• Посилання скопійовано
Документ підготовлено в системі iplex

Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

Національний банк України  | Постанова, Класифікація, Перелік, Положення від 11.06.2018 № 64
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
11.06.2018 № 64
Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах
( Із змінами, внесеними згідно з Постановами Національного банку № 126 від 26.11.2018 № 165 від 29.12.2018 № 74 від 05.06.2019 № 46 від 03.04.2020 № 172 від 29.12.2020 - зміни опрацьовуються )
Відповідно до статей 7, 15 та 56 Закону України "Про Національний банк України" , статей 44 та 66 Закону України "Про банки і банківську діяльність" , з метою вдосконалення в банках України системи управління ризиками з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду Правління Національного банку України
ПОСТАНОВЛЯЄ:
1. Затвердити Положення про організацію системи управління ризиками в банках України та банківських групах (далі - Положення), що додається.
2. Банкам України/відповідальним особам банківських груп розробити/доопрацювати та запровадити внутрішньобанківські/внутрішньогрупові документи з питань управління ризиками, виконати заходи із запровадження вимог Положення в терміни, установлені в графіку, що додається.
( Пункт 2 із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
3. Департаменту методології (Іваненко Н.В.) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Рожкову К.В.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
ГоловаЯ.В. Смолій
Додаток
до постанови Правління
Національного банку України
11.06.2018 № 64
ГРАФІК
виконання банками України та банківськими групами заходів із запровадження вимог Положення про організацію системи управління ризиками в банках України та банківських групах
№ з/пЗахідТермін виконання банкомТермін виконання банківською групою
1234
1I. Перший етап - запровадження організаційних заходів
21. Приведення організаційної структури системи управління ризиками у відповідність до вимог Положення про організацію системи управління ризиками в банках України та банківських групах (далі - Положення) та затвердження змін до бюджету банку (за потреби), уключаючи:
31) створення комітету ради банку з управління ризиками (у разі прийняття такого рішення радою банку)До 30 березня 2019 рокуДо 30 квітня 2019 року
42) створення підрозділу контролю за дотриманням норм (комплаєнс)До 30 березня 2019 рокуДо 30 квітня 2019 року
53) забезпечення достатньої чисельності персоналу належної кваліфікаціїДо 30 березня 2019 рокуДо 30 квітня 2019 року
64) визначення функцій, обов'язків, повноважень та відповідальності осіб, залучених до системи управління ризикамиДо 30 березня 2019 рокуДо 30 квітня 2019 року
75) визначення механізмів та відповідальних осіб за належне забезпечення співпраці між підрозділами банку на всіх організаційних рівнях із застосуванням моделі трьох ліній захистуДо 30 березня 2019 рокуДо 30 квітня 2019 року
82. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання першого етапу запровадження ПоложенняДо 15 квітня 2019 рокуДо 15 травня 2019 року
9II. Другий етап - запровадження культури ризиків
101. Розроблення/доопрацювання, затвердження та впровадження культури управління ризиками, уключаючи:
111) кодекс поведінки (етики)До 30 березня 2019 рокуДо 30 червня 2019 року
122) політику запобігання конфліктам інтересівДо 30 березня 2019 рокуДо 30 червня 2019 року
133) порядок здійснення операцій із пов'язаними з банком особамиДо 30 березня 2019 рокуДо 30 червня 2019 року
144) механізм конфіденційного повідомлення про неприйнятну поведінку в банку (whistleblowing policy mechanism)До 30 березня 2019 рокуДо 30 червня 2019 року
155) програму навчання та підвищення кваліфікації працівників банку з питань управління ризикамиДо 30 березня 2019 рокуДо 30 червня 2019 року
162. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання другого етапу запровадження ПоложенняДо 15 квітня 2019 рокуДо 15 липня 2019 року
17III. Третій етап - запровадження стратегій, політики, методик і процедур
181. Розроблення/доопрацювання, затвердження та запровадження внутрішньобанківських/внутрішньогрупових документів щодо управління ризиками, уключаючи:
191) стратегію управління ризиками; політику та процедури запровадження нових продуктів і значних змін у діяльності банку; процедури ескалації порушень лімітів ризиків; порядок, форми, наповнення та періодичність надання звітів суб'єктам системи управління ризикамиДо 30 березня 2019 рокуДо 30 червня 2019 року
20щодо кредитного ризику:
212) політику управління кредитним ризикомДо 30 березня 2019 рокуДо 30 червня 2019 року
223) методики, методи, обов'язкові інструментиДо 30 жовтня 2019 рокуДо 30 січня 2020 року
234) процеси, інформаційні системи та звітуванняДо 30 жовтня 2019 рокуДо 30 січня 2020 року
24щодо ризику ліквідності:
255) політику управління ризиком ліквідності, план фінансування в кризових ситуаціяхДо 30 березня 2019 рокуДо 30 червня 2019 року
266) методики, методи, обов'язкові інструментиДо 30 вересня 2019 рокуДо 30 грудня 2019 року
277) процеси, інформаційні системи та звітуванняДо 30 листопада 2019 рокуДо 28 лютого 2020 року
28щодо процентного ризику банківської книги:
298) політику управління процентним ризиком банківської книгиДо 30 березня 2019 рокуДо 30 червня 2019 року
309) методики, методи, обов'язкові інструментиДо 30 вересня 2019 рокуДо 30 грудня 2019 року
3110) процеси, інформаційні системи та звітуванняДо 30 листопада 2019 рокуДо 28 лютого 2020 року
32щодо ринкових ризиків:
3311) політику управління ринковим ризикомДо 30 березня 2019 рокуДо 30 червня 2019 року
3412) методики, методи, обов'язкові інструментиДо 30 вересня 2019 рокуДо 30 грудня 2019 року
3513) процеси, інформаційні системи та звітуванняДо 30 листопада 2019 рокуДо 28 лютого 2020 року
36щодо операційного ризику:
3714) політику управління операційним ризиком, план забезпечення безперервної діяльностіДо 30 жовтня 2019 рокуДо 30 січня 2020 року
3815) методики, методи, обов'язкові інструментиДо 30 жовтня 2019 рокуДо 30 січня 2020 року
3916) процеси, інформаційні системи та звітуванняДо 30 листопада 2019 рокуДо 28 лютого 2020 року
40щодо комплаєнс-ризику:
4117) політику управління комплаєнс-ризикомДо 30 жовтня 2019 рокуДо 30 січня 2020 року
4218) методики, методи, обов'язкові інструментиДо 30 жовтня 2019 рокуДо 30 січня 2020 року
4319) процеси, інформаційні системи та звітуванняДо 30 листопада 2019 рокуДо 28 лютого 2020 року
44щодо інших суттєвих ризиків:
4520) методику виявлення суттєвих ризиківДо 30 жовтня 2019 рокуДо 30 січня 2020 року
4621) політику управління іншими суттєвими ризикамиДо 30 жовтня 2019 рокуДо 30 січня 2020 року
4722) методики, методи, обов'язкові інструментиДо 30 листопада 2019 рокуДо 28 лютого 2020 року
4823) процеси, інформаційні системи та звітуванняДо 30 листопада 2019 рокуДо 28 лютого 2020 року
492. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання третього етапу запровадження ПоложенняДо 15 грудня 2019 рокуДо 15 березня 2020 року
50IV. Четвертий етап - запровадження декларації схильності до ризиків та інших вимог Положення
511. Розроблення, затвердження та запровадження декларації схильності до ризиківДо 30 січня 2020 рокуДо 31 серпня 2020 року
522. Розроблення/доопрацювання та затвердження радою банку інших внутрішньобанківських/внутрішньогрупових документів щодо управління ризиками та запровадження інших вимог ПоложенняДо 30 січня 2020 рокуДо 31 серпня 2020 року
533. Надання банком та відповідальною особою банківської групи Національному банку України інформації про виконання четвертого етапу запровадження ПоложенняДо 15 лютого 2020 рокуДо 15 вересня 2020 року
( Додаток із змінами, внесеними згідно з Постановами Національного банку № 126 від 26.11.2018, № 74 від 05.06.2019, № 46 від 03.04.2020, № 172 від 29.12.2020 )
Директор Департаменту
методології

Н.В. Іваненко
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
11.06.2018 № 64
ПОЛОЖЕННЯ
про організацію системи управління ризиками в банках України та банківських групах
I. Загальні положення
1. Основні положення та терміни
1. Це Положення розроблено відповідно до вимог Закону України "Про Національний банк України" , Закону України "Про банки і банківську діяльність" та з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду щодо корпоративного управління та управління ризиками в банках і банківських групах.
2. Це Положення визначає основні цілі та принципи управління ризиками, які виникають за всіма напрямами діяльності банку та банківської групи на всіх організаційних рівнях, і встановлює мінімальні вимоги щодо організації в банку та банківській групі комплексної, адекватної та ефективної системи управління ризиками.
3. Терміни, що використовуються в цьому Положенні, вживаються в таких значеннях:
1) агрегування даних щодо ризиків - виявлення, збір та оброблення даних про ризики, ураховуючи вимоги щодо складання звітності про ризики, що дає змогу оцінити діяльність банку з урахуванням ризик-апетиту. Агрегування даних щодо ризиків уключає також класифікацію, сегментацію, об'єднання чи розбивку даних про ризики;
1-1) активна банківська операція - термін застосовується в значенні, визначеному в Положенні про визначення банками України розміру кредитного ризику за активними банківськими операціями, затвердженому постановою Правління Національного банку України від 30 червня 2016 року № 351 (зі змінами) (далі - Положення № 351);
( Пункт 3 глави 1 розділу I доповнено новим підпунктом 1-1 згідно з Постановою Національного банку № 172 від 29.12.2020 )
2) аутсорсер - організація будь-якої форми власності, фізична особа-підприємець або особа, яка провадить незалежну професійну діяльність, обрана банком для виконання на умовах аутсорсингу окремих робіт/функцій (далі - функції) банку;
( Підпункт 2 пункту 3 глави 1 розділу I в редакції Постанови Національного банку № 172 від 29.12.2020 )
3) аутсорсинг - передавання функцій банку на виконання аутсорсеру на договірній та регулярній основі з метою оптимізації витрат і процесів у банку;
( Підпункт 3 пункту 3 глави 1 розділу I в редакції Постанови Національного банку № 172 від 29.12.2020 )
4) банківська книга - активи та зобов'язання банку (як балансові, так і позабалансові), які не включені до торгової книги;
5) бізнес-процес - сукупність взаємопов'язаних або взаємодіючих видів діяльності, спрямованих на створення певного продукту або послуги;
5-1) верифікація вартості майна - перевірка достовірності ринкової (справедливої) вартості майна, визначеної оцінювачем під час здійснення ним оцінки майна;
( Пункт 3 глави 1 розділу I доповнено новим підпунктом 5-1 згідно з Постановою Національного банку № 172 від 29.12.2020 )
5-2) головний ризик-менеджер (CRO) - головна посадова особа банку, відповідальна за управління ризиками;
( Пункт 3 глави 1 розділу I доповнено новим підпунктом 5-2 згідно з Постановою Національного банку № 172 від 29.12.2020 )
5-3) головний комплаєнс-менеджер (CCO) - головна посадова особа банку, відповідальна за здійснення контролю за дотриманням норм (комплаєнс);
( Пункт 3 глави 1 розділу I доповнено новим підпунктом 5-3 згідно з Постановою Національного банку № 172 від 29.12.2020 )
6) декларація схильності до ризиків (RAS - Risk Appetite Statement) - внутрішньобанківський/внутрішньогруповий документ, який визначає сукупну величину ризик-апетиту, види ризиків, які банк прийматиме або уникатиме з метою досягнення його бізнес-цілей, та рівень ризик-апетиту щодо кожного з них (індивідуальний рівень);
( Підпункт 6 пункту 3 глави 1 розділу I із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
7) диверсифікація - обмеження впливу фактора ризику за рахунок уникнення надмірної концентрації за одним портфелем шляхом пошуку та поєднання портфелів, які за однакових умов приводять до різних не обов'язково прямо протилежних результатів. Диверсифікація є методом пом'якшення ризику, який застосовується як щодо активних, так і пасивних операцій;
8) допустимий рівень ризику (Risk Capacity) - максимальна величина ризику, яку банк у змозі прийняти за всіма видами ризиків з огляду на рівень його капіталу, здатність адекватно та ефективно управляти ризиками, а також з урахуванням регулятивних обмежень;
9) дохідність до погашення (YTM - Yield to Maturity) - сукупна величина дохідності у відсотках річних, яку банк отримає в разі набуття у власність облігації або іншого боргового інструменту на дату оцінки за поточною ринковою (справедливою) вартістю за умови утримання такого інструменту до погашення;
10) дюрація - середньозважений строк до отримання грошових потоків за облігацією або іншими фінансовими інструментами з фіксованим прибутком;
11) економічна вартість капіталу (EVE - Economic Value of Equity) - теперішня вартість чистих майбутніх грошових потоків за фінансовими інструментами банківської книги;
12) інформаційна система щодо управління ризиками - сукупність технічних засобів, методів і процедур, що забезпечують реєстрацію, зберігання, оброблення, моніторинг і своєчасне формування достовірної інформації для звітування (інформування), аналізу та прийняття своєчасних та адекватних управлінських рішень щодо управління ризиками;
13) інформаційний ризик (складова операційного ризику) - імовірність виникнення збитків або додаткових втрат, або недоотримання запланованих доходів унаслідок виникнення зовнішніх або внутрішніх подій, зміни бізнес-середовища та/або інформаційних технологій чи неадекватних або помилкових внутрішніх процесів щодо:
функціонування інформаційних систем та інших інформаційних ресурсів банку та управління ними (ризик інформаційно-комунікаційних технологій);
збереження конфіденційності, цілісності та доступності інформації банку (ризик інформаційної безпеки);
( Підпункт 13 пункту 3 глави 1 розділу I в редакції Постанови Національного банку № 172 від 29.12.2020 )
14) комплаєнс-ризик - імовірність виникнення збитків/санкцій, додаткових втрат або недоотримання запланованих доходів або втрати репутації внаслідок невиконання банком вимог законодавства, нормативно-правових актів, ринкових стандартів, правил добросовісної конкуренції, правил корпоративної етики, виникнення конфлікту інтересів, а також внутрішньобанківських/внутрішньогрупових документів банку;
( Підпункт 14 пункту 3 глави 1 розділу I із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
15) кредит - термін застосовується в значенні "кредитна операція", визначеному в Положенні № 351;
( Підпункт 15 пункту 3 глави 1 розділу I в редакції Постанови Національного банку № 172 від 29.12.2020 )
16) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником/контрагентом узятих на себе зобов'язань відповідно до умов договору. Кредитний ризик виникає за всіма активними банківськими операціями, за винятком боргових цінних паперів та інших фінансових інструментів у торговій книзі банку;
( Підпункт 16 пункту 3 глави 1 розділу I із змінами, внесеними згідно з Постановою Національного банку № 172 від 29.12.2020 )
17) культура управління ризиками - дотримання визначених банком принципів, правил, норм банку, спрямованих на проінформованість усіх працівників банку щодо прийняття ризиків та управління ризиками;
18) ліміт ризику - обмеження, установлені банком для контролю величини ризиків, на які наражається банк протягом своєї діяльності;
19) модифікована дюрація - показник, що відображає вплив зміни дохідності до погашення на вартість облігації або іншого фінансового інструменту з фіксованим прибутком;
20) необтяжені активи - активи банку, щодо яких немає юридичних, регуляторних або операційних перешкод для надання їх як застава для залучення фінансування або продажу іншій стороні;
21) непрацюючі активи (далі - НПА) - кредитні операції, операції з придбання боргових цінних паперів, уключаючи нараховані за всіма цими операціями доходи, визначені як непрацюючі активи згідно з вимогами Положення № 351, а також майно, яке перейшло у власність банку на підставі реалізації прав заставодержателя відповідно до умов договору застави;
22) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок недоліків або помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників банку або інших осіб, збоїв у роботі інформаційних систем банку або внаслідок впливу зовнішніх факторів. Операційний ризик уключає юридичний ризик, однак має виключати ризик репутації та стратегічний ризик;
23) опуклість (convexity) - показник, що характеризує чутливість дюрації облігації або іншого фінансового інструменту з фіксованим прибутком до зміни дохідності до погашення та уточнює вплив процентних ставок на поточну вартість облігації або іншого інструменту з фіксованим прибутком;
24) передавання ризику - передавання банком своєї відповідальності за ризик іншим особам за винагороду зі збереженням наявного рівня ризику;
25) передрозрахунковий ризик (Pre-Settlement Risk) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок дефолту контрагента за договором до початку виконання своїх зобов'язань будь-якою зі сторін договору;
26) підрозділ з управління ризиками - структурний підрозділ банку, до складу якого можуть входити один або кілька підрозділів, що забезпечують виконання функцій з управління ризиками, визначених законодавством України, цим Положенням;
27) підрозділ контролю за дотриманням норм (комплаєнс) - структурний підрозділ банку, до складу якого можуть входити один або кілька підрозділів, що забезпечують виконання функцій контролю за дотриманням норм (комплаєнс), визначених законодавством України, цим Положенням;
28) пом'якшення ризиків - комплекс заходів, спрямованих на зменшення ймовірності виникнення ризику та/або зменшення впливу ризику на результати діяльності банку;
29) прийняття ризиків - утримання ризиків на рівні, що перебуває в межах визначеної банком схильності до ризиків (ризик-апетиту) та не створює загрози для інтересів вкладників, інших кредиторів, власників банку та фінансової стійкості банку;
30) профіль ризику - оцінка загального рівня вразливості банку до ризиків (до прийняття заходів для мінімізації ризику) або залишкової вразливості до ризику (після застосування заходів для мінімізації ризику) в агрегованому вигляді та в розрізі всіх видів ризиків, проведена на певну дату на підставі поточних або прогнозних припущень;
31) процентний ризик банківської книги - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок впливу несприятливих змін процентних ставок на банківську книгу. Процентний ризик банківської книги впливає на економічну вартість капіталу банку та чистий процентний дохід банку;
32) ризик - імовірність виникнення збитків або додаткових втрат або недоотримання доходів, або невиконання стороною договірних зобов'язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;
33) ризик-апетит (схильність до ризику) - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначених наперед та в межах допустимого рівня ризику, щодо яких банк прийняв рішення про доцільність/необхідність їх утримання з метою досягнення його стратегічних цілей та виконання бізнес-плану;
34) ризик країни - усі види ризиків, що виникають в економічному, політичному і соціальному середовищі країни реєстрації та ведення бізнесу боржника-нерезидента та можуть мати потенційний вплив на його спроможність обслуговувати борги;
35) ризик ліквідності - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неспроможності банку забезпечувати фінансування зростання активів та/або виконання своїх зобов'язань у належні строки;
36) ризик репутації - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливого сприйняття іміджу банку клієнтами, контрагентами, акціонерами, наглядовими та контролюючими органами;
37) ризик розрахунків (Settlement Risk) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання контрагентом своїх зобов'язань після того, як банк виконав свою частину зобов'язань;
38) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливої зміни курсів іноземних валют, процентних ставок, вартості фінансових інструментів;
39) система управління ризиками - сукупність належним чином задокументованих і затверджених політики, методик і процедур управління ризиками, які визначають порядок дій, спрямованих на здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення всіх видів ризиків на всіх організаційних рівнях;
40) стратегічний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неправильних управлінських рішень та неадекватного реагування на зміни в бізнес-середовищі;
41) стрес-сценарій - модель можливого розвитку подій (обставин) унаслідок впливу різних факторів ризиків, виникнення яких може завдати шкоди фінансовому стану та/або ліквідності банку;
42) стрес-тестування - метод вимірювання ризику, що дає змогу оцінити потенційні несприятливі результати впливу ризиків як величину збитків, що можуть стати наслідком шокових змін різних факторів ризиків (курсів іноземних валют, процентних ставок та/або інших факторів), які відповідають виключним (екстремальним), але ймовірним подіям;
43) торгова книга - активи та зобов'язання банку (як балансові, так і позабалансові), які утримуються з метою торгівлі або хеджування ризиків інших статей торгової книги;
44) трансфертний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок того, що у боржника немає можливості отримувати та/або перераховувати іноземну валюту для обслуговування боргу за кредитом;
45) уникнення ризику - припинення здійснення операцій, що з високою ймовірністю настання призводять до значних збитків;
46) хеджування - метод пом'якшення ризику, який полягає у визначенні об'єкта хеджування та підборі до нього адекватного інструменту хеджування. Суть хеджування полягає в компенсації збитків від об'єкта хеджування за рахунок прибутку від інструменту хеджування, які виникають за одних і тих самих умов чи подій. За наявності хеджування банк позбавляється як ризику, так і можливості отримання додаткового прибутку (за винятком хеджування за допомогою опціонів): якщо умови чи події будуть сприятливими з точки зору об'єкта хеджування, то будь-який прибуток автоматично перекриватиметься збитками від інструменту хеджування;
47) чистий процентний дохід (NII - Net Interest Income) - різниця між сумою процентних доходів та сумою процентних втрат за активами і зобов'язаннями банківської книги;
48) шокова величина/шокова зміна - гіпотетична величина зміни фактора зовнішнього оточення (рівня процентної ставки, значення валютного курсу), яка використовується в стрес-тестуванні. Шокова величина/шокова зміна має відповідати двом критеріям: бути суттєвою та ймовірною;
49) юридичний ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання запланованих доходів унаслідок невиконання сторонами умов договорів у зв'язку з їх невідповідністю вимогам законодавства.
Інші терміни, які вживаються в цьому Положенні, використовуються в значеннях, визначених Законом України "Про банки і банківську діяльність" , іншими законами України та нормативно-правовими актами Національного банку України (далі - Національний банк).
4. Банк/банківська група (далі - банк) у своїх внутрішньобанківських/внутрішньогрупових документах мають право встановлювати більш поглиблений підхід до побудови та функціонування системи управління ризиками, адекватний особливостям його діяльності, характеру і обсягам банківських та інших фінансових послуг, дотримуючись мінімальних вимог, визначених у цьому Положенні, та враховуючи рекомендації Базельського комітету з банківського нагляду щодо управління ризиками.
5. Банк створює систему управління ризиками, що відповідає його розміру, бізнес-моделі, масштабу діяльності, видам, складності операцій банку та забезпечує виявлення, вимірювання (оцінку), моніторинг, звітування, контроль та пом'якшення всіх суттєвих ризиків банку з метою визначення банком величини капіталу, необхідного для покриття всіх суттєвих ризиків, притаманних його діяльності (внутрішнього капіталу).
6. Органи управління відповідальної особи банківської групи несуть відповідальність за ефективність системи управління ризиками в банківській групі.
7. Ефективність, комплексність та адекватність створеної банком системи управління ризиками є предметом оцінки уповноваженими працівниками Національного банку, які здійснюють банківський нагляд у формі інспекційних перевірок та безвиїзного нагляду (далі - уповноважені працівники Національного банку), щодо:
1) відповідності затверджених радою банку стратегії управління ризиками та декларації схильності до ризиків банку його бізнес-моделі та ризикам, які банк спроможний утримувати для досягнення бізнес-цілей;
2) відповідності профілю ризику банку затвердженому радою банку рівню ризик-апетиту;
3) повноти та ефективності впровадження внутрішньобанківських документів;
4) створення та дотримання високої культури управління ризиками, уключаючи забезпечення обізнаності та залучення членів ради банку та членів правління банку, а також інших працівників банку до управління ризиками [періодичності засідань ради банку, колегіальних органів, керівників підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс), документування таких засідань], навчання працівників банку з питань управління ризиками;
5) відповідності внутрішньобанківських документів щодо управління ризиками вимогам цього Положення;
6) наявності у працівників підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) належного статусу та відповідної кваліфікації для виконання покладених на них функцій;
7) виконання банком інших вимог, установлених цим Положенням.
8. Оцінка ефективності, комплексності та адекватності, створеної банком системи управління ризиками здійснюється уповноваженими працівниками Національного банку шляхом: аналізу діяльності банку, внутрішньобанківських документів, результатів самооцінювання з боку банку; перевірки процесів, операцій, інструментів з управління ризиками; проведення інтерв'ю з керівниками банку та іншими працівниками банку; оцінки взаємодії ради банку і частоти проведення зустрічей із керівниками підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс).
9. Наявність фактів недотримання вимог щодо впровадження й функціонування ефективної системи управління ризиками, порушень норм цього Положення є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку заходів впливу в порядку, установленому Положенням про застосування Національним банком України заходів впливу, затвердженим постановою Правління Національного банку України від 17 серпня 2012 року № 346, зареєстрованим у Міністерстві юстиції України 17 вересня 2012 року за № 159/21902 (зі змінами) (далі - Положення № 346).
2. Система управління ризиками банку
10. Банк створює комплексну, адекватну та ефективну систему управління ризиками з урахуванням особливостей своєї діяльності, характеру та обсягів його операцій, профілю ризику та системної важливості банку, яка відповідає таким принципам:
1) ефективність - забезпечення об'єктивної оцінки розміру ризиків банку та повноти заходів щодо управління ризиками з оптимальним використанням фінансових ресурсів, персоналу та інформаційних систем щодо управління ризиками банку;
2) своєчасність - забезпечення своєчасного (на ранній стадії) виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення всіх видів ризиків на всіх організаційних рівнях;
3) структурованість - чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма структурними підрозділами та працівниками банку, та їх відповідальності згідно з таким розподілом;
4) розмежування обов'язків (відокремлення функції контролю від здійснення операцій банку) - уникнення ситуації, за якої одна й та сама особа здійснює операції банку та виконує функції контролю;
5) усебічність та комплексність - охоплення всіх видів діяльності банку на всіх організаційних рівнях та в усіх його структурних підрозділах, оцінка взаємного впливу ризиків;
6) пропорційність - відповідність системи управління ризиками бізнес-моделі банку, його системній важливості, а також рівню складності операцій, що здійснюються банком;
7) незалежність - свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс) своїх функцій;
8) конфіденційність - обмеження доступу до інформації, яка має бути захищеною від несанкціонованого ознайомлення;
9) прозорість - оприлюднення банком інформації щодо системи управління ризиками та профілю ризику.
11. Банк здійснює комплексну оцінку щонайменше таких суттєвих видів ризиків:
1) кредитного ризику;
2) ризику ліквідності;
3) процентного ризику банківської книги;
4) ринкового ризику;
5) операційного ризику;
6) комплаєнс-ризику;
7) інших суттєвих видів ризиків, на які банк наражається під час своєї діяльності.
Банк самостійно встановлює фактори, показники та поріг суттєвості інших видів ризиків на підставі обґрунтованих висновків та визначає порядок виявлення таких ризиків у методиці виявлення суттєвих ризиків.
12. Банк оцінює ризики за фінансовими інструментами, що містяться як в торговій, так і в банківській книгах. Перелік видів ризиків, які банк має оцінювати залежно від книги, у якій міститься інструмент, наведений у карті ризиків торгової та банківської книг (додаток 1).
13. Банк створює систему управління ризиками, яка щонайменше охоплює види ризиків, наведені в пункті 11 глави 2 розділу I цього Положення.
14. Банк під час оцінки всіх видів ризиків ураховує ризик концентрації.
Банк розглядає ризик концентрації як концентрацію своїх активів та зобов'язань у розрізі:
1) одного боржника/контрагента та групи пов'язаних контрагентів;
2) бізнес-ліній і продуктів;
3) видів економічної діяльності (галузевої концентрації) та географічних регіонів;
4) пов'язаних із контрагентами осіб, чиї фінансові результати залежать від одного виду діяльності чи основного продукту;
5) класів боржників/контрагентів, що визначаються відповідно до вимог Положення № 351;
6) видів забезпечення виконання боржниками та контрагентами своїх зобов'язань;
7) видів валют.
Банк має право розглядати ризик концентрації в інших розрізах додатково до встановлених у пункті 14 глави 2 розділу I цього Положення.
15. Банк створює систему управління ризиками, яка має забезпечувати безперервний аналіз ризиків з метою прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків та зменшення пов'язаних із ними втрат (збитків).
16. Банк організовує систему управління ризиками, яка ґрунтується на розподілі обов'язків між підрозділами банку із застосуванням моделі трьох ліній захисту:
1) перша лінія - на рівні бізнес-підрозділів банку та підрозділів підтримки діяльності банку. Ці підрозділи приймають ризики та несуть відповідальність за них і подають звіти щодо поточного управління такими ризиками;
2) друга лінія - на рівні підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс);
3) третя лінія - на рівні підрозділу внутрішнього аудиту щодо перевірки та оцінки ефективності функціонування системи управління ризиками.
17. Система управління ризиками банку щонайменше має передбачати:
1) організаційну структуру, яка чітко визначає обов'язки, повноваження та відповідальність осіб щодо управління ризиками;
2) культуру управління ризиками та кодекс поведінки (етики);
3) внутрішньобанківські документи з питань управління ризиками;
4) інформаційну систему щодо управління ризиками та звітування;
5) інструменти для ефективного управління ризиками.
18. Відповідальна особа банківської групи забезпечує ефективну систему управління ризиками в банківській групі, що передбачає забезпечення надійного процесу виявлення, вимірювання (оцінки), моніторингу, звітування, контролю та пом'якшення всіх видів ризиків у банківській групі та її підгрупах, наявність внутрішніх положень банківської групи щодо управління ризиками, уключаючи кількісну та якісну оцінку (вимірювання) ризиків, чіткий розподіл функцій, обов'язків та повноважень з управління ризиками в банківській групі.
19. Банк оприлюднює інформацію щодо управління ризиками відповідно до вимог Інструкції про порядок складання та оприлюднення фінансової звітності банків України, затвердженої постановою Правління Національного банку України від 24 жовтня 2011 року № 373, зареєстрованої в Міністерстві юстиції України 10 листопада 2011 року за № 1288/20026 (зі змінами).
3. Організаційна структура системи управління ризиками
20. Банк створює організаційну структуру системи управління ризиками, яка забезпечує чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма суб'єктами системи управління ризиками, а також між працівниками банку, та передбачає їх відповідальність згідно з таким розподілом.
Банк під час визначення організаційної структури системи управління ризиками враховує необхідність забезпечення взаємозаміни працівників з метою уникнення негативного впливу на ефективність функціонування системи управління ризиками в разі тимчасової відсутності працівника або його звільнення.
21. Банк забезпечує наявність належної кількості кваліфікованих і досвідчених працівників виходячи з потреб організаційної структури системи управління ризиками, напрямів діяльності (бізнес-ліній) та профілю ризику банку.
Банк не має права передавати функції щодо управління ризиками банку на аутсорсинг.
22. Банк визначає функції, обов'язки, повноваження та відповідальність осіб у посадових інструкціях, у яких мають передбачатися функціональні обов'язки кожного працівника банку щодо участі в управлінні ризиками, що включають забезпечення належного звітування щодо управління ризиками.
23. Банк визначає механізми та відповідальних осіб за належне забезпечення обміном інформацією між окремими структурними підрозділами банку для ефективної взаємодії (співпраці) на всіх організаційних рівнях.
24. Суб'єктами системи управління ризиками банку є:
1) рада банку;
2) комітет ради банку з управління ризиками (за наявності);
3) правління банку;
4) кредитний комітет правління банку;
5) комітет правління банку з управління активами та пасивами;
6) інші колегіальні органи банку;
7) підрозділ внутрішнього аудиту;
8) підрозділ з управління ризиками;
9) підрозділ контролю за дотриманням норм (комплаєнс);
10) бізнес-підрозділи, ураховуючи підрозділ з роботи з НПА (workout unit), та підрозділи підтримки (перша лінія захисту).
25. Рада банку має право створювати інші комітети та делегувати їм частину своїх функцій з управління ризиками. Рада банку залишається відповідальною за загальне управління ризиками та забезпечує контроль за виконанням делегованих нею функцій.
26. Правління банку має право створити комітет з управління операційним ризиком та інші комітети банку, делегувавши їм частину своїх функцій з управління ризиками. У цьому разі правління банку залишається відповідальним за виконання делегованих ним функцій.
27. Комітет здійснює свою діяльність на підставі положення або іншого документа, у якому зазначаються його обов'язки, сфера діяльності та робочі процедури. Такі процедури включають подання комітетом звітів усім членам ради банку (для комітетів ради банку) та членам правління (для комітетів правління банку).
Комітети повинні вести документацію про обговорення й прийняті рішення, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк надає таку документацію уповноваженим працівникам Національного банку на їх вимогу.
Комітети та голови комітетів мають відповідати вимогам, установленим законодавством України.
4. Відповідальність та функції ради банку щодо управління ризиками
28. Рада банку несе повну відповідальність за створення комплексної, адекватної та ефективної системи управління ризиками, на які наражається банк у своїй діяльності. Для забезпечення належного управління ризиками рада банку повинна:
1) визначати та контролювати дотримання корпоративних цінностей банку, які базуються на здійсненні бізнесу на законних та етичних принципах, та постійно підтримувати високу культуру управління ризиками;
2) приділяти достатню кількість часу, зусиль і ресурсів для участі в управлінні ризиками банку та контролю за комплексністю, адекватністю та ефективністю системи управління ризиками;
3) створити та підтримувати на належному рівні організаційну структуру, інформаційну систему щодо управління ризиками та внутрішній контроль, що забезпечують ефективне управління ризиками;
4) забезпечувати, щоб політика винагороди в банку відповідала та сприяла ефективному управлінню ризиками, не стимулюючи прийняття надмірного рівня ризику;
5) установлення випадків накладання заборони (вето) керівниками підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) на рішення правління банку, комітетів та інших колегіальних органів правління банку;
6) сприяти створенню регулярних та прозорих механізмів комунікації в банку.
29. Рада банку для реалізації своїх завдань виконує такі функції:
1) забезпечує функціонування та контроль за ефективністю системи управління ризиками;
2) затверджує внутрішньобанківські документи з питань управління ризиками (далі - внутрішньобанківські документи), перелік яких визначено в додатку 2 до цього Положення, та здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);
3) затверджує перелік лімітів (обмежень) щодо кожного виду ризику та процедуру ескалації порушень лімітів ризиків;
4) ухвалює рішення щодо запровадження значних змін у діяльності банку;
5) затверджує щороку та регулярно переглядає стратегію управління НПА (далі - стратегія НПА) та оперативний план; не рідше ніж один раз на три місяці відстежує прогрес, досягнутий за попередній період за всіма показниками, визначеними в стратегії НПА та оперативному плані і за потреби визначає додаткові заходи, необхідні для забезпечення реалізації цієї стратегії;
6) затверджує план відновлення діяльності (Recovery Plan) та забезпечує виконання функцій щодо відновлення діяльності банку;
7) затверджує призначення та звільнення керівників підрозділу з управління ризиками (CRO) та підрозділу контролю за дотриманням норм (комплаєнс) (ССО);
8) визначає характер, формат та обсяги інформації про ризики, розглядає управлінську звітність про ризики та, якщо профіль ризику банку не відповідає затвердженому ризик-апетиту невідкладно приймає рішення щодо застосування адекватних заходів для пом'якшення ризиків;
9) уживає заходів щодо запобігання конфліктам інтересів у банку, сприяє їх врегулюванню та повідомляє Національний банк про конфлікти інтересів, що виникають у банку.
Рада банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 29 глави 4 розділу I цього Положення, які не суперечать вимогам цього Положення.
30. Рада банку забезпечує належний рівень документування обговорень та прийнятих рішень, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк подає таку документацію уповноваженим працівникам Національного банку на їх вимогу.
31. Рада банку з метою підвищення ефективності управління ризиками має право створити комітет з управління ризиками (далі - комітет з управління ризиками) та делегувати частину своїх функцій з управління ризиками до комітету з управління ризиками. Рада банку залишається відповідальною за загальне управління ризиками та забезпечує контроль за виконанням делегованих нею функцій.
32. Рада банку створює постійно діючий підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) і забезпечує незалежність цих підрозділів шляхом:
1) звітування та підпорядкування цих підрозділів раді банку;
2) надання цим підрозділам прямої та необмеженої можливості обговорення питань щодо ризиків безпосередньо з радою банку без необхідності (обов'язку) інформування про це членів правління банку;
3) організаційного та функціонального відокремлення цих підрозділів від підрозділів (керівників підрозділів) першої та третьої ліній захисту;
4) забезпечення достатньої чисельності працівників цих підрозділів і рівня їх кваліфікації для досягнення цілей і завдань, поставлених перед ними;
5) урахування в бюджеті банку достатнього розміру фінансового забезпечення цих підрозділів. Винагорода працівників цих підрозділів не повинна залежати від результатів роботи бізнес-підрозділів, які є об'єктом контролю, та має сприяти комплектуванню цих підрозділів кваліфікованими працівниками відповідного профілю. Оцінка ефективності роботи працівників цих підрозділів має ґрунтуватися на досягненні їх цілей таким чином, щоб не обмежувати їх незалежність;
6) гарантування доступу цих підрозділів до інформації, необхідної для їх ефективної роботи. Керівники та персонал банку мають сприяти в наданні такої інформації;
7) недопущення працівників цих підрозділів до здійснення функцій контролю за тією діяльністю, за яку вони раніше безпосередньо несли відповідальність або стосовно якої раніше ухвалювали рішення з метою запобігання конфлікту інтересів.