Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

вартості під ризиком (VaR);

очікуваних втрат (Expected Shortfall, ES).

Банк у разі використання методу модифікованої дюрації дотримується такої послідовності розрахунку:

визначає модифіковану дюрацію кожного з боргових інструментів у торговій книзі банку;

визначає показник опуклості (convexity) за кожним із видів боргових інструментів;

визначає величину зміни дохідності до погашення інструментів.

Банк самостійно визначає припущення щодо зміни процентної ставки на підставі як власного досвіду, так і статистики зміни процентних ставок на українському та світовому ринках (у випадках, коли це є релевантним). Банк застосовує можливу величину зміни процентних ставок, яка складає не менше ніж:

для гривні та валют 2 та 3 групи Класифікатора - 500 базисних пунктів для цінних паперів із дюрацією не більше ніж шість місяців та 400 базисних пунктів для цінних паперів із більшою дюрацією;

для валют 1 групи Класифікатора - 300 базисних пунктів для цінних паперів із дюрацією не більше ніж шість місяців та 200 базисних пунктів для цінних паперів із більшою дюрацією;

розраховує розмір процентного ризику торгової книги за кожним з боргових інструментів;

розраховує загальний розмір процентного ризику торгової книги з урахуванням кореляції між можливою зміною доходності до погашення різних боргових інструментів у торговій книзі банку;

3) для ризику волатильності, фондового, валютного та товарного ризиків - метод вартості під ризиком (VaR) або метод очікуваних втрат (Expected Shortfall, ES).

Банк самостійно обирає підхід до оцінки VaR або ES: історичне моделювання, параметрична модель, сценарне моделювання за методом Монте-Карло, ARCH і GARCH-моделі.

Банк має право обрати інший підхід до оцінки VaR або ES, забезпечуючи дотримання таких мінімальних кількісних характеристик:

довірча ймовірність - не нижче ніж 99 % для VaR та 97,5% для ES;

глибина статистичної вибірки - не менше ніж 250 спостережень за період, не менший ніж один календарний рік.

Банк для вимірювання ризику волатильності використовує метод веги, який вимірює чутливість вартості опціону до волатильності базової змінної.

270. Банк здійснює не рідше одного разу на квартал стрес-тестування ринкових ризиків для різних короткострокових та довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливих збитків через реалізацію ринкових ризиків та оцінки співставності результатів здійснення стрес-тестування та встановленого рівня ризик-апетиту до ринкового ризику.

Результатом здійснення стрес-тестування ринкових ризиків має бути величина можливих збитків у разі реалізації стрес-сценаріїв.

271. Банк ґрунтує стрес-сценарії на:

1) статистиці українського та світового ринку щодо зміни в кризових умовах:

процентних ставок;

курсів іноземних валют;

вартості акцій та інших цінних паперів з нефіксованим прибутком;

вартості товарів, уключаючи дорогоцінні метали;

волатильності ринкових цін, процентних ставок, ринкових індексів і валютних курсів;

2) припущеннях банку щодо сценарію, який він визначає як найбільш несприятливий, на основі характеристик портфеля інструментів, що наражають його на ринкові ризики. Ці припущення повинні бути консервативнішими порівняно з тими, що базуються на статистиці.

272. Головний ризик-менеджер подає звіти щодо оцінки ринкових ризиків раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку та комітету з управління активами і пасивами - не рідше одного разу на місяць.

273. Головний ризик-менеджер/підрозділ з управління ризиками в разі значного підвищення ринкових ризиків (наближення фактичних показників ринкових ризиків до встановлених значень лімітів або порушення/потенційного порушення лімітів) не пізніше наступного робочого дня інформує про це раду банку, комітет з управління ризиками, правління банку та комітет з управління активами і пасивами. Інформація про причини таких порушень та пропозиції щодо заходів для усунення порушень надаються з урахуванням вимог пункту 93 глави 12 розділу І цього Положення.

274. Банк розробляє управлінську звітність щодо ринкових ризиків, яка повинна обов'язково включати звіти щодо:

1) величини ринкових ризиків та кожного з їх видів з описовою частиною, що визначає активи, зобов'язання, позабалансові позиції, грошові потоки та продукти, що є головними з точки зору схильності до ринкових ризиків;

2) порушень банком установлених лімітів ринкових ризиків та авторизованих перевищень лімітів;

3) результатів здійснення стрес-тестування ринкових ризиків.

275. Банк створює ефективну систему управління операційним ризиком, що має повністю інтегруватися в загальну систему управління ризиками банку.

276. Банк оцінює операційний ризик з урахуванням його взаємозв'язку та впливу на інші ризики, що притаманні діяльності банку.

277. Банк самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику. Такий перелік повинен обов'язково включати показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців.

278. Банк розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядки управління операційним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту до цього ризику.

279. Політика управління операційним ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління операційним ризиком;

2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціонала відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;

3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику;

4) критеріїв визначення значних подій операційного ризику, порядок їх дослідження та ескалації інформації щодо таких подій керівникам банку;

5) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);

6) підходи щодо здійснення стрес-тестування операційного ризику;

7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо операційного ризику, порядок і періодичність/терміни їх надання суб'єктам системи управління ризиками;

8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв.

280. Порядок та процедури управління операційним ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику, уключаючи інструменти/індикатори, що використовуються;

1--1) процедури контролю за повнотою та якістю даних про події операційного ризику, уключаючи інструменти, що використовуються для такого контролю;

2) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-лініями;

3) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов'язаних із кредитним ризиком;

4) критерії визначення груп пов'язаних операційних подій;

5) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;

6) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;

7) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком з метою уникнення їх дублювання;

8) порядок обміну інформацією між учасниками процесу управління операційним ризиком, уключаючи види, форми і терміни подання інформації;

9) програма проведення стрес-тестування операційного ризику;

10) порядок складання та перевірки достовірності статистичної звітності щодо операційного ризику, що подається до Національного банку.

280--1. Банк розробляє та впроваджує процедури контролю за повнотою та якістю даних про події операційного ризику банку, що передбачають:

1) розподіл обов'язків та відповідальності між підрозділами банку щодо контролю за повнотою та якістю даних про події операційного ризику банку під час їх збору, унесення до бази внутрішніх подій операційного ризику та подальшої перевірки;

2) заходи поточного (під час збору та внесення даних до бази внутрішніх подій операційного ризику) та подальшого контролю за повнотою та якістю даних про події операційного ризику, уключаючи автоматизовані та/або ручні перевірки щодо відсутності помилок та суперечливості даних, відповідності обліковим, фінансовим, статистичним даним та даним управлінської звітності банку.

281. Банк забезпечує управління операційним ризиком, дотримуючись моделі трьох ліній захисту:

1) на першій лінії захисту перебувають бізнес-підрозділи та підрозділи підтримки банку. Вони є власниками всіх операційних ризиків, що виникають у сфері їх відповідальності. Зазначені підрозділи відповідають за виявлення та оцінювання операційних ризиків, ужиття управлінських заходів та звітування щодо таких ризиків. На першій лінії захисту банк призначає в рамках підрозділів працівників, відповідальних за внутрішній контроль операційного ризику - ризик-координаторів. До їх функцій у сфері управління операційним ризиком належать:

участь у побудові карт процесів (технологічних карт), власниками яких є підрозділи, які також використовуються для організації здійснення цих процесів, а також для побудови та впровадження ефективної системи внутрішнього контролю;

взаємодія з підрозділом з управління ризиками;

взаємодія з керівником свого підрозділу з питань дотримання політики, порядків та процедур з управління операційним ризиком;

координація з питань навчання і забезпечення обізнаності працівників підрозділу щодо політики, порядків і процедур з управління операційним ризиком;

забезпечення виявлення подій операційного ризику на рівні підрозділу та інформування ризик-координатором про такі події;

повний і своєчасний збір та внесення інформації про події операційного ризику до бази внутрішніх подій операційного ризику та контроль за якістю і повнотою внесеної інформації;

сприяння підрозділу з управління ризиками у формуванні переліку та розрахунку значень ключових індикаторів ризику для моніторингу операційного ризику, забезпечення здійснення постійного моніторингу та звітування підрозділу з управління ризиками щодо динаміки їх значень у підрозділі;

участь у створенні сценаріїв для сценарного аналізу операційного ризику, організація проведення підрозділом, у межах якого вони призначені як ризик-координатори, сценарного аналізу за підтримки підрозділом з управління ризиками або забезпечення участі працівників підрозділу у проведенні сценарного аналізу іншими підрозділами;

участь у проведенні стрес-тестування операційного ризику;

забезпечення проведення підрозділом ідентифікації та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку;

проведення самооцінки операційних ризиків;

забезпечення складання підрозділом управлінської звітності щодо операційного ризику.

Структурні підрозділи банку відповідають за дотримання вимог політики, процедур та використання інструментів управління операційними ризиками під час здійснення своєї діяльності;

2) на другій лінії захисту підрозділ з управління ризиками виконує такі функції в частині управління операційним ризиком:

розроблення, упровадження та постійний розвиток системи управління операційним ризиком;

оцінка величини операційного ризику банку, уключаючи оцінку на основі інформації, що надається ризик-координаторами підрозділів першої лінії захисту;

консультування структурних підрозділів банку з питань управління операційним ризиком;

проведення навчання і забезпечення обізнаності працівників банку щодо управління операційними ризиками;

формування зведеної звітності про результати управління операційним ризиком у банку;

контроль за виконанням заходів щодо уникнення, передавання та пом'якшення операційного ризику;

участь у розробленні карт процесів;

супровід та підтримка бази внутрішніх подій операційного ризику, уключаючи збір, накопичення і аналіз даних щодо внутрішніх подій операційного ризику, верифікації подій, унесених до бази, дослідження значних подій;

розроблення разом з підрозділами першої лінії захисту переліку специфікацій ключових індикаторів операційного ризику, порядку їх розрахунку та визначення граничних значень;

контроль за дотриманням граничних значень ключових індикаторів операційного ризику та аналіз причин порушень;

планування, контроль за проведенням та погодженням результатів сценарного аналізу;

координація або контроль за розробленням плану забезпечення безперервної діяльності залежно від обраної моделі управління процесом;

координація проведення та аналіз результатів самооцінки операційних ризиків;

надання експертного висновку, погодження результатів аналізу та оцінки операційних ризиків, притаманних новим продуктам/значним змінам у діяльності банку/переданим на аутсорсинг функціям, проведених підрозділами першої лінії захисту;

аналіз операційних ризиків за функціями, що передаються на аутсорсинг;

формування пропозицій щодо політики страхування ризиків банку;

3) на третій лінії захисту підрозділ внутрішнього аудиту здійснює оцінку ефективності системи управління операційним ризиком підрозділами першого та другого рівнів захисту, уключаючи оцінку ефективності системи внутрішнього контролю.

282. Правління банку має право створити комітет з управління операційним ризиком, що є складовою організаційної структури системи управління ризиками і забезпечує виконання визначених функцій та повноважень щодо управління операційним ризиком.

283. Банк створює ефективні механізми управління інформаційним ризиком, який є частиною системи управління операційним ризиком банку з урахуванням впливу на інші ризики, притаманні діяльності банку.

284. Банк забезпечує управління інформаційним ризиком, дотримуючись моделі трьох ліній захисту.

До першої лінії захисту належать усі структурні підрозділи банку, які під час здійснення своєї діяльності повинні забезпечувати дотримання вимог політики, процедур та використання інструментів управління інформаційним ризиком, уключаючи виявлення та оцінювання інформаційного ризику, ужиття управлінських заходів та звітування щодо такого ризику. Ризик-координатори, відповідальні за управління інформаційним ризиком, призначаються зі складу підрозділів першої лінії захисту, функції яких полягають в управлінні інформаційною безпекою та/або інформаційно-комунікаційними технологіями.

До другої та третьої ліній захисту належать підрозділ з управління ризиками та підрозділ внутрішнього аудиту відповідно, які забезпечують виконання функцій, визначених цим Положенням щодо дотримання трьох ліній захисту під час управління операційним ризиком.

285. Банк розробляє та періодично переглядає політику, процедури, інструменти управління інформаційним ризиком не рідше одного разу на рік.

286. Політика управління інформаційним ризиком банку може бути складовою політики управління операційним ризиком або окремим документом та повинна обов'язково містити:

1) мету, завдання та принципи управління інформаційним ризиком;

2) цілі банку щодо інформаційного ризику;

3) вплив інформаційного ризику на досягнення цілей банку: стратегічних, операційних, цілей у сфері підготовки фінансової та статистичної звітності, дотримання законодавства України;

4) організаційну структуру процесу управління інформаційним ризиком з урахуванням розподілу функціонала учасників процесу відповідно до трьох ліній захисту, їх повноважень, відповідальності та порядку взаємодії;

5) порядок взаємодії між учасниками процесу управління інформаційним ризиком;

6) підходи банку до управління інформаційним ризиком.

287. Порядки та процедури управління інформаційним ризиком повинні обов'язково містити:

1) визначення та опис основних інструментів та індикаторів, що використовуються банком в управлінні інформаційним ризиком, та порядок їх використання;

2) методику оцінки інформаційного ризику;

3) правила визначення критеріїв значних подій інформаційного ризику, порядок їх класифікації (з урахуванням вимог цього Положення щодо класифікації подій операційного ризику), процедури їх оброблення, аналізу, дослідження, ескалації інформації та звітування керівництву банку;

4) порядок та процедури реагування на інформаційний ризик;

5) опис засобів контролю та порядок моніторингу інформаційного ризику;

6) порядок обміну інформацією між учасниками процесу управління інформаційним ризиком, уключаючи визначення видів, форм і строків подання управлінської звітності щодо інформаційного ризику.

288. Оцінка інформаційного ризику здійснюється банком за допомогою інструментів, визначених для оцінки операційного ризику із зазначеною для цих інструментів періодичністю, або за допомогою інших інструментів, визначених банком, не рідше одного разу на рік.

289. Банк створює та веде базу внутрішніх подій інформаційного ризику, здійснює аналіз накопиченої в ній інформації. Якщо банк веде базу внутрішніх подій інформаційного ризику окремо від бази внутрішніх подій операційного ризику, то він забезпечує реєстрацію в базі внутрішніх подій операційного ризику всіх подій інформаційного ризику, що підпадають під визначені банком критерії звітування щодо внутрішніх подій операційного ризику.

290. Банк створює ефективні механізми управління модельним ризиком [ризиком невиконання або некоректного виконання задач моделями, які використовуються банком для оцінки (вимірювання) ризиків, оцінки фінансових інструментів, ціноутворення за продуктами], який є частиною системи управління операційним ризиком банку з урахуванням вимог цього Положення щодо використання моделей для оцінки (вимірювання) ризиків.

291. Банк з метою виявлення та вимірювання операційного ризику використовує такі інструменти:

1) аналіз результатів перевірок, здійснених підрозділом внутрішнього аудиту та зовнішнім аудитором;

2) створення та ведення бази внутрішніх подій операційного ризику та аналіз накопиченої в ній інформації з урахуванням вимог пункту 100 глави 13 розділу І цього Положення.

Класифікація бізнес-ліній і подій, що призводять до втрат, визначені в додатках 7, 8 до цього Положення. Інформація щодо подій операційного ризику, що вноситься в базу внутрішніх подій операційного ризику, має, щонайменше, містити складові, наведені в додатку 9 до цього Положення.

Банк уносить операційні події в базу внутрішніх подій операційного ризику з урахуванням визначених банком критеріїв звітування;

3) ключові показники ризику (Key Risk Indicators - KRI).

KRI є кількісним показником, який динамічно змінюється в часі та відображає зміну характеру операційного ризику. KRI використовується банком для раннього виявлення негативних тенденцій/явищ, пов'язаних з підвищенням операційного ризику, що притаманні процесам.

Банк визначає перелік показників KRI, порядок їх розрахунку та граничні значення, які забезпечують своєчасне та найбільш повне виявлення факторів операційного ризику з метою застосування своєчасних заходів щодо управління ними.

Банк розраховує показники KRI з періодичністю не рідше ніж раз на три місяці. Приклади показників KRI наведені в додатку 10 до цього Положення;

4) самооцінка операційного ризику (Risk Self Assessments).

У рамках самооцінки операційного ризику уповноважені працівники банку не рідше ніж один раз на рік:

проводять аналіз бізнес-процесів банку з урахуванням інформації щодо можливих загроз і вразливостей та оцінюють можливі втрати від них;

оцінюють ризики бізнес-процесів банку (до впровадження або перегляду контролів), ефективність контрольного середовища (запроваджених контролів) та залишкові ризики (з урахуванням запроваджених або переглянутих контролів);

5) сценарний аналіз (Scenario Analysis).

Цей інструмент застосовується шляхом формування судження працівниками підрозділу з управління ризиками та підрозділів першої лінії захисту щодо визначення можливих малоймовірних подій операційного ризику з суттєвими наслідками для банку та їх кількісної оцінки.

292. Банк, крім обов'язкових інструментів виявлення та вимірювання операційного ризику, має право використовувати такі додаткові інструменти:

1) створення та ведення бази зовнішніх подій операційного ризику та аналіз накопиченої в ній інформації (External Data Collection and Analysis).

Інформація щодо зовнішніх подій операційного ризику вноситься до бази підрозділом другого рівня захисту на підставі інформації з відкритих джерел, спеціалізованих баз даних або в рамках обміну інформацією між банками та має містити складові, аналогічні складовим бази внутрішніх подій операційного ризику;

2) вимірювання (Measurement).

Цей інструмент застосовується підрозділом з управління ризиками шляхом побудови математичної моделі оцінки можливих втрат від операційного ризику на підставі статистичних даних щодо подій операційного ризику;

3) аналіз карт процесів (Business Process Mapping).

Метою аналізу карт процесів є виявлення етапів процесів, видів діяльності та організаційних функцій, а також операційних ризиків, притаманних процесам. Під час аналізу карт процесів аналізуються властиві операційні ризики, їх взаємозв'язок з іншими ризиками, наявні контролі та їх недоліки.

Цей інструмент застосовується підрозділом з управління ризиками шляхом формування судження щодо визначення можливих подій операційного ризику та їх кількісної оцінки на підставі власної експертної думки, а також експертної думки представників підрозділів першої лінії захисту;

4) порівняльний аналіз (Comparative Analysis).

Цей інструмент застосовується підрозділом з управління ризиками шляхом порівняння результатів застосування різних інструментів з метою об'єктивної оцінки (вимірювання) операційного ризику банку.

293. Банк забезпечує своєчасне виявлення значних подій операційного ризику та невідкладне повідомлення про такі події підрозділу з управління ризиками. Головний ризик-менеджер/підрозділ з управління ризиками не пізніше наступного робочого дня з дня отримання ним повідомлення доводить до ради банку та правління банку інформацію про значну подію операційного ризику.

294. Банк затверджує порядок дослідження значних подій операційного ризику, який обов'язково включає:

1) критерії віднесення подій операційного ризику до значних;

2) процедуру створення робочої групи та порядок проведення нею досліджень, уключаючи визначення переліку її учасників;

3) процедуру ескалації результатів дослідження та затвердження заходів щодо мінімізації наслідків події та запобігання подібним подіям у майбутньому.

295. Банк має право розподіляти можливі події операційного ризику за такими категоріями:

1) події з низьким рівнем втрат та низькою ймовірністю настання;

2) події зі значним рівнем втрат та низькою ймовірністю настання;

3) події з низьким рівнем втрат з високою ймовірністю настання;

4) події зі значним рівнем втрат та високою ймовірністю настання.

296. Банк залежно від визначеної категорії операційного ризику має право використовувати такі методи управління операційним ризиком:

1) прийняття ризику, що передбачає продовження діяльності без змін у разі можливості понесення незначних втрат з низькою ймовірністю настання;

2) передавання ризику, що передбачає страхування, переважно, ризиків з потенційно значними втратами з низькою імовірністю настання або ризиків, які перебувають під обмеженим контролем банку;

3) пом'якшення ризику, що передбачає коригування певних процесів та впровадження додаткових контролів у разі понесення в їх результаті незначних втрат з високою імовірністю настання;

4) уникнення ризику, що передбачає припинення здійснення діяльності та/або закриття позицій, що призводять до значних втрат з високою ймовірністю настання.

297. Підрозділ з управління ризиками повинен мати достатню кількість кваліфікованих працівників для адекватної оцінки цього виду ризику.

298. Банк приймає рішення щодо передавання функцій на аутсорсинг за умови:

1) розроблення внутрішньобанківських документів щодо передавання функцій на аутсорсинг;

2) обґрунтованої доцільності передавання функцій на аутсорсинг;

3) забезпечення збереження банківської та комерційної таємниці в разі передавання функцій на аутсорсинг;

4) належного управління ризиками, що пов'язані з передаванням функцій на аутсорсинг та виконанням аутсорсером таких функцій.

298--1. Банк не має права передавати на аутсорсинг функції щодо:

1)здійснення банківської діяльності, на яку він отримав банківську ліцензію;

2) управління ризиками, крім випадків, передбачених цим Положенням.

298-2. Банк не повинен ураховувати як аутсорсинг таке:

послуги зовнішнього аудитора та інші послуги, що відповідно до законодавства України надаються визначеними постачальниками послуг;

послуги агентств Bloomberg, Moody's, Standard & Poor's, Fitch;

3) послуги платіжних систем Visa, MasterCard;

4) послуги клірингу;

5) послуги Товариства всесвітніх міжбанківських фінансових телекомунікацій SWIFT;

6) послуги банків-кореспондентів;

7) придбання послуг, які в іншому випадку не здійснювалися б банком (ураховуючи юридичні, медичні, туристичні послуги; послуги з прибирання, озеленення та обслуговування приміщень, службових автомобілів банку, громадського харчування; послуги архітектора, торгових автоматів, пошти, секретарів та операторів розподільних щитів, комутаторів); послуги з виробництва товарів (ураховуючи пластикові картки, карт-рідери, канцелярське приладдя, персональні комп'ютери, меблі) та комунальні послуги (ураховуючи електропостачання, газопостачання, водопостачання, телефонний та інтернет-зв'язок).

299. Внутрішньобанківські документи щодо аутсорсингу мають містити:

1) порядок визначення функцій, що можуть передаватися на аутсорсинг, за винятком функцій, визначених у пункті 298-1 глави 47 розділу VI цього Положення, які банк не має права передавати на аутсорсинг;

2) порядок визначення критеріїв прийнятності аутсорсерів;

3) процес передавання функцій на аутсорсинг та розірвання договорів з аутсорсерами;

4) процедури управління ризиками, що пов'язані з передаванням функцій на аутсорсинг та виконанням аутсорсером таких функцій, уключаючи оцінку фінансового стану аутсорсерів;

5) засади ефективного контролю банком за виконанням функцій, що передані на аутсорсинг;

6) вимоги до типового договору аутсорсингу, який серед іншого має містити умови щодо:

забезпечення аутсорсером конфіденційності інформації;

дій банку та аутсорсера в разі настання надзвичайних обставин;

забезпечення аутсорсером доступу банку до інформації, обладнання, систем, що використовуються ним для виконання функцій, переданих банком на аутсорсинг, з метою перевірки виконання зобов'язань, визначених у договорі аутсорсингу.

299--1. Банк несе відповідальність за ризики, пов'язані з передаванням функцій на аутсорсинг та виконанням аутсорсером таких функцій.

Передавання банком функцій на аутсорсинг не повинно погіршувати процес оцінки системи управління ризиками банку, що здійснюється уповноваженими працівниками Національного банку.

Передавання банком функцій на аутсорсинг не звільняє від відповідальності банк та/або керівників банку за невиконання ним/ними регуляторних норм.

300. Банк розробляє методологію управління безперервною діяльністю, яка включає:

1) політику управління безперервною діяльністю;

2) процедуру аналізу впливу негативних факторів на процеси банку;

3) план забезпечення безперервної діяльності.

301. Політика управління безперервною діяльністю повинна обов'язково містити:

1) ключові цілі банку щодо забезпечення безперервної діяльності;

2) принципи та підходи банку щодо здійснення аналізу впливу негативних факторів на процеси банку;

3) принципи та підходи банку щодо розроблення та приведення в дію плану забезпечення безперервної діяльності;

4) принципи та підходи банку щодо моніторингу ефективності та вдосконалення плану забезпечення безперервної діяльності.

302. Процедура аналізу впливу негативних факторів на процеси банку включає визначення рівнів критичності процесів, інформаційних ресурсів (інформаційних систем та даних, що зберігаються в цих системах), інших ресурсів (працівники, приміщення, техніка) з урахуванням:

1) цільового часу на відновлення процесів та систем, що обслуговують цей процес, після збою/переривання діяльності (recovery time objective);

2) максимально допустимого проміжку часу, за який можлива втрата критичних даних банку в разі збою/відмови інформаційних систем (recovery point objective).

Цей аналіз повинен охоплювати всі процеси та підрозділи банку з урахуванням їх взаємозалежності.

Банк забезпечує послідовний та комплексний аналіз вразливості процесів та інформаційних систем банку до різних типів імовірних сценаріїв переривання діяльності. Банк здійснює кількісну та якісну оцінку ймовірного фінансового, операційного та репутаційного впливу сценаріїв на діяльність банку, використовуючи внутрішні та зовнішні дані.

Банк використовує результати аналізу впливу негативних факторів на процеси банку для встановлення цілей і пріоритетів під час розроблення плану забезпечення безперервної діяльності. Залишкові ризики переривання діяльності (після оцінки банком впливу застосування заходів, передбачених планом забезпечення безперервної діяльності) повинні перебувати в межах затвердженого банком ризик-апетиту.

303. Банк розробляє план забезпечення безперервної діяльності, який уключає:

1) стратегічні цілі та пріоритети банку щодо забезпечення безперервної діяльності в розрізі процесів банку;

2) процедури та заходи реагування на інциденти порушення безперервності діяльності;

3) заходи у разі порушення безперервної діяльності щодо внутрішніх комунікацій, а також зовнішніх комунікацій банку з клієнтами, контрагентами банку, Національним банком, іншими регуляторними, контролюючими органами та органами державної влади;

4) заходи відновлення діяльності для критичних процесів банку;

5) заходи відновлення інформаційних систем після збоїв.

304. Банк не рідше одного разу на рік здійснює аналіз впливу негативних факторів на процеси банку, оцінку ризиків та переглядає план забезпечення безперервної діяльності для того, щоб пересвідчитися, що він відповідає поточному профілю діяльності банку, ураховує наявні ризики та загрози, а також охоплює всі види діяльності, процеси та інформаційні системи щодо управління ризиками.

305. Банк не рідше одного разу на два роки проводить навчання працівників щодо організації та впровадження плану забезпечення безперервної діяльності.

306. Банк не рідше одного разу на рік проводить поетапне тестування плану забезпечення безперервної діяльності з метою забезпечення належної впевненості та контролю за реалізацією заходів, передбачених у плані, забезпечить досягнення мети безперервної діяльності банку. За потреби банк долучає до участі в тестуванні відновлення та забезпечення безперервної діяльності ключових постачальників послуг.

307. Банк документує всі суттєві відхилення та помилки, виявлені за результатами тестування плану забезпечення безперервної діяльності, та забезпечує розроблення, затвердження та впровадження коригуючих заходів.

308. Банк забезпечує захищене зберігання всієї необхідної документації щодо плану забезпечення безперервної діяльності. Банк забезпечує безперешкодний доступ до цієї документації працівникам банку, відповідальним за його виконання, у разі настання надзвичайних ситуацій.

309. Банк здійснює не рідше одного разу на рік стрес-тестування операційного ризику для різних короткострокових і довгострокових стрес-сценаріїв, що можуть реалізуватися як для банку, так і для ринку в цілому, з метою виявлення причин можливих втрат внаслідок реалізації операційного ризику та оцінки відповідності результатів здійснення стрес-тестування встановленому рівню ризик-апетиту до операційного ризику.

Результатом здійснення стрес-тестування операційного ризику має бути величина можливих втрат.

310. Банк під час здійснення стрес-тестування використовує, щонайменше, один з таких методів:

1) сценарний аналіз;

2) математичне моделювання.

311. Банк проводить сценарний аналіз, базуючись на судженнях працівників підрозділів першої лінії захисту та працівників підрозділу з управління ризиками щодо:

1) імовірного збільшення частоти (кількості) подій та/або обсягу операційних збитків порівняно зі статистикою, що міститься в базі внутрішніх подій операційного ризику;

2) виникнення нових подій операційного ризику внаслідок впровадження нових або внесення значних змін у діючі процеси;

3) виникнення подій операційного ризику зі значним рівнем втрат та низькою імовірністю настання.

312. Банк здійснює стрес-тестування операційного ризику з використанням математичних моделей у разі наявності статистики, достатньої для їх побудови.

313. Головний ризик-менеджер подає звіти щодо операційного ризику раді банку, комітету з управління ризиками, комітету з управління операційним ризиком (у разі його створення) та правлінню банку не рідше одного разу на квартал.

314. Головний ризик-менеджер/підрозділ з управління ризиками не пізніше наступного робочого дня після виявлення ризику інформує раду банку, комітет з управління ризиками, правління банку, комітет з управління операційним ризиком (у разі його наявності) про значне підвищення операційних ризиків з метою прийняття своєчасних та адекватних управлінських рішень.

315. Банк розробляє управлінську звітність щодо операційного ризику, яка повинна обов'язково включати звіти щодо:

1) узагальнених даних подій операційного ризику, накопичених у базі внутрішніх подій операційного ризику, аналіз їх динаміки у порівнянні з попередніми періодами;

2) значних подій операційного ризику, результатів дослідження їх причин та заходів щодо запобігання таким подіям у майбутньому;

3) значних зовнішніх подій операційного ризику та їх потенційних наслідків для банку;

4) переліку та значень показників KRI, їх динаміки порівняно з попередніми періодами та відповідно до встановлених граничних значень;

5) результатів самооцінки операційного ризику та результатів застосування інших інструментів оцінки операційного ризику, якщо вони використовуються банком;

6) результатів здійснення стрес-тестування операційного ризику.

316. Банк створює ефективну систему управління комплаєнс-ризиком, що має бути повністю інтегрована в загальну систему управління ризиками банку.

317. Банк, що веде діяльність в різних країнах, створює систему управління комплаєнс-ризиком, що забезпечує дотримання законодавства в кожній з них.

Банк у разі наявності суперечностей між законодавством різних країн уживає заходів для пом'якшення комплаєнс-ризику.

318. Банк розробляє та періодично (не рідше одного разу на рік) переглядає політику, порядок та процедури управління комплаєнс-ризиком.

319. Політика управління комплаєнс-ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління комплаєнс-ризиком;

2) організаційну структуру процесу управління комплаєнс-ризиком з урахуванням розподілу функціонала учасників процесу, їх повноваження, відповідальність та порядок взаємодії;

3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику;

4) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо комплаєнс-ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

320. Порядок та процедури управління комплаєнс-ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення комплаєнс-ризику, уключаючи інструменти/індикатори, що використовуються;

2) процедури та процеси забезпечення відповідності діяльності банку вимогам законодавства, уключаючи законодавство у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення та внутрішньобанківських документів під час діяльності банку;

3) процедуру забезпечення контролю за достовірністю фінансової та статистичної звітності;

4) процедуру навчання працівників банку з метою забезпечення їх обізнаності з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс) законодавства України та внутрішньобанківських документів;

5) чітке розмежування функцій управління комплаєнс-ризиком та операційним ризиком із метою уникнення їх дублювання та механізм співпраці між працівниками, які виконують функції управління цими ризиками;

6) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, уключаючи види, форми і терміни подання інформації;

7) правила взаємодії банку з Національним банком, іншими регуляторними та контролюючими органами з питань дотримання вимог законодавства.

321. Банк забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом'якшення.

322. Банк із метою виявлення та вимірювання комплаєнс-ризику використовує інформацію:

1) від працівників банку в рамках механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку;

2) із бази внутрішніх подій операційного ризику;

3) зі скарг клієнтів;

4) із особистого звернення працівників банку чи третіх осіб до підрозділу з контролю за дотриманням норм (комплаєнс);

5) зі звітів підрозділу внутрішнього аудиту та перевірок зовнішніх аудиторів;

6) від регуляторних та контролюючих органів (результати перевірок Національним банком та іншими регуляторними та контролюючими органами, накладені штрафи, установлені порушення законодавства України);

7) інших джерел інформації, отриманих працівниками підрозділу контролю за дотриманням норм (комплаєнс) під час своєї діяльності.

323. Головний комплаєнс-менеджер подає звіти щодо оцінки комплаєнс-ризику раді банку, комітету з управління ризиками та правлінню банку не рідше одного разу на квартал або частіше у випадках, установлених законодавством України.

324. Банк розробляє управлінську звітність щодо комплаєнс-ризику, яка повинна обов'язково включати звіти щодо:

1) продуктів, видів діяльності, процесів, що піддають банк значному комплаєнс-ризику та впливають на банк у разі його реалізації, а також пропозицій щодо уникнення чи пом'якшення цього ризику;

2) випадків порушень вимог законодавства України [податкового, банківського законодавства, законодавства про захист прав споживачів, трудового, антимонопольного законодавства, законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, інших законів, нормативно-правових актів Національного банку інших регуляторних органів] та внутрішньобанківських документів під час діяльності банку, а також застосованих санкцій до банку або інших негативних наслідків у результаті таких порушень;

3) випадків порушень працівниками банку кодексу поведінки (етики), результатів дослідження їх причин та заходів щодо запобігання таким подіям надалі;

4) випадків формування недостовірної звітності для регуляторних і контролюючих органів, а також застосованих до банку санкцій;

5) значних змін у законодавстві та їх потенційних наслідків для банку;

6) зовнішньої інформації щодо комплаєнс-ризику (штрафи, накладені на інші банки, події, що призвели до погіршення репутації інших банків) та їх потенційних наслідків для банку;

7) випадків конфлікту інтересів;

8) проведених навчань працівників банку з питань, що належать до функцій підрозділу контролю за дотриманням норм (комплаєнс).