, що підстави, які банк зазначив в обґрунтуванні для отримання дозволів, не зумовлюють необхідність включення інструменту до банківської книги, переміщення інструменту;
2) банк надав недостовірні відомості для отримання відповідних дозволів.
( Главу 39 розділу V доповнено новим пунктом 257-18 згідно з Постановою Національного банку № 152 від 20.12.2024 )
258. Банк оцінює ризик волатильності, валютний та товарний ризики за інструментами, що містяться у торговій і в банківській книгах.
259. Банк має право оцінювати в сукупності процентний ризик торгової книги та ризик кредитного спреду (сукупний ризик). У такому разі банк використовує величину ризику за борговими інструментами як найбільшу із двох: величини ризику дефолту за борговими інструментами та величини сукупного ризику за такими інструментами.
260. Банк визначає мінімальний перелік кількісних показників ризик-апетиту до ринкового ризику, який складається з максимальної величини вартості під ризиком або очікуваних втрат (можливих збитків) для кожного виду ринкового ризику та/або в цілому для всіх видів ринкового ризику з розподілом між торговою та банківською книгами у відсотках до регулятивного капіталу банку.
40. Політика та процедури управління ринковим ризиком
261. Банк розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядки та процедури управління ринковим ризиком з метою забезпечення їх відповідності рівню ризик-апетиту до цього ризику. Політика, порядки та процедури управління ринковим ризиком можуть бути єдині для всіх видів ринкового ризику або окремі для кожного з його видів.
262. Політика управління ринковим ризиком повинна обов'язково містити:
1) мету, завдання та принципи управління ринковим ризиком;
2) організаційну структуру процесу управління ринковим ризиками, включаючи трейдинг-деск, із урахуванням розподілу функціонала учасників процесу, їх повноваження, відповідальність та порядок взаємодії;
( Підпункт 2 пункту 262 глави 40 розділу V із змінами, внесеними згідно з Постановою Національного банку № 40 від 30.03.2023 )
2-1) опис цільових напрямів діяльності трейдинг-деск, план річного фінансового забезпечення (бюджету) трейдинг-деск;
( Пункт 262 глави 40 розділу V доповнено новим підпунктом 2-1 згідно з Постановою Національного банку № 40 від 30.03.2023 )
2-2) перелік основних інструментів торгівлі/хеджування, що управляються трейдинг-деск, та операцій, що виконуються за дорученням клієнтів/інших підрозділів банку;
( Пункт 262 глави 40 розділу V доповнено новим підпунктом 2-2 згідно з Постановою Національного банку № 40 від 30.03.2023 )
2-3) підходи щодо вибору та застосування інструментів хеджування, включаючи типи хеджування, очікувану ефективність/неефективність хеджування, строки дії інструментів хеджування;
( Пункт 262 глави 40 розділу V доповнено новим підпунктом 2-3 згідно з Постановою Національного банку № 40 від 30.03.2023 )
3) перелік лімітів для контролю за ринковим ризиком та порядок їх установлення;
4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ринкового ризику;
5) процедури визначення, затвердження та перегляду припущень, що використовуються під час вимірювання ринкового ризику;
6) підходи щодо здійснення стрес-тестування ринкового ризику;
7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо ринкового ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.
263. Порядок та процедури управління ринковим ризиком повинні обов'язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ринкового ризику, уключаючи інструменти/індикатори, що використовуються;
2) опис сценаріїв зміни процентних ставок, цін пайових цінних паперів, ймовірностей дефолту, кредитних спредів, цін товарів та курсів іноземних валют, зміни їх волатильності, а також стрес-сценаріїв;
( Підпункт 2 пункту 263 глави 40 розділу V із змінами, внесеними згідно з Постановою Національного банку № 40 від 30.03.2023 )
3) опис припущень для продуктів із убудованими опціонами, що використовуються під час вимірювання ринкового ризику;
4) порядок обміну інформацією між учасниками процесу управління ринковим ризиком, уключаючи види, форми і терміни надання інформації;
5) програма проведення стрес-тестування ринкового ризику;
6) порядок складання та перевірки достовірності статистичної звітності щодо ринкового ризику, що подається до Національного банку.
264. Банк має право не створювати політику та процедури управління ринковим ризиком, що властиві інструментам торгової книги (ризик дефолту, процентний ризик торгової книги, ризик кредитного спреду, ризик волатильності, фондовий ризик та товарний ризик), якщо декларацією схильності до ризиків визначено уникнення таких ризиків.
У цьому разі банк:
1) створює порядок моніторингу дотримання затвердженого нульового ризик-апетиту (якщо немає інструментів у торговій книзі);
2) розпочинає операції з новими інструментами в торговій книзі тільки після затвердження радою банку відповідного рівня ризик-апетиту та інших внутрішньобанківських документів відповідно до цього Положення.
265. Банк установлює ліміти ринкового ризику щонайменше щодо:
1) максимально можливої вартості під ризиком (Value-at-Risk, VAR) з довірчою імовірністю не нижчою ніж 99% або максимально можливих очікуваних втрат (Expected Shortfall) з довірчою імовірністю не нижчою ніж 97,5% для визначеного банком строку в цілому для всіх видів ринкового ризику з розподілом між торговою та банківською книгами та/або окремо для:
( Абзац другий пункту 265 глави 40 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
процентного ризику торгової книги;
ризику кредитного спреду;
фондового ризику;
валютного ризику;
товарного ризику;
ризику волатильності.
Банк установлює загальний ліміт процентного ризику торгової книги та ризику кредитного спреду, якщо банк оцінює ці ризики в сукупності;
2) розміру відкритих валютних позицій в значимих валютах у абсолютному значенні або у відсотках до регулятивного капіталу банку.
( Абзац одинадцятий пункту 265 глави 40 розділу V виключено на підставі Постанови Національного банку № 172 від 29.12.2020 )
41. Вимірювання ринкового ризику
266. Банк здійснює вимірювання ринкового ризику як в цілому за всіма видами цього ризику, так і в розрізі кожного з його видів.
267. Банк використовує під час вимірювання ринкового ризику зрозумілі, повні та документовані припущення, що відповідають бізнес-плану банку, а також історичній ринковій та власній статистиці банку.
268. Банк під час вимірювання ринкового ризику ураховує кореляцію між різними його видами.
( Пункт 268 глави 41 розділу V із змінами, внесеними згідно з Постановою Національного банку № 40 від 30.03.2023 )
269. Банк для вимірювання ринкового ризику використовує такі інструменти:
1) для ризику дефолту - порядок оцінки кредитного ризику за активними банківськими операціями, установлений Положенням № 351;
2) для процентного ризику торгової книги та ризику кредитного спреду - будь-який з таких методів:
( Абзац третій пункту 269 глави 41 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
модифікованої дюрації, що забезпечує оцінку відносної зміни справедливої вартості боргових інструментів у торговій книзі банку в разі зміни їх дохідності до погашення на один базисний пункт;
( Абзац пункту 269 глави 41 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
вартості під ризиком (VaR);
( Абзац пункту 269 глави 41 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
очікуваних втрат (Expected Shortfall, ES).
( Абзац пункту 269 глави 41 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
Банк у разі використання методу модифікованої дюрації дотримується такої послідовності розрахунку:
( Абзац сьомий пункту 269 глави 41 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
визначає модифіковану дюрацію кожного з боргових інструментів у торговій книзі банку;
визначає показник опуклості (convexity) за кожним із видів боргових інструментів;
визначає величину зміни дохідності до погашення інструментів.
Банк самостійно визначає припущення щодо зміни процентної ставки на підставі як власного досвіду, так і статистики зміни процентних ставок на українському та світовому ринках (у випадках, коли це є релевантним). Банк застосовує можливу величину зміни процентних ставок, яка складає не менше ніж:
для гривні та валют 2 та 3 групи Класифікатора - 500 базисних пунктів для цінних паперів із дюрацією не більше ніж шість місяців та 400 базисних пунктів для цінних паперів із більшою дюрацією;
для валют 1 групи Класифікатора - 300 базисних пунктів для цінних паперів із дюрацією не більше ніж шість місяців та 200 базисних пунктів для цінних паперів із більшою дюрацією;
розраховує розмір процентного ризику торгової книги за кожним з боргових інструментів;
розраховує загальний розмір процентного ризику торгової книги з урахуванням кореляції між можливою зміною доходності до погашення різних боргових інструментів у торговій книзі банку;
3) для ризику волатильності, фондового, валютного та товарного ризиків - метод вартості під ризиком (VaR) або метод очікуваних втрат (Expected Shortfall, ES).
Банк самостійно обирає підхід до оцінки VaR або ES: історичне моделювання, параметрична модель, сценарне моделювання за методом Монте-Карло, ARCH і GARCH-моделі.
Банк має право обрати інший підхід до оцінки VaR або ES, забезпечуючи дотримання таких мінімальних кількісних характеристик:
довірча ймовірність - не нижче ніж 99 % для VaR та 97,5% для ES;
( Абзац дев'ятнадцятий пункту 269 глави 41 розділу V із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
глибина статистичної вибірки - не менше ніж 250 спостережень за період, не менший ніж один календарний рік.
Банк для вимірювання ризику волатильності використовує метод веги, який вимірює чутливість вартості опціону до волатильності базової змінної.
42. Стрес-тестування ринкового ризику
270. Банк здійснює не рідше одного разу на квартал стрес-тестування ринкового ризику для різних короткострокових та довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливих збитків через реалізацію ринкового ризику та оцінки співставності результатів здійснення стрес-тестування та встановленого рівня ризик-апетиту до ринкового ризику.
( Абзац перший пункту 270 глави 42 розділу V із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
Результатом здійснення стрес-тестування ринкового ризику має бути величина можливих збитків у разі реалізації стрес-сценаріїв.
271. Банк ґрунтує стрес-сценарії на:
1) статистиці українського та світового ринку щодо зміни в кризових умовах:
процентних ставок;
курсів іноземних валют;
цін пайових цінних паперів;
( Абзац четвертий підпункту 1 пункту 271 глави 42 розділу V в редакції Постанови Національного банку № 40 від 30.03.2023 )
ймовірностей дефолту;
( Абзац п'ятий підпункту 1 пункту 271 глави 42 розділу V в редакції Постанови Національного банку № 40 від 30.03.2023 )
кредитних спредів;
( Абзац шостий підпункту 1 пункту 271 глави 42 розділу V в редакції Постанови Національного банку № 40 від 30.03.2023 )
цін товарів;
( Абзац сьомий підпункту 1 пункту 271 глави 42 розділу V в редакції Постанови Національного банку № 40 від 30.03.2023 )
волатильності ринкових цін, процентних ставок, ринкових індексів і валютних курсів;
2) припущеннях банку щодо сценарію, який він визначає як найбільш несприятливий, на основі характеристик портфеля інструментів, що наражають його на ринковий ризик. Ці припущення повинні бути консервативнішими порівняно з тими, що базуються на статистиці.
( Підпункт 2 пункту 271 глави 42 розділу V із змінами, внесеними згідно з Постановою Національного банку № 40 від 30.03.2023 )
43. Звітування щодо ринкового ризику
272. Головний ризик-менеджер подає звіти щодо оцінки ринкового ризику раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку та комітету з управління активами і пасивами - не рідше одного разу на місяць.
( Пункт 272 глави 43 розділу V із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
273. Головний ризик-менеджер/підрозділ з управління ризиками в разі значного підвищення ринкового ризику (наближення фактичних показників ринкового ризику до встановлених значень лімітів або порушення/потенційного порушення лімітів) не пізніше наступного робочого дня інформує про це раду банку, комітет з управління ризиками, правління банку та комітет з управління активами і пасивами. Інформація про причини таких порушень та пропозиції щодо заходів для усунення порушень надаються з урахуванням вимог пункту 93 глави 12 розділу I цього Положення.
( Пункт 273 глави 43 розділу V в редакції Постанови Національного банку № 172 від 29.12.2020 )
274. Банк розробляє управлінську звітність щодо ринкового ризику, яка повинна обов'язково включати звіти щодо:
1) величини ринкового ризику та кожного з його видів з описовою частиною, що визначає активи, зобов'язання, позабалансові позиції, грошові потоки та продукти, що є головними з точки зору схильності до ринкового ризику;
( Підпункт 1 пункту 274 глави 43 розділу V із змінами, внесеними згідно з Постановою Національного банку № 40 від 30.03.2023 )
2) порушень банком установлених лімітів ринкового ризику та авторизованих перевищень лімітів;
2-1) доходів та витрат за інструментами, що управляються трейдинг-деск;
( Пункт 274 глави 43 розділу V доповнено новим підпунктом 2-1 згідно з Постановою Національного банку № 40 від 30.03.2023 )
3) результатів здійснення стрес-тестування ринкового ризику.
VI. Управління операційним ризиком
44. Загальні підходи до управління операційним ризиком
275. Банк створює ефективну систему управління операційним ризиком, що має повністю інтегруватися в загальну систему управління ризиками банку.
276. Банк оцінює операційний ризик з урахуванням його взаємозв'язку та впливу на інші ризики, що притаманні діяльності банку.
277. Банк самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику. Такий перелік повинен обов'язково включати показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців.
45. Політика та процедури управління операційним ризиком
278. Банк розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядки управління операційним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту до цього ризику.
279. Політика управління операційним ризиком повинна обов'язково містити:
1) мету, завдання та принципи управління операційним ризиком;
2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціонала відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;
3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику;
4) критеріїв визначення значних подій операційного ризику, порядок їх дослідження та ескалації інформації щодо таких подій керівникам банку;
( Підпункт 4 пункту 279 глави 45 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
5) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);
6) підходи щодо здійснення стрес-тестування операційного ризику;
7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо операційного ризику, порядок і періодичність/терміни їх надання суб'єктам системи управління ризиками;
8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв.
280. Порядок та процедури управління операційним ризиком повинні обов'язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику, уключаючи інструменти/індикатори, що використовуються;
1-1) процедури контролю за повнотою та якістю даних про події операційного ризику, уключаючи інструменти, що використовуються для такого контролю;
( Пункт 280 глави 45 розділу VI доповнено новим підпунктом 1-1 згідно з Постановою Національного банку № 172 від 29.12.2020 )
2) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-лініями;
3) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов'язаних із кредитним ризиком;
4) критерії визначення груп пов'язаних операційних подій;
5) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;
6) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;
7) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком з метою уникнення їх дублювання;
8) порядок обміну інформацією між учасниками процесу управління операційним ризиком, уключаючи види, форми і терміни подання інформації;
9) програма проведення стрес-тестування операційного ризику;
10) порядок складання та перевірки достовірності статистичної звітності щодо операційного ризику, що подається до Національного банку.
280-1. Банк розробляє та впроваджує процедури контролю за повнотою та якістю даних про події операційного ризику банку, що передбачають:
1) розподіл обов'язків та відповідальності між підрозділами банку щодо контролю за повнотою та якістю даних про події операційного ризику банку під час їх збору, унесення до бази внутрішніх подій операційного ризику та подальшої перевірки;
2) заходи поточного (під час збору та внесення даних до бази внутрішніх подій операційного ризику) та подальшого контролю за повнотою та якістю даних про події операційного ризику, уключаючи автоматизовані та/або ручні перевірки щодо відсутності помилок та суперечливості даних, відповідності обліковим, фінансовим, статистичним даним та даним управлінської звітності банку.
( Главу 45 розділу VI доповнено новим пунктом 280-1 згідно з Постановою Національного банку № 172 від 29.12.2020 )
281. Банк забезпечує управління операційним ризиком, дотримуючись моделі трьох ліній захисту:
1) на першій лінії захисту перебувають бізнес-підрозділи та підрозділи підтримки банку. Вони є власниками всіх операційних ризиків, що виникають у сфері їх відповідальності. Зазначені підрозділи відповідають за виявлення та оцінювання операційних ризиків, ужиття управлінських заходів та звітування щодо таких ризиків. На першій лінії захисту банк призначає в рамках підрозділів працівників, відповідальних за внутрішній контроль операційного ризику - ризик-координаторів. До їх функцій у сфері управління операційним ризиком належать:
участь у побудові карт процесів (технологічних карт), власниками яких є підрозділи, які також використовуються для організації здійснення цих процесів, а також для побудови та впровадження ефективної системи внутрішнього контролю;
взаємодія з підрозділом з управління ризиками;
взаємодія з керівником свого підрозділу з питань дотримання політики, порядків та процедур з управління операційним ризиком;
координація з питань навчання і забезпечення обізнаності працівників підрозділу щодо політики, порядків і процедур з управління операційним ризиком;
забезпечення виявлення подій операційного ризику на рівні підрозділу та інформування ризик-координатором про такі події;
повний і своєчасний збір та внесення інформації про події операційного ризику до бази внутрішніх подій операційного ризику та контроль за якістю і повнотою внесеної інформації;
( Абзац восьмий пункту 281 глави 45 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
сприяння підрозділу з управління ризиками у формуванні переліку та розрахунку значень ключових індикаторів ризику для моніторингу операційного ризику, забезпечення здійснення постійного моніторингу та звітування підрозділу з управління ризиками щодо динаміки їх значень у підрозділі;
участь у створенні сценаріїв для сценарного аналізу операційного ризику, організація проведення підрозділом, у межах якого вони призначені як ризик-координатори, сценарного аналізу за підтримки підрозділом з управління ризиками або забезпечення участі працівників підрозділу у проведенні сценарного аналізу іншими підрозділами;
( Абзац десятий пункту 281 глави 45 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
участь у проведенні стрес-тестування операційного ризику;
забезпечення проведення підрозділом ідентифікації та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку;
проведення самооцінки операційних ризиків;
забезпечення складання підрозділом управлінської звітності щодо операційного ризику.
Структурні підрозділи банку відповідають за дотримання вимог політики, процедур та використання інструментів управління операційними ризиками під час здійснення своєї діяльності;
2) на другій лінії захисту підрозділ з управління ризиками виконує такі функції в частині управління операційним ризиком:
розроблення, упровадження та постійний розвиток системи управління операційним ризиком;
оцінка величини операційного ризику банку, уключаючи оцінку на основі інформації, що надається ризик-координаторами підрозділів першої лінії захисту;
консультування структурних підрозділів банку з питань управління операційним ризиком;
проведення навчання і забезпечення обізнаності працівників банку щодо управління операційними ризиками;
формування зведеної звітності про результати управління операційним ризиком у банку;
контроль за виконанням заходів щодо уникнення, передавання та пом'якшення операційного ризику;
участь у розробленні карт процесів;
супровід та підтримка бази внутрішніх подій операційного ризику, уключаючи збір, накопичення і аналіз даних щодо внутрішніх подій операційного ризику, верифікації подій, унесених до бази, дослідження значних подій;
розроблення разом з підрозділами першої лінії захисту переліку специфікацій ключових індикаторів операційного ризику, порядку їх розрахунку та визначення граничних значень;
контроль за дотриманням граничних значень ключових індикаторів операційного ризику та аналіз причин порушень;
планування, контроль за проведенням та погодженням результатів сценарного аналізу;
( Абзац двадцять сьомий пункту 281 глави 45 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
координація або контроль за розробленням плану забезпечення безперервної діяльності залежно від обраної моделі управління процесом;
координація проведення та аналіз результатів самооцінки операційних ризиків;
надання експертного висновку, погодження результатів аналізу та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку/переданим на аутсорсинг функціям, проведених підрозділами першої лінії захисту;
( Абзац тридцятий пункту 281 глави 45 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
аналіз операційних ризиків за функціями, що передаються на аутсорсинг;
( Абзац тридцять перший пункту 281 глави 45 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
формування пропозицій щодо політики страхування ризиків банку;
3) на третій лінії захисту підрозділ внутрішнього аудиту здійснює оцінку ефективності системи управління операційним ризиком підрозділами першого та другого рівнів захисту, уключаючи оцінку ефективності системи внутрішнього контролю.
282. Правління банку має право створити комітет з управління операційним ризиком, що є складовою організаційної структури системи управління ризиками і забезпечує виконання визначених функцій та повноважень щодо управління операційним ризиком.
( Пункт 283 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )( Пункт 284 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )( Пункт 285 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )( Пункт 286 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )( Пункт 287 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )( Пункт 288 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )( Пункт 289 глави 45 розділу розділу VI виключено на підставі Постанови Національного банку № 40 від 30.03.2023 )
290. Банк створює ефективні механізми управління модельним ризиком [ризиком невиконання або некоректного виконання задач моделями, які використовуються банком для оцінки (вимірювання) ризиків, оцінки фінансових інструментів, ціноутворення за продуктами], який є частиною системи управління операційним ризиком банку з урахуванням вимог цього Положення щодо використання моделей для оцінки (вимірювання) ризиків.
45-1. Ризики ІСТ та інформаційної безпеки
290-1. Банк створює ефективні механізми управління ризиком ІCT та ризиком інформаційної безпеки, які є частиною системи управління операційним ризиком банку з урахуванням впливу на інші ризики, притаманні діяльності банку.
290-2. Банк забезпечує управління ризиком ІCT та ризиком інформаційної безпеки, дотримуючись моделі трьох ліній захисту.
До першої лінії захисту належать усі структурні підрозділи банку, які під час здійснення своєї діяльності повинні забезпечувати дотримання вимог політики, процедур та використання інструментів управління ризиком ІCT та ризиком інформаційної безпеки, включаючи виявлення та оцінювання таких ризиків, а також ужиття управлінських заходів та звітування щодо них. Ризик-координатори, відповідальні за управління ризиком ІCT та ризиком інформаційної безпеки, призначаються зі складу підрозділів першої лінії захисту, функції яких полягають в управлінні інформаційно-комунікаційними технологіями та інформаційною безпекою відповідно.
До другої та третьої ліній захисту належать підрозділ з управління ризиками та підрозділ внутрішнього аудиту відповідно, які забезпечують виконання функцій, визначених цим Положенням щодо дотримання трьох ліній захисту під час управління операційним ризиком.
290-3. Банк розробляє та періодично переглядає політику, процедури, інструменти управління ризиком ІCT та ризиком інформаційної безпеки не рідше одного разу на рік.
290-4. Політика управління ризиком ІCT та ризиком інформаційної безпеки банку може бути складовою політики управління операційним ризиком або окремим документом та повинна обов’язково містити:
1) мету, завдання та принципи управління ризиком ІCT та ризиком інформаційної безпеки;
2) цілі банку щодо ризику ІCT та ризику інформаційної безпеки;
3) вплив ризику ІCT та ризику інформаційної безпеки на досягнення цілей банку: стратегічних, операційних, цілей у сфері підготовки фінансової та статистичної звітності, дотримання законодавства України;
4) організаційну структуру процесу управління ризиком ІCT та ризиком інформаційної безпеки з урахуванням розподілу функціонала учасників процесу відповідно до трьох ліній захисту, їх повноважень, відповідальності та порядку взаємодії;
5) порядок взаємодії між учасниками процесу управління ризиком ІCT та ризиком інформаційної безпеки;
6) підходи банку до управління ризиком ІCT та ризиком інформаційної безпеки.
290-5. Порядки та процедури управління ризиком ІCT та ризиком інформаційної безпеки повинні обов’язково містити:
1) визначення та опис основних інструментів та індикаторів, що використовуються банком в управлінні ризиком ІCT та ризиком інформаційної безпеки, та порядок їх використання;
2) методику оцінки ризику ІCT та ризику інформаційної безпеки;
3) правила визначення критеріїв значних подій ризику ІCT та ризику інформаційної безпеки, порядок їх класифікації (з урахуванням вимог цього Положення щодо класифікації подій операційного ризику), процедури їх оброблення, аналізу, дослідження, ескалації інформації та звітування керівництву банку;
4) порядок та процедури реагування на ризик ІCT та ризик інформаційної безпеки;
5) опис засобів контролю та порядок моніторингу ризику ІCT та ризику інформаційної безпеки;
6) порядок обміну інформацією між учасниками процесу управління ризиком ІCT та ризиком інформаційної безпеки, включаючи визначення видів, форм і строків подання управлінської звітності щодо ризику ІCT та ризику інформаційної безпеки.
290-6. Оцінка ризику ІCT та ризику інформаційної безпеки здійснюється банком за допомогою інструментів, визначених для оцінки операційного ризику із зазначеною для цих інструментів періодичністю, інструментів, що застосовуються банком у межах упровадженої системи управління інформаційною безпекою, або за допомогою інших інструментів, визначених банком, не рідше одного разу на рік.
290-7. Банк здійснює управління ризиком ІСТ з урахуванням вимог нормативно-правових актів Національного банку, які регламентують функціонування систем і сервісів ІСТ, та забезпечує впровадження задокументованих і затверджених процесів та процедур щодо:
1) забезпечення безперервності функціонування систем та сервісів ICT з урахуванням вимог глави 48 розділу VI цього Положення;
2) управління інцидентами/проблемами ІСТ для їх моніторингу та реєстрації, включаючи процедури визначення, відстеження, реєстрації, категоризації та класифікації за пріоритетом на основі критичності процесів, а також процедури реагування;
3) управління змінами для забезпечення контролю за всіма змінами в системах та сервісах ICТ, включаючи процедури реєстрації, тестування, оцінювання, затвердження, впровадження і верифікації змін.
290-8. Банк здійснює управління ризиком інформаційної безпеки з урахуванням вимог нормативно-правових актів Національного банку, які регламентують організацію заходів із забезпечення інформаційної безпеки і кіберзахисту, та забезпечує:
1) дотримання принципів забезпечення інформаційної безпеки і кіберзахисту та обов’язкових мінімальних вимог щодо організації заходів із забезпечення інформаційної безпеки та кіберзахисту;
2) запровадження ефективних заходів для забезпечення конфіденційності, цілісності та доступності інформації, її захисту від внутрішніх та зовнішніх загроз, включаючи кібератаки і загрози фізичної безпеки.
290-9. Банк створює та веде базу внутрішніх подій ризику ІCT та ризику інформаційної безпеки, здійснює аналіз накопиченої в ній інформації. Якщо банк веде базу внутрішніх подій ризику ІCT та ризику інформаційної безпеки окремо від бази внутрішніх подій операційного ризику, то він забезпечує реєстрацію в базі внутрішніх подій операційного ризику всіх подій ризику ІCT та ризику інформаційної безпеки, що підпадають під визначені банком критерії звітування щодо внутрішніх подій операційного ризику.
( Розділ VI доповнено новою главою 45-1 згідно з Постановою Національного банку № 40 від 30.03.2023 )
46. Виявлення та вимірювання операційного ризику
291. Банк з метою виявлення та вимірювання операційного ризику використовує такі інструменти:
1) аналіз результатів перевірок, здійснених підрозділом внутрішнього аудиту та зовнішнім аудитором;
2) створення та ведення бази внутрішніх подій операційного ризику та аналіз накопиченої в ній інформації з урахуванням вимог пункту 100 глави 13 розділу I цього Положення.
( Абзац третій пункту 291 глави 46 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
Класифікація бізнес-ліній і подій, що призводять до втрат, визначені в додатках 7, 8 до цього Положення. Інформація щодо подій операційного ризику, що вноситься в базу внутрішніх подій операційного ризику, має, щонайменше, містити складові, наведені в додатку 9 до цього Положення.
( Абзац четвертий пункту 291 глави 46 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
Банк уносить операційні події в базу внутрішніх подій операційного ризику з урахуванням визначених банком критеріїв звітування;
3) ключові показники ризику (Key Risk Indicators - KRI).
KRI є кількісним показником, який динамічно змінюється в часі та відображає зміну характеру операційного ризику. KRI використовується банком для раннього виявлення негативних тенденцій/явищ, пов'язаних з підвищенням операційного ризику, що притаманні процесам.
Банк визначає перелік показників KRI, порядок їх розрахунку та граничні значення, які забезпечують своєчасне та найбільш повне виявлення факторів операційного ризику з метою застосування своєчасних заходів щодо управління ними.
Банк розраховує показники KRI з періодичністю не рідше ніж раз на три місяці. Приклади показників KRI наведені в додатку 10 до цього Положення;
4) самооцінка операційного ризику (Risk Self Assessments).
У рамках самооцінки операційного ризику уповноважені працівники банку не рідше ніж один раз на рік:
проводять аналіз бізнес-процесів банку з урахуванням інформації щодо можливих загроз і вразливостей та оцінюють можливі втрати від них;
оцінюють ризики бізнес-процесів банку (до впровадження або перегляду контролів), ефективність контрольного середовища (запроваджених контролів) та залишкові ризики (з урахуванням запроваджених або переглянутих контролів);
5) сценарний аналіз (Scenario Analysis).
Цей інструмент застосовується шляхом формування судження працівниками підрозділу з управління ризиками та підрозділів першої лінії захисту щодо визначення можливих малоймовірних подій операційного ризику з суттєвими наслідками для банку та їх кількісної оцінки.
( Абзац п'ятнадцятий пункту 291 глави 46 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
292. Банк, крім обов'язкових інструментів виявлення та вимірювання операційного ризику, має право використовувати такі додаткові інструменти:
1) створення та ведення бази зовнішніх подій операційного ризику та аналіз накопиченої в ній інформації (External Data Collection and Analysis).
Інформація щодо зовнішніх подій операційного ризику вноситься до бази підрозділом другого рівня захисту на підставі інформації з відкритих джерел, спеціалізованих баз даних або в рамках обміну інформацією між банками та має містити складові, аналогічні складовим бази внутрішніх подій операційного ризику;
2) вимірювання (Measurement).
Цей інструмент застосовується підрозділом з управління ризиками шляхом побудови математичної моделі оцінки можливих втрат від операційного ризику на підставі статистичних даних щодо подій операційного ризику;
3) аналіз карт процесів (Business Process Mapping).
Метою аналізу карт процесів є виявлення етапів процесів, видів діяльності та організаційних функцій, а також операційних ризиків, притаманних процесам. Під час аналізу карт процесів аналізуються властиві операційні ризики, їх взаємозв'язок з іншими ризиками, наявні контролі та їх недоліки.
Цей інструмент застосовується підрозділом з управління ризиками шляхом формування судження щодо визначення можливих подій операційного ризику та їх кількісної оцінки на підставі власної експертної думки, а також експертної думки представників підрозділів першої лінії захисту;
4) порівняльний аналіз (Comparative Analysis).
Цей інструмент застосовується підрозділом з управління ризиками шляхом порівняння результатів застосування різних інструментів з метою об'єктивної оцінки (вимірювання) операційного ризику банку.
293. Банк забезпечує своєчасне виявлення значних подій операційного ризику та невідкладне повідомлення про такі події підрозділу з управління ризиками. Головний ризик-менеджер/підрозділ з управління ризиками не пізніше наступного робочого дня з дня отримання ним повідомлення доводить до ради банку та правління банку інформацію про значну подію операційного ризику.
( Пункт 293 глави 46 розділу VI із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
294. Банк затверджує порядок дослідження значних подій операційного ризику, який обов'язково включає:
1) критерії віднесення подій операційного ризику до значних;
2) процедуру створення робочої групи та порядок проведення нею досліджень, уключаючи визначення переліку її учасників;
3) процедуру ескалації результатів дослідження та затвердження заходів щодо мінімізації наслідків події та запобігання подібним подіям у майбутньому.
295. Банк має право розподіляти можливі події операційного ризику за такими категоріями:
1) події з низьким рівнем втрат та низькою ймовірністю настання;
2) події зі значним рівнем втрат та низькою ймовірністю настання;
3) події з низьким рівнем втрат з високою ймовірністю настання;
4) події зі значним рівнем втрат та високою ймовірністю настання.
296. Банк залежно від визначеної категорії операційного ризику має право використовувати такі методи управління операційним ризиком:
1) прийняття ризику, що передбачає продовження діяльності без змін у разі можливості понесення незначних втрат з низькою ймовірністю настання;
2) передавання ризику, що передбачає страхування, переважно, ризиків з потенційно значними втратами з низькою імовірністю настання або ризиків, які перебувають під обмеженим контролем банку;
3) пом'якшення ризику, що передбачає коригування певних процесів та впровадження додаткових контролів у разі понесення в їх результаті незначних втрат з високою імовірністю настання;
4) уникнення ризику, що передбачає припинення здійснення діяльності та/або закриття позицій, що призводять до значних втрат з високою ймовірністю настання.
297. Підрозділ з управління ризиками повинен мати достатню кількість кваліфікованих працівників для адекватної оцінки цього виду ризику.
47. Аутсорсинг
298. Банк приймає рішення щодо передавання функцій на аутсорсинг за умови:
1) розроблення внутрішньобанківських документів щодо передавання функцій на аутсорсинг;
2) обґрунтованої доцільності передавання функцій на аутсорсинг;
3) забезпечення збереження банківської та комерційної таємниці в разі передавання функцій на аутсорсинг;
4) належного управління ризиками, що пов'язані з передаванням функцій на аутсорсинг та виконанням аутсорсером таких функцій.
( Пункт 298 глави 47 розділу VI в редакції Постанови Національного банку № 172 від 29.12.2020 )
298-1. Банк не має права передавати на аутсорсинг функції щодо:
1) здійснення банківської діяльності, на яку він отримав банківську ліцензію;
2) управління ризиками, крім випадків, передбачених цим Положенням.
( Главу 47 розділу VI доповнено новим пунктом 298-1 згідно з Постановою Національного банку № 172 від 29.12.2020 )
298-2. Банк не повинен ураховувати як аутсорсинг таке:
1) послуги зовнішнього аудитора та інші послуги, що відповідно до законодавства України надаються визначеними постачальниками послуг;
2) послуги агентств Bloomberg, Moody's, Standard & Poor's, Fitch;
3) послуги платіжних систем Visa, MasterCard;
4) послуги клірингу;
5) послуги Товариства всесвітніх міжбанківських фінансових телекомунікацій SWIFT;
6) послуги банків-кореспондентів;
7) придбання послуг, які в іншому випадку не здійснювалися б банком (ураховуючи юридичні, медичні, туристичні послуги; послуги з прибирання, озеленення та обслуговування приміщень, службових автомобілів банку, громадського харчування; послуги архітектора, торгових автоматів, пошти, секретарів та операторів розподільних щитів, комутаторів); послуги з виробництва товарів (ураховуючи пластикові картки, карт-рідери, канцелярське приладдя, персональні комп'ютери, меблі) та комунальні послуги (ураховуючи електропостачання, газопостачання, водопостачання, телефонний та інтернет-зв'язок).
( Главу 47 розділу VI доповнено новим пунктом 298-2 згідно з Постановою Національного банку № 172 від 29.12.2020 )
299. Внутрішньобанківські документи щодо аутсорсингу мають містити:
1) порядок визначення функцій, що можуть передаватися на аутсорсинг, за винятком функцій, визначених у пункті 298-1 глави 47 розділу VI цього Положення, які банк не має права передавати на аутсорсинг;