Посилання скопійовано

Документ підготовлено в системі iplex

Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

Національний банк України | Постанова, Класифікація, Перелік, Положення від 11.06.2018 № 64

участь у проведенні стрес-тестування операційного ризику;

забезпечення проведення підрозділом ідентифікації та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку;

проведення самооцінки операційних ризиків;

забезпечення складання підрозділом управлінської звітності щодо операційного ризику.

Структурні підрозділи банку відповідають за дотримання вимог політики, процедур та використання інструментів управління операційними ризиками під час здійснення своєї діяльності;

2) на другій лінії захисту підрозділ з управління ризиками виконує такі функції в частині управління операційним ризиком:

розроблення, упровадження та постійний розвиток системи управління операційним ризиком;

оцінка величини операційного ризику банку, уключаючи оцінку на основі інформації, що надається ризик-координаторами підрозділів першої лінії захисту;

консультування структурних підрозділів банку з питань управління операційним ризиком;

проведення навчання і забезпечення обізнаності працівників банку щодо управління операційними ризиками;

формування зведеної звітності про результати управління операційним ризиком у банку;

контроль за виконанням заходів щодо уникнення, передавання та пом'якшення операційного ризику;

участь у розробленні карт процесів;

супровід та підтримка бази внутрішніх подій операційного ризику, уключаючи збір, накопичення і аналіз даних щодо внутрішніх подій операційного ризику, верифікації подій, унесених до бази, дослідження значних подій;

розроблення разом з підрозділами першої лінії захисту переліку специфікацій ключових індикаторів операційного ризику, порядку їх розрахунку та визначення граничних значень;

контроль за дотриманням граничних значень ключових індикаторів операційного ризику та аналіз причин порушень;

планування і проведення сценарного аналізу;

координація або контроль за розробленням плану забезпечення безперервної діяльності залежно від обраної моделі управління процесом;

координація проведення та аналіз результатів самооцінки операційних ризиків;

надання експертного висновку, погодження результатів аналізу та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку, проведених підрозділами першої лінії захисту;

аналіз операційних ризиків, притаманних діяльності банку, що передається на аутсорсинг;

формування пропозицій щодо політики страхування ризиків банку;

3) на третій лінії захисту підрозділ внутрішнього аудиту здійснює оцінку ефективності системи управління операційним ризиком підрозділами першого та другого рівнів захисту, уключаючи оцінку ефективності системи внутрішнього контролю.

282. Правління банку має право створити комітет з управління операційним ризиком, що є складовою організаційної структури системи управління ризиками і забезпечує виконання визначених функцій та повноважень щодо управління операційним ризиком.

283. Банк створює ефективні механізми управління інформаційним ризиком, який є частиною системи управління операційним ризиком банку з урахуванням впливу на інші ризики, притаманні діяльності банку.

284. Банк забезпечує управління інформаційним ризиком, дотримуючись моделі трьох ліній захисту.

До першої лінії захисту належать усі структурні підрозділи банку, які під час здійснення своєї діяльності повинні забезпечувати дотримання вимог політики, процедур та використання інструментів управління інформаційним ризиком. Ризик-координатори, відповідальні за управління інформаційним ризиком, призначаються зі складу підрозділів першої лінії захисту, функції яких полягають в управлінні інформаційною безпекою або інформаційними технологіями.

До другої та третьої ліній захисту належать підрозділ з управління ризиками та підрозділ внутрішнього аудиту відповідно, які забезпечують виконання функцій, визначених цим Положенням щодо дотримання трьох ліній захисту під час управління операційним ризиком.

285. Банк розробляє та періодично переглядає політику, процедури, інструменти управління інформаційним ризиком не рідше одного разу на рік.

286. Політика управління інформаційним ризиком банку може бути складовою політики управління операційним ризиком або окремим документом та повинна обов'язково містити:

1) мету, завдання та принципи управління інформаційним ризиком;

2) цілі банку щодо інформаційного ризику;

3) уплив інформаційного ризику на досягнення цілей банку: стратегічних, операційних, цілей у сфері підготовки фінансової та статистичної звітності, дотримання законодавства України;

4) організаційну структуру процесу управління інформаційним ризиком з урахуванням розподілу функціонала учасників процесу відповідно до трьох ліній захисту, їх повноважень, відповідальності та порядку взаємодії;

5) порядок взаємодії між учасниками процесу управління інформаційним ризиком;

6) підходи банку до управління інформаційним ризиком.

287. Порядки та процедури управління інформаційним ризиком повинні обов'язково містити:

1) визначення та опис основних інструментів та індикаторів, що використовуються банком в управлінні інформаційним ризиком, та порядок їх використання;

2) методику оцінки інформаційного ризику;

3) правила визначення критеріїв значних подій інформаційного ризику, порядок їх класифікації (з урахуванням вимог цього Положення щодо класифікації подій операційного ризику), процедури їх оброблення, аналізу, дослідження, ескалації інформації та звітування керівництву банку;

4) порядок та процедури реагування на інформаційний ризик;

5) опис засобів контролю та порядок моніторингу інформаційного ризику;

6) порядок обміну інформацією між учасниками процесу управління інформаційним ризиком, уключаючи визначення видів, форм і строків подання управлінської звітності щодо інформаційного ризику.

288. Оцінка інформаційного ризику здійснюється банком за допомогою інструментів, визначених для оцінки операційного ризику із зазначеною для цих інструментів періодичністю, або за допомогою інших інструментів, визначених банком, не рідше одного разу на рік.

289. Банк створює та веде базу подій інформаційного ризику, здійснює аналіз накопиченої в ній інформації. Банк веде базу подій інформаційного ризику окремо від бази подій операційного ризику, але всі події інформаційного ризику, які підпадають під визначені банком критерії звітування, вносяться в базу подій операційного ризику з дотриманням установлених цим Положенням вимог.

290. Банк створює ефективні механізми управління модельним ризиком [ризиком невиконання або некоректного виконання задач моделями, які використовуються банком для оцінки (вимірювання) ризиків, оцінки фінансових інструментів, ціноутворення за продуктами], який є частиною системи управління операційним ризиком банку з урахуванням вимог цього Положення щодо використання моделей для оцінки (вимірювання) ризиків.

46. Виявлення та вимірювання операційного ризику

291. Банк з метою виявлення та вимірювання операційного ризику використовує такі інструменти:

1) аналіз результатів перевірок, здійснених підрозділом внутрішнього аудиту та зовнішнім аудитором;

2) створення та ведення бази внутрішніх подій операційного ризику та аналіз накопиченої в ній інформації.

Класифікація бізнес-ліній і подій, що призводять до втрат, визначені в додатках 7, 8 до цього Положення. Інформація щодо подій операційного ризику, що вноситься в базу внутрішніх подій операційного ризику, має, щонайменше, містити складові, наведені в додатках 7 - 9 до цього Положення.

Банк уносить операційні події в базу внутрішніх подій операційного ризику з урахуванням визначених банком критеріїв звітування;

3) ключові показники ризику (Key Risk Indicators - KRI).

KRI є кількісним показником, який динамічно змінюється в часі та відображає зміну характеру операційного ризику. KRI використовується банком для раннього виявлення негативних тенденцій/явищ, пов'язаних з підвищенням операційного ризику, що притаманні процесам.

Банк визначає перелік показників KRI, порядок їх розрахунку та граничні значення, які забезпечують своєчасне та найбільш повне виявлення факторів операційного ризику з метою застосування своєчасних заходів щодо управління ними.

Банк розраховує показники KRI з періодичністю не рідше ніж раз на три місяці. Приклади показників KRI наведені в додатку 10 до цього Положення;

4) самооцінка операційного ризику (Risk Self Assessments).

У рамках самооцінки операційного ризику уповноважені працівники банку не рідше ніж один раз на рік:

проводять аналіз бізнес-процесів банку з урахуванням інформації щодо можливих загроз і вразливостей та оцінюють можливі втрати від них;

оцінюють ризики бізнес-процесів банку (до впровадження або перегляду контролів), ефективність контрольного середовища (запроваджених контролів) та залишкові ризики (з урахуванням запроваджених або переглянутих контролів);

5) сценарний аналіз (Scenario Analysis).

Цей інструмент застосовується підрозділом з управління ризиками шляхом формування судження щодо визначення можливих подій операційного ризику та їх кількісної оцінки на підставі власної експертної думки, а також експертної думки представників підрозділів першої лінії захисту.

292. Банк, крім обов'язкових інструментів виявлення та вимірювання операційного ризику, має право використовувати такі додаткові інструменти:

1) створення та ведення бази зовнішніх подій операційного ризику та аналіз накопиченої в ній інформації (External Data Collection and Analysis).

Інформація щодо зовнішніх подій операційного ризику вноситься до бази підрозділом другого рівня захисту на підставі інформації з відкритих джерел, спеціалізованих баз даних або в рамках обміну інформацією між банками та має містити складові, аналогічні складовим бази внутрішніх подій операційного ризику;

2) вимірювання (Measurement).

Цей інструмент застосовується підрозділом з управління ризиками шляхом побудови математичної моделі оцінки можливих втрат від операційного ризику на підставі статистичних даних щодо подій операційного ризику;

3) аналіз карт процесів (Business Process Mapping).

Метою аналізу карт процесів є виявлення етапів процесів, видів діяльності та організаційних функцій, а також операційних ризиків, притаманних процесам. Під час аналізу карт процесів аналізуються властиві операційні ризики, їх взаємозв'язок з іншими ризиками, наявні контролі та їх недоліки.

4) порівняльний аналіз (Comparative Analysis).

Цей інструмент застосовується підрозділом з управління ризиками шляхом порівняння результатів застосування різних інструментів з метою об'єктивної оцінки (вимірювання) операційного ризику банку.

293. Банк забезпечує своєчасне виявлення значних подій операційного ризику та невідкладне повідомлення про такі події підрозділу з управління ризиками. Підрозділ з управління ризиками не пізніше наступного робочого дня з дня отримання ним повідомлення доводить до ради банку та правління банку інформацію про значну подію операційного ризику.

294. Банк затверджує порядок дослідження значних подій операційного ризику, який обов'язково включає:

1) критерії віднесення подій операційного ризику до значних;

2) процедуру створення робочої групи та порядок проведення нею досліджень, уключаючи визначення переліку її учасників;

3) процедуру ескалації результатів дослідження та затвердження заходів щодо мінімізації наслідків події та запобігання подібним подіям у майбутньому.

295. Банк має право розподіляти можливі події операційного ризику за такими категоріями:

1) події з низьким рівнем втрат та низькою ймовірністю настання;

2) події зі значним рівнем втрат та низькою ймовірністю настання;

3) події з низьким рівнем втрат з високою ймовірністю настання;

4) події зі значним рівнем втрат та високою ймовірністю настання.

296. Банк залежно від визначеної категорії операційного ризику має право використовувати такі методи управління операційним ризиком:

1) прийняття ризику, що передбачає продовження діяльності без змін у разі можливості понесення незначних втрат з низькою ймовірністю настання;

2) передавання ризику, що передбачає страхування, переважно, ризиків з потенційно значними втратами з низькою імовірністю настання або ризиків, які перебувають під обмеженим контролем банку;

3) пом'якшення ризику, що передбачає коригування певних процесів та впровадження додаткових контролів у разі понесення в їх результаті незначних втрат з високою імовірністю настання;

4) уникнення ризику, що передбачає припинення здійснення діяльності та/або закриття позицій, що призводять до значних втрат з високою ймовірністю настання.

297. Підрозділ з управління ризиками повинен мати достатню кількість кваліфікованих працівників для адекватної оцінки цього виду ризику.

47. Аутсорсинг

298. Банк визначає у внутрішньобанківських документах вимоги щодо співпраці з аутсорсерами для обмеження величини операційного ризику, що виникає внаслідок передавання визначених банком функцій третім особам на умовах аутсорсингу.

299. Порядок співпраці з аутсорсерами повинен обов'язково містити:

1) процедуру визначення функцій, що можуть передаватися на аутсорсинг, за винятком функцій щодо управління ризиками, які банк не має права передавати на аутсорсинг;

2) порядок визначення критеріїв прийнятності аутсорсерів;

3) процес передавання функцій на аутсорсинг та розторгнення договорів з аутсорсерами, уключаючи забезпечення конфіденційності даних;

4) процедуру управління ризиками, що пов'язані з передаванням функцій на аутсорсинг, уключаючи оцінку фінансового стану аутсорсерів;

5) засади ефективного контролю банком функцій, що передані в аутсорсинг;

6) порядок дій банку та аутсорсера в разі настання надзвичайних обставин;

7) вимоги до типового договору аутсорсингу з чітко викладеними умовами щодо управління ризиками;

8) порядок перевірки банком відповідності діяльності аутсорсера усім вимогам, установленим у пункті 299 глави 47 розділу VI цього Положення.

48. Безперервність діяльності

300. Банк розробляє методологію управління безперервною діяльністю, яка включає:

1) політику управління безперервною діяльністю;

2) процедуру аналізу впливу негативних факторів на процеси банку;

3) план забезпечення безперервної діяльності.

301. Політика управління безперервною діяльністю повинна обов'язково містити:

1) ключові цілі банку щодо забезпечення безперервної діяльності;

2) принципи та підходи банку щодо здійснення аналізу впливу негативних факторів на процеси банку;

3) принципи та підходи банку щодо розроблення та приведення в дію плану забезпечення безперервної діяльності;

4) принципи та підходи банку щодо моніторингу ефективності та вдосконалення плану забезпечення безперервної діяльності.

302. Процедура аналізу впливу негативних факторів на процеси банку включає визначення рівнів критичності процесів, інформаційних систем, інформаційних даних, інших ресурсів (працівники, приміщення, техніка) з урахуванням:

1) цільового часу на відновлення процесів та систем, що обслуговують цей процес, після збою/переривання діяльності (recovery time objective);

2) максимально допустимого проміжку часу, за який можлива втрата критичних даних банку в разі збою/відмови інформаційних систем (recovery point objective).

Цей аналіз повинен охоплювати всі процеси та підрозділи банку з урахуванням їх взаємозалежності.

Банк забезпечує послідовний та комплексний аналіз вразливості процесів та інформаційних систем банку до різних типів імовірних сценаріїв переривання діяльності. Банк здійснює кількісну та якісну оцінку ймовірного фінансового, операційного та репутаційного впливу сценаріїв на діяльність банку, використовуючи внутрішні та зовнішні дані.

Банк використовує результати аналізу впливу негативних факторів на процеси банку для встановлення цілей і пріоритетів під час розроблення плану забезпечення безперервної діяльності. Залишкові ризики переривання діяльності (після оцінки банком впливу застосування заходів, передбачених планом забезпечення безперервної діяльності) повинні перебувати в межах затвердженого банком ризик-апетиту.

303. Банк розробляє план забезпечення безперервної діяльності, який уключає:

1) стратегічні цілі та пріоритети банку щодо забезпечення безперервної діяльності в розрізі процесів банку;

2) процедури та заходи реагування на інциденти порушення безперервності діяльності;

3) заходи у разі порушення безперервної діяльності щодо внутрішніх комунікацій, а також зовнішніх комунікацій банку з клієнтами, контрагентами банку, Національним банком, іншими регуляторними, контролюючими органами та органами державної влади;

4) заходи відновлення діяльності для критичних процесів банку;

5) заходи відновлення інформаційних систем після збоїв.

304. Банк не рідше одного разу на рік здійснює аналіз впливу негативних факторів на процеси банку, оцінку ризиків та переглядає план забезпечення безперервної діяльності для того, щоб пересвідчитися, що він відповідає поточному профілю діяльності банку, ураховує наявні ризики та загрози, а також охоплює всі види діяльності, процеси та інформаційні системи щодо управління ризиками.

305. Банк не рідше одного разу на два роки проводить навчання працівників щодо організації та впровадження плану забезпечення безперервної діяльності.

306. Банк не рідше одного разу на рік проводить поетапне тестування плану забезпечення безперервної діяльності з метою забезпечення належної впевненості та контролю за реалізацією заходів, передбачених у плані, забезпечить досягнення мети безперервної діяльності банку. За потреби банк долучає до участі в тестуванні відновлення та забезпечення безперервної діяльності ключових постачальників послуг.

307. Банк документує всі суттєві відхилення та помилки, виявлені за результатами тестування плану забезпечення безперервної діяльності, та забезпечує розроблення, затвердження та впровадження коригуючих заходів.

308. Банк забезпечує захищене зберігання всієї необхідної документації щодо плану забезпечення безперервної діяльності. Банк забезпечує безперешкодний доступ до цієї документації працівникам банку, відповідальним за його виконання, у разі настання надзвичайних ситуацій.

49. Стрес-тестування операційного ризику

309. Банк здійснює на регулярній основі стрес-тестування операційного ризику для різних короткострокових і довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливих втрат внаслідок реалізації операційного ризику та оцінки відповідності результатів здійснення стрес-тестування встановленому рівню ризик-апетиту до операційного ризику.

Результатом здійснення стрес-тестування операційного ризику має бути величина можливих втрат.

310. Банк під час здійснення стрес-тестування використовує, щонайменше, один з таких методів:

1) сценарний аналіз;

2) математичне моделювання.

311. Банк проводить сценарний аналіз, базуючись на судженнях працівників підрозділів першої лінії захисту та працівників підрозділу з управління ризиками щодо:

1) імовірного збільшення частоти (кількості) подій та/або обсягу операційних збитків порівняно зі статистикою, що міститься в базі внутрішніх подій операційного ризику;

2) виникнення нових подій операційного ризику внаслідок впровадження нових або внесення значних змін у діючі процеси;

3) виникнення подій операційного ризику зі значним рівнем втрат та низькою імовірністю настання.

312. Банк здійснює стрес-тестування операційного ризику з використанням математичних моделей у разі наявності статистики, достатньої для їх побудови.

50. Звітування щодо операційного ризику

313. Підрозділ з управління ризиками подає звіти щодо оцінки операційного ризику раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку, комітету з управління операційним ризиком (у разі його наявності) - не рідше одного разу на місяць.

314. Підрозділ з управління ризиками не пізніше наступного робочого дня після виявлення ризику інформує раду банку, комітет з управління ризиками, правління банку, комітет з управління операційним ризиком (у разі його наявності) про значне підвищення операційних ризиків з метою прийняття своєчасних та адекватних управлінських рішень.

315. Банк розробляє управлінську звітність щодо операційного ризику, яка повинна обов'язково включати звіти щодо:

1) узагальнених даних подій операційного ризику, накопичених у базі внутрішніх подій операційного ризику, аналіз їх динаміки у порівнянні з попередніми періодами;

2) значних подій операційного ризику, результатів дослідження їх причин та заходів щодо запобігання таким подіям у майбутньому;

3) значних зовнішніх подій операційного ризику та їх потенційних наслідків для банку;

4) переліку та значень показників KRI, їх динаміки порівняно з попередніми періодами та відповідно до встановлених граничних значень;

5) результатів самооцінки операційного ризику та результатів застосування інших інструментів оцінки операційного ризику, якщо вони використовуються банком;

6) результатів здійснення стрес-тестування операційного ризику.

VII. Управління комплаєнс-ризиком

51. Загальні підходи до управління комплаєнс-ризиком

316. Банк створює ефективну систему управління комплаєнс-ризиком, що має бути повністю інтегрована в загальну систему управління ризиками банку.

317. Банк, що веде діяльність в різних країнах, створює систему управління комплаєнс-ризиком, що забезпечує дотримання законодавства в кожній з них.

52. Політика та процедури управління комплаєнс-ризиком

318. Банк розробляє та періодично (не рідше одного разу на рік) переглядає політику, порядок та процедури управління комплаєнс-ризиком.

319. Політика управління комплаєнс-ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління комплаєнс-ризиком;

2) організаційну структуру процесу управління комплаєнс-ризиком з урахуванням розподілу функціонала учасників процесу, їх повноваження, відповідальність та порядок взаємодії;

3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику;

4) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо комплаєнс-ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

320. Порядок та процедури управління комплаєнс-ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику, уключаючи інструменти/індикатори, що використовуються;

2) процедури та процеси забезпечення відповідності діяльності банку вимогам законодавства, уключаючи законодавство у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення та внутрішньобанківських документів під час діяльності банку;

3) процедуру забезпечення контролю за достовірністю фінансової та статистичної звітності;

4) процедуру навчання працівників банку з метою забезпечення їх обізнаності з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс) законодавства України та внутрішньобанківських документів;

5) чітке розмежування функцій управління комплаєнс-ризиком та операційним ризиком із метою уникнення їх дублювання та механізм співпраці між працівниками, які виконують функції управління цими ризиками;

6) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, уключаючи види, форми і терміни подання інформації.

321. Банк забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом'якшення.

322. Банк із метою виявлення та вимірювання комплаєнс-ризику використовує інформацію:

1) від працівників банку в рамках механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку;

2) із бази внутрішніх подій операційного ризику;

3) зі скарг клієнтів;

4) із особистого звернення працівників банку чи третіх осіб до підрозділу з контролю за дотриманням норм (комплаєнс);

5) зі звітів підрозділу внутрішнього аудиту та перевірок зовнішніх аудиторів;

6) від регуляторних та контролюючих органів (результати інспекційних перевірок Національним банком, накладені штрафи, встановлені порушення законодавства України);

7) інших джерел інформації, отриманих працівниками підрозділу контролю за дотриманням норм (комплаєнс) під час своєї діяльності.

53. Звітування щодо комплаєнс-ризику

323. Підрозділ контролю за дотриманням норм (комплаєнс) подає звіти щодо оцінки комплаєнс-ризику раді банку, комітету з управління ризиками та правлінню банку не рідше одного разу на квартал.

324. Банк розробляє управлінську звітність щодо комплаєнс-ризику, яка повинна обов'язково включати звіти щодо:

1) продуктів, видів діяльності, процесів, що піддають банк значному комплаєнс-ризику та впливають на банк у разі його реалізації, а також пропозицій щодо уникнення чи пом'якшення цього ризику;

2) випадків порушень вимог законодавства України [податкового законодавства, законодавства про захист прав споживачів, трудового, антимонопольного законодавства, законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, інших законів, нормативно-правових актів Національного банку] та внутрішньобанківських документів під час діяльності банку, а також застосованих санкцій до банку або інших негативних наслідків у результаті таких порушень;

3) випадків порушень працівниками банку кодексу поведінки (етики), результатів дослідження їх причин та заходів щодо запобігання таким подіям надалі;

4) випадків формування недостовірної звітності для регуляторних і контролюючих органів, а також застосованих до банку санкцій;

5) значних змін у законодавстві та їх потенційних наслідків для банку;

6) зовнішньої інформації щодо комплаєнс-ризику (штрафи, накладені на інші банки, події, що призвели до погіршення репутації інших банків) та їх потенційних наслідків для банку;

7) випадків конфлікту інтересів;

8) проведених навчань працівників банку з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс).

Директор Департаменту
методології

Н.В. Іваненко

ПОГОДЖЕНО:

Заступник Голови Національного
банку України

К.В. Рожкова

Додаток 1

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 12 глави 2 розділу I)

КАРТА

ризиків торгової та банківської книг

№ з/п	Види ризиків	Торгова книга	Банківська книга
1	2	3	4
1	1. Кредитний ризик
2	Ризик країни	Ні*	Так
3	Трансфертний ризик	Ні*	Так
4	Ризик контрагента	Ні*	Так
5	Ризик інвестицій у дочірні компанії	Ні	Так
6	2. Ризик ліквідності	Так	Так
7	3. Процентний ризик банківської книги
8	Ризик розривів	Ні	Так
9	Базисний ризик	Ні	Так
10	Ризик опціонності	Ні	Так
11	4. Ринковий ризик
12	Процентний ризик торгової книги	Так	Ні
13	Ризик кредитного спреду	Так	Ні
14	Фондовий ризик	Так	Ні
15	Валютний ризик	Так	Так
16	Товарний ризик	Так	Так
17	Ризик волатильності	Так	Так
18	Ризик дефолту	Так	Ні

__________

* Оцінюється як складова ризику дефолту.

Додаток 2

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 29 глави 4 розділу I)

ПЕРЕЛІК

внутрішньобанківських документів з питань управління ризиками

№ з/п	Назва документа	Рада банку	Комітет з управління ризиками	Правління банку	Підрозділ з управління ризиками	Підрозділ контролю за дотриманням норм (комплаєнс)
1	2	3	4	5	6	7
1	Організаційна структура системи управління ризиками	Затверджує	Розробляє	Бере участь у розробленні	Бере участь у розробленні	Бере участь у розробленні
2	Декларація схильності до ризиків	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Розробляє	Бере участь у розробленні
3	Стратегія управління ризиками	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Розробляє	Бере участь у розробленні
4	Фінансове забезпечення (бюджет) підрозділів із управління ризиками та контролю за дотриманням норм (комплаєнс)	Затверджує	Розробляє		Бере участь у розробленні	Бере участь у розробленні
5	Кредитна політика	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
6	Політики управління ризиками	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Розробляє	Бере участь у розробленні
7	Політика запровадження нових продуктів та значних змін у діяльності банку	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
8	Процедури запровадження нових продуктів та значних змін в діяльності банку			Забезпечує розроблення та затверджує	Бере участь у розробленні	Бере участь у розробленні
9	Процедура ескалації порушень лімітів ризиків	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
10	Порядок, форми, наповнення та періодичність надання звітів суб'єктам системи управління ризиками	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
11	Методика виявлення суттєвих ризиків	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
12	Стратегія НПА та оперативний план	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
13	Порядки та процедури управління ризиками			Забезпечує розроблення та затверджує	Бере участь у розробленні	Бере участь у розробленні
14	Процедура виявлення та управління НПА			Забезпечує розроблення та затверджує	Бере участь у розробленні	Бере участь у розробленні
15	Припущення, інструменти та моделі, що використовуються для вимірювання ризику			Забезпечує розроблення та затверджує	Бере участь у розробленні	Бере участь у розробленні
16	План відновлення діяльності (Recovery Plan)	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
17	План забезпечення безперервної діяльності (ВСР - Business Continuity Plan)	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
18	План фінансування в кризових ситуаціях (CFP-Contingency Funding Plan)	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
19	Програма фінансування	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні
20	Порядок здійснення операцій із пов'язаними з банком особами	Затверджує	Бере участь у розробленні	Забезпечує розроблення	Бере участь у розробленні	Бере участь у розробленні
21	Кодекс поведінки (етики)	Затверджує	Бере участь у розробленні	Забезпечує розроблення		Бере участь у розробленні
22	Політика запобігання конфліктам інтересів, уключаючи процедуру забезпечення дотримання норм щодо упровадження такої політики	Затверджує	Бере участь у розробленні	Забезпечує розроблення		Бере участь у розробленні
23	Механізм конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку (whistleblowi ng policy mechanism)	Затверджує	Забезпечує розроблення	Бере участь у розробленні		Бере участь у розробленні
24	Порядок дослідження порушень у діяльності банку		Бере участь у розробленні	Забезпечує розроблення та затверджує		Бере участь у розробленні
25	Програма проведення стрес-тестування			Забезпечує розроблення та затверджує	Бере участь у розробленні
26	Програма навчання та підвищення кваліфікації працівників банку з питань управління ризиками			Забезпечує розроблення та затверджує	Бере участь у розробленні	Бере участь у розробленні

Додаток 3

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 200 глави 26 розділу III)

ЧАСОВІ ІНТЕРВАЛИ,

за якими банк здійснює GAP-аналіз ризику ліквідності та процентного ризику банківської книги

1. Часовими інтервалами, за якими банк здійснює GAP-аналіз ризику ліквідності та процентного ризику банківської книги, є:

1) на вимогу;

2) овернайт;

3) від 2 до 7 днів;

4) від 8 до 14 днів;

5) від 15 до 21 дня;

6) від 21 до 31 дня;

7) від 32 до 62 днів;

8) від 63 до 92 днів;

9) від 93 до 183 днів;

10) від 184 до 274 днів;

11) від 275 до 365 (366) днів;

12) від 366 (367) до 730 (731) днів (дня);

13) від 2 до 3 років;

14) від 3 до 5 років;

15) більше 5 років;

16) не визначений.

Додаток 4

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 216 глави 31 розділу III)

ІНДИКАТОРИ

раннього виявлення кризи ліквідності

1. Індикаторами раннього виявлення кризи ліквідності, які банк застосовує у своїх процедурах можуть бути:

1) для специфічної кризи:

порушення або ризик порушення вимог нормативно-правових актів Національного банку щодо нормативів ліквідності;

порушення або ризик порушення внутрішніх лімітів ліквідності;

значне зростання концентрації активів та/або зобов'язань;

значне зменшення обсягу клієнтських коштів або зростання волатильності джерел фінансування;

стрімке зростання активів за рахунок потенційно волатильних зобов'язань;

зменшення середньозваженого строку зобов'язань;

збільшення середньозваженого строку активів;

значне зростання обсягу НПА;

поширення в засобах масової інформації негативної інформації щодо банку, що може призвести до відпливу клієнтських коштів або погіршення платіжної дисципліни боржників;

зниження зовнішнього кредитного рейтингу банку;

виникнення перешкод для оперативного залучення коштів у разі дефіциту ліквідності [закриття або значне зниження значень лімітів на банк як внутрішньо групових, так і від інших учасників ринку - банків, небанківських фінансових установ та значних клієнтів - юридичних осіб (крім банків); необхідність надання додаткової застави за договорами з залучення коштів];

2) для загально ринкової кризи:

значне падіння обсягу ліквідності банківської системи;

значне зростання вартості ресурсів, що залучатимуться від банків/клієнтів (індекси UIIR, UIRD);

падіння загального обсягу коштів клієнтів у банківській системі;

військові конфлікти, техногенні та природні катастрофи регіонального та національного масштабу, масові заворушення, що можуть призвести до паніки клієнтів та зниження обсягу їх коштів у банківській системі або погіршення платіжної дисципліни боржників.

Додаток 5

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 246 глави 36 розділу IV)

ЕТАПИ

проведення GAP-аналізу як інструменту вимірювання величини процентного ризику банківської книги

1. Обов'язковими етапами проведення GAP-аналізу як інструменту вимірювання величини процентного ризику банківської книги є:

1) розподіл усіх чутливих до процентного ризику банківської книги активів, зобов'язань та позабалансових позицій банку за визначеними наперед часовими інтервалами згідно з додатком 3 до Положення про організацію системи управління ризиками в банках України та банківських групах:

за датою погашення - для інструментів із фіксованою процентною ставкою;

за датою наступної зміни величини індексу - для інструментів із плаваючою процентною ставкою;

за затвердженими припущеннями - для інструментів, що не мають контрактних строків (поточні рахунки, карткові рахунки);

із урахуванням впливу вбудованих опціонів - для інструментів, що мають вбудовані опціони;

2) визначення обсягу невідповідності між активами та зобов'язаннями банку, чутливими до процентного ризику банківської книги, в кожному часовому інтервалі за результатами розподілу;

3) обчислення добутку обсягу невідповідності та величини зміни процентних ставок за кожним часовим інтервалом в межах наступних 12 місяців;

4) приведення до річного виміру шляхом обчислення добутку кожної суми, отриманої на попередньому етапі, та різниці між повним роком і середнім строком у роках за кожним часовим інтервалом та додання обчислених добутків. Середній строк у роках за кожним часовим інтервалом визначається як відношення різниці між максимальною і мінімальною кількістю днів у відповідному часовому інтервалі до 365 (366) днів. Для часових інтервалів "на вимогу" та "овернайт" середній строк - один рік.

2. Результатом GAP-аналізу є кількісна оцінка можливої зміни чистого процентного доходу банку протягом наступних 12 місяців в результаті зміни процентних ставок відповідно до обраного сценарію.

Додаток 6

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 246 глави 36 розділу IV)

ЕТАПИ

застосування методу модифікованої дюрації як інструменту вимірювання величини процентного ризику банківської книги

1. Обов'язковими етапами застосування методу модифікованої дюрації як інструменту вимірювання величини процентного ризику банківської книги є:

2) розрахунок модифікованої дюраціі для кожного часового інтервалу (за активами у разі позитивного значення невідповідності та пасивами в разі негативного значення невідповідності);

3) визначення модифікованої дюрації капіталу, що здійснюється шляхом розрахунку середньозваженої дюрації за всіма часовими інтервалами (дюрація за активами враховується зі знаком "+", за пасивами - зі знаком "-"). Абсолютна величина зміни капіталу банку (PV01) розраховується шляхом множення модифікованої дюрації капіталу на його величину та діленням результату на 10000. Для розрахунку можливої зміни економічної вартості капіталу при зміні процентних ставок повинні бути використані показники модифікованої дюрації, величина зміни процентних ставок та показник опуклості, що підвищує точність розрахунку для змін процентних ставок, що перевищують 100 базисних пункти.

2. Результатом використання методу модифікованої дюрації є кількісна оцінка можливої зміни економічної вартості капіталу в результаті зміни процентних ставок у відповідності до обраного сценарію.

Додаток 7

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 291 глави 46 розділу VI)

КЛАСИФІКАЦІЯ

бізнес-ліній

№ з/п	Рівень 1	Рівень 2	Рівень 3 (групування за видами діяльності)
1	2	3	4
1	Корпоративне фінансування	Корпоративне фінансування; фінансування органів державної влади та місцевого самоврядування; торгові операції; консультаційні послуги	Злиття та поглинання, андерайтинг, сек'юритизація, дослідження, розміщення державних цінних паперів та інших цінних паперів, участь у капіталі підприємств, консорціумне кредитування, публічне та приватне розміщення цінних паперів на первинному ринку та вторинному ринку
2	Торгівля та продаж	Продаж; маркет-мейкінг; торгові операції банку для власних потреб; казначейські операції	Цінні папери з фіксованим прибутком, іноземна валюта, акції та інші цінні папери з нефіксованим прибутком, міжбанківське кредитування, операції репо, боргові зобов'язання банку, брокерські послуги, власні позиції щодо цінних паперів, залучення фінансування (фондування)
3	Роздрібний бізнес	Роздрібний бізнес; обслуговування VIP-клієнтів - фізичних осіб; операції з використанням електронних платіжних засобів	Роздрібне кредитування, залучення депозитів, інші банківські послуги, операції з довірчого управління активами; кредитування, залучення депозитів, інші банківські послуги, операції з довірчого управління активами, консультування у сфері інвестицій; розрахункові та інші операції із використанням електронних платіжних засобів
4	Корпоративний бізнес	Корпоративний бізнес	Кредитування, проектне фінансування, операції з нерухомістю, експортне фінансування, торгове фінансування, факторинг, лізинг, вексельні операції, гарантійні операції, залучення депозитів
5	Платежі та розрахунки*	Зовнішні клієнти	Виконання та отримання переказів, кліринг та платежі
6	Агентські послуги	Послуги зберігача; агентські послуги корпоративному бізнесу; агентські послуги корпоративному бізнесу з довірчого управління	Рахунки для депонування коштів, цінних паперів; депозитарні розписки; кредитування цінними паперами; агентські послуги на здійснення платежів за цінними паперами
7	Управління активами	Управління інститутами спільного інвестування на власний розсуд; управління інститутами спільного інвестування за рішенням клієнтів	Корпоративні інвестиційні фонди, венчурні фонди, пайові інвестиційні фонди
8	Брокерські послуги роздрібним клієнтам	Брокерські послуги роздрібним клієнтам	Проведення операцій з цінними паперами роздрібних клієнтів за їх дорученням
9	Операції банку для власних потреб	Операції банку для власних потреб	Операції, що виконуються з метою забезпечення діяльності банку (здійснення господарських операцій, бухгалтерського обліку, складання фінансової звітності)

__________

* До бізнес-лінії належать послуги банку із забезпечення проведення платежів та взаєморозрахунків для інших контрагентів-юридичних осіб. Збитки від платіжних (розрахункових) операцій, пов'язані із власною діяльністю банку, мають бути віднесені до інших відповідних бізнес-ліній.

Додаток 8

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 291 глави 46 розділу VI)

КЛАСИФІКАЦІЯ

подій, що призводять до втрат

№ з/п	Тип події 1-го рівня	Визначення	Тип події 2-го рівня	Приклади
1	2	3	4	5
1	Внутрішнє шахрайство	Втрати внаслідок шахрайських дій, незаконного привласнення майна або навмисного порушення норм законодавства України або внутрішньо-банківських документів, здійснених працівниками банку	Несанкціонована діяльність	Операції, що не відображені у звітності (навмисно); недозволені операції, що призвели до втрат; неналежна переоцінка позицій (навмисна)
2	Внутрішнє шахрайство		Шахрайство та викрадення	Шахрайство під час надання кредитів, оформлення депозитів без внесення коштів на рахунок; крадіжка, вимагання, грабіж; привласнення активів; умисне знищення активів; заволодіння коштами за підробленими документами, чеками; контрабанда; привласнення чужих рахунків/неправомірне використання рахунків; навмисне порушення податкового законодавства; хабарі/підкуп; використання інсайдерської інформації для власного збагачення не за рахунок банку
3	Зовнішнє шахрайство	Втрати внаслідок шахрайських дій, незаконного привласнення майна або навмисного порушення норм законодавства України або внутрішньо-банківських документів, здійснених іншими особами	Шахрайство та викрадення	Крадіжка, грабіж; шахрайство, підробка; погрози на адресу працівників банку, вимагання; підробка документів, чеків для заволодіння коштами; заволодіння коштами за підробленими документами, чеками; неправдиве повідомлення про замінування приміщень банку
4	Зовнішнє шахрайство		Порушення безпеки інформаційних систем	Вторгнення та атаки на інформаційні системи банку; поширення шкідливого програмного забезпечення; крадіжка інформації з банку, що призвело до втрат
5	Управління персоналом та охорона праці	Втрати внаслідок дій, що не відповідають законодавству в сфері охорони праці (виплати персоналу у зв'язку з виробничими травмами, втратою здоров'я та фактами дискримінаційних обмежень)	Неналежні трудові відносини з персоналом	Порушення трудового законодавства (тривалість робочого дня, суперечки з приводу заробітної плати, компенсації у разі звільнення, інші трудові спори); спори з профспілками
6			Неналежна безпека робочого середовища	Випадки травмування осіб, які не є працівниками банку, через неналежні умови в приміщеннях банку або дії працівників банку; виробничі травми працівників банку, порушення вимог законодавства з питань охорони праці
7			Дискримінація	Усі види дискримінації
8	Клієнти, продукти та норми ділової практики	Втрати внаслідок неумисного або недбалого ставлення до професійних обов'язків перед клієнтами (уключаючи неналежну якість рекомендацій) або в результаті недосконалості продуктів банку	Неналежне надання рекомендацій клієнтам, порушення вимог до розкриття інформації, порушення фідуціарних обов'язків	Порушення фідуціарних обов'язків/порушення інструкцій, отриманих від клієнтів; надання неналежних рекомендацій щодо операцій із цінними паперами та іншими фінансовими інструментами/порушення щодо розкриття інформації; надання неповної інформації або ненадання інформації споживачам фінансових послуг; порушення вимог щодо нерозголошення даних про клієнтів; практика нав'язування продуктів і послуг клієнтам банку; неправомірне стягування комісій; неналежне використання конфіденційної інформації
9			Неналежні норми ведення діяльності	Порушення антимонопольного законодавства; неналежні норми проведення торгових операцій; маніпулювання ринком; операції з використанням інсайдерської інформації; здійснення операцій, якщо немає ліцензії; легалізація (відмивання) доходів, одержаних злочинним шляхом
10			Недоліки продуктів	Недоліки продуктів; помилки в моделях, що використовуються для ціноутворення за продуктами
11			Встановлення відносин із клієнтом, спонсорство, ризики	Невиконання вимог щодо ідентифікації та перевірки клієнта; перевищення значень лімітів ризику на одного клієнта
12			Консультаційні послуги	Претензійні вимоги клієнтів щодо отриманих консультаційних послуг
13	Пошкодження або знищення активів	Втрати внаслідок пошкодження або знищення активів через природну катастрофу або інші події	Стихійні лиха, техногенні катастрофи, результати військових конфліктів, терористичні акти	Природні стихійні лиха; надзвичайні ситуації, викликані діяльністю людини (техногенні катастрофи, результати військових конфліктів, терористичні акти, вандалізм)
14	Унеможливлення діяльності та функціонування систем	Втрати внаслідок збоїв, порушень у роботі систем підтримки діяльності	Збої, порушення роботи систем	Збої в роботі програмного, апаратного забезпечення, технічних засобів, телекомунікаційних систем та інших систем інженерної інфраструктури; неузгодження, помилкове трактування сторонами умов виконання операцій
15	Виконання переказів, надання платіжних доручень у здійсненні переказів та управління процесами	Втрати внаслідок розладу, збоїв під час оброблення транзакцій банком або неналежного виконання контрагентами та постачальниками банку своїх зобов'язань	Збої в підготовці та виконанні операцій	Помилки під час уведення та зберігання даних; порушення строків виконання або невиконання операцій; неналежне застосування моделей/систем; бухгалтерські помилки/помилки щодо віднесення контрагента до певної групи; неналежне виконання інших завдань; проблеми з відправленням платіжних документів; помилки в роботі із заставою; проблеми щодо підтримки в належному стані довідкових даних в інформаційних системах банку
16			Неналежний моніторинг та звітування	Невиконання зобов'язань щодо подання регуляторної звітності до Національного банку та інших регуляторних органів; помилки у зовнішній звітності до Національного банку та інших регуляторних органів, що призвели до втрат
17			Помилки в залученні клієнтів та створенні належної документації	Немає дозволів та погоджень від клієнтів щодо обробки персональних даних; немає або неповна документація щодо клієнтів
18			Неналежне управління рахунками клієнтів	Неавторизований доступ до рахунків; неналежна документація щодо клієнтів, що призвела до втрат; втрати або пошкодження активів клієнтів через неналежні дії банку
19			Проблеми з торговими партнерами	Неналежні дії контрагентів, що не є клієнтами банку; конфлікти з контрагентами, що не є клієнтами банку
20			Проблеми з постачальниками (включаючи аутсорсинг)	Конфлікти з аутсорсинговими компаніями; конфлікти з постачальниками технічних та технологічних послуг

Додаток 9

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 291 глави 46 розділу VI)

ДАНІ

щодо інформації про події операційного ризику

1. Інформація щодо подій операційного ризику, яку банк уносить до бази внутрішніх подій операційного ризику, містить:

1) дату виникнення події;

2) дату виявлення події;

3) дату реєстрації події;

4) дату обліку ефекту від події (не пізніше ніж перша дата обліку збитку від події на рахунках витрат);

5) підрозділ, у якому сталася подія;

6) підрозділ, який виявив подію;

7) підрозділ, який відповідальний за дослідження події;

8) бізнес-лінію, у якій сталася подія, щонайменше 1-го рівня, згідно з класифікацією, наведеною в додатку 7 до Положення про організацію системи управління ризиками в банках України та банківських групах;

9) тип події, щонайменше 2-го рівня, згідно з класифікацією, наведеною у додатку 8 до Положення про організацію системи управління ризиками в банках України та банківських групах;

10) опис події;

11) причину події (за внутрішньобанківською типологією причин/класифікатором факторів ризику);

12) суму економічного ефекту події в гривневому еквіваленті;

13) вид економічного ефекту події, що обов'язково включає:

збитки (витрати), уключаючи прямі витрати та резерви, створені під потенційні операційні збитки, з них окремо - нереалізовані збитки (тимчасово обліковані на транзитних рахунках, рахунках дебіторської заборгованості);

компенсації (відшкодування) збитків та окремо від страхування та інших компенсацій (відшкодування) збитків або коригування суми резервів;

потенційні збитки (не відображені на балансових рахунках);

14) вид крос-операційного ризику, з яким пов'язана подія, окремо - кредитний ризик і ринковий ризик;

15) ідентифікатор (параметр) групи пов'язаних подій;

16) статус події (відкрита, закрита).

Додаток 10

до Положення про організацію

системи управління ризиками

в банках України та банківських групах

(пункт 291 глави 46 розділу VI)

ПРИКЛАДИ

показників KRI

1. Показники KRI:

1) плинність персоналу банку;

2) обсяг сплачених штрафів у відсотках до операційного доходу;

3) відсоток виданих кредитів з ознаками внутрішнього та зовнішнього шахрайства щодо загальної кількості виданих кредитів;

4) тривалість обмеженого функціонування працездатності систем банку через технічний або технологічний збій, знеструмлення у відсотках щодо загального часу їх роботи;

5) відсоток платіжних документів, що були відхилені під час кожного з видів контролю, до загальної кількості опрацьованих документів;

6) відсоток договорів, що укладені з порушенням установлених лімітів щодо загальної кількості договорів;

7) відсоток скомпрометованих платіжних карт щодо загальної кількості емітованих карт;

8) кількість випадків спрацювання систем сигналізації на об'єктах банку.

Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

Усі документи

Головні новини

Головне за тиждень

Перевір свого контрагента:

Зараз коментують