Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

74. Банк розробляє план відновлення діяльності відповідно до вимог Положення про плани відновлення діяльності банків України та банківських груп, затвердженого постановою Правління Національного банку України від 18 липня 2019 року № 95.

75. Банк розробляє внутрішньобанківський документ щодо програми навчання та підвищення кваліфікації працівників банку з питань управління ризиками, який включає такі напрями:

1) вимоги законодавства України, нормативно-правових актів Національного банку, документів Базельського комітету з банківського нагляду з питань управління ризиками;

2) вимоги внутрішньобанківських документів з питань управління ризиками;

3) практичні заняття щодо реалізації внутрішньобанківських документів з питань управління ризиками;

4) забезпечення безперервної діяльності та фінансування в кризових ситуаціях;

5) вивчення сучасного досвіду, включаючи міжнародний, щодо управління ризиками;

6) порядок організації процесу управління ризиками та підходи до управління окремими видами ризиків.

76. Банк забезпечує належну оцінку ризиків за новими продуктами та значними змінами в діяльності банку до початку їх упровадження.

77. Новими продуктами є:

1) новий вид діяльності або новий вид фінансових послуг, визначених статтею 47 Закону України "Про банки і банківську діяльність" та статтею 4 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг";

2) вихід на новий ринок з наявними видами діяльності або видами фінансових послуг;

3) унесення змін до наявних видів діяльності або видів фінансових послуг, що вимагають змін IT-ресурсів та/або процедур, внутрішньобанківських документів, порядку взаємодії працівників (підрозділів) банку, необхідних для їх реалізації та супроводження;

4) унесення істотних змін до умов надання послуг, включаючи цінові.

78. Значними змінами в діяльності банку є:

1) набуття у власність активів та/або зобов'язань інших учасників ринку у значному обсязі;

2) продаж/передавання активів у значному обсязі;

3) створення філії, дочірньої компанії, іншої юридичної особи або внесення істотних змін до організаційної структури банку;

4) реорганізація банку;

5) інші зміни в діяльності банку, які вимагають використання/залучення ресурсів у значних обсягах або пов'язані з ризиками, обсяги яких важко оцінити.

79. Значним обсягом операції з набуття у власність активів та/або зобов'язань, продажу/передавання активів, використання/залучення ресурсів, є операція, в якій ринкова вартість активів/зобов'язань/ресурсів перевищує 10 відсотків балансової вартості активів банку за даними останньої річної фінансової звітності. Банк має право встановити інший розмір перевищення ринкової вартості активів/зобов'язань/ресурсів над балансовою вартістю активів банку під час визначення обсягу як значного, але не вищий ніж 10 відсотків.

80. Банк має право створити комітет правління з питань нових продуктів та значних змін у діяльності банку, що забезпечує виконання визначених правлінням банку функцій та повноважень щодо впровадження нових продуктів та значних змін у діяльності банку.

81. Рада банку затверджує політику запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містить:

1) підхід до визначення істотності змін щодо умов надання послуг;

2) підхід до визначення істотності змін щодо організаційної структури банку;

3) підхід до визначення значних обсягів набуття у власність активів та/або зобов'язань інших учасників ринку та продажу/передавання активів, використання/залучення ресурсів;

4) підхід до визначення операцій, пов'язаних із ризиками, обсяги яких важко оцінити;

5) вимоги до процедури запровадження нових продуктів та значних змін у діяльності банку, включаючи визначення органу, який уповноважений ухвалювати такі рішення;

6) перелік обов'язкових підрозділів банку та/або відповідальних осіб, які мають залучатися до процесу підготовки документів для ухвалення рішення щодо нових продуктів і значних змін у діяльності банку;

7) вимоги щодо моніторингу ризиків, пов'язаних з упровадженням нових продуктів і значних змін у діяльності банку.

82. Банк розробляє процедури запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містять:

1) процедури ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

2) перелік документів, на підставі яких ухвалюється рішення;

3) порядок взаємодії підрозділів банку та опис процесів з підготовки документів для ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

4) процедури моніторингу впровадження нових продуктів та значних змін у діяльності банку.

83. Банк запроваджує значні зміни в діяльності банку після прийняття рішення про надання згоди радою банку, а у випадках, встановлених законодавством України, - загальними зборами акціонерного товариства чи акціонерами.

84. Документи банку для ухвалення рішення щодо нового продукту або значної зміни в діяльності банку повинні обов'язково містити:

1) опис нового продукту/значної зміни в діяльності банку, аналіз їх відповідності стратегії банку, цільових клієнтів, які мають ним користуватися, а також основних цілей запровадження такого продукту/зміни в діяльності банку та результати маркетингового дослідження;

2) висновки підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) у межах їх функціональних обов'язків, які повинні обов'язково включати:

оцінку ризиків нового продукту/значної зміни в діяльності банку щодо того, чи перебуває новий продукт/значна зміна в діяльності банку в межах затвердженого банком ризик-апетиту та чи їх запровадження не призведе до порушень банком вимог законодавства, ринкових стандартів, правил добросовісної конкуренції;

рекомендації щодо методів управління виявленими ризиками (прийняття, передавання, пом'якшення чи уникнення ризиків);

розрахунок та пропозиції щодо величини лімітів ризиків, пов'язаних із новим продуктом/значною зміною в діяльності банку;

оцінку зміни профілю ризику банку, що може стати наслідком запровадження нового продукту/значної зміни в діяльності банку;

3) висновки інших підрозділів банку, на які покладені банком функції щодо визначення економічної доцільності та можливості запровадження і належної підтримки нового продукту/значної зміни в діяльності банку;

4) підходи до ціноутворення/установлення тарифів на новий продукт/значну зміну в діяльності банку;

5) аналіз прогнозованих доходів і втрат від запровадження нового продукту/значної зміни в діяльності банку;

6) типовий договір щодо нового продукту/значної зміни в діяльності банку та їх бухгалтерську модель обліку.

85. Ухвалення рішення щодо запровадження нового продукту/значної зміни в діяльності банку має ґрунтуватися на висновках підрозділів банку та виключати вплив акціонерів, керівників банку або третіх осіб, які не відповідають інтересам банку.

86. Банк проводить розроблення, налаштування та тестування готовності інформаційних систем щодо управління ризиками, а також навчання персоналу банку до початку впровадження нового продукту/значної зміни в діяльності банку та за потреби змінює строки впровадження до моменту забезпечення готовності.

87. Банк установлює ліміти (обмеження) для суттєвих ризиків, що піддаються кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкових ризиків;

5) інших суттєвих видів ризиків, на які може наражатися банк у своїй діяльності.

Банк також установлює ліміти для управління різними джерелами концентрації ризиків.

88. Банк установлює значення лімітів ризиків як у відсотках до регулятивного капіталу банку, так і до загального розміру активів, загальної суми зобов'язань. Банк має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків в абсолютних значеннях та/або у відсотках до інших показників банку.

89. Банк залежно від характеру діяльності та його бізнес-моделі має право встановлювати окремі значення лімітів для учасників банківської групи, бізнес-ліній, портфелів, типів інструментів або окремих інструментів.

90. Банк у своїй політиці щодо управління ризиками визначає порядок установлення значень лімітів ризиків та контролю за їх дотриманням.

91. Банк переглядає значення лімітів ризиків у разі змін ринкових умов або стратегії банку, але не рідше ніж раз на рік. Перегляд здійснюється на підставі пропозицій бізнес-підрозділів банку та підрозділу з управління ризиками.

92. Банк розробляє процедуру ескалації порушень лімітів ризиків: форму та порядок інформування про порушення цих лімітів ради банку, комітету з управління ризиками, правління банку та його комітетів.

93. Підрозділ з управління ризиками здійснює контроль за дотриманням лімітів ризиків. Підрозділ з управління ризиками/головний ризик-менеджер у порядку, визначеному процедурою банку щодо ескалації порушень лімітів ризиків, не пізніше наступного робочого дня після виявлення порушення ліміту ризику, крім порушення ліміту, викликаного зміною курсів валют та яке не перевищує 5% від встановленого ліміту, інформує раду банку, комітет з управління ризиками, правління банку та його комітети в межах їх компетенції щодо такого порушення. Підрозділ з управління ризиками/головний ризик-менеджер у строки та в порядку, визначених процедурою банку щодо ескалації порушень лімітів ризиків, надає раді банку, комітету з управління ризиками, правлінню банку та його комітетам інформацію про причини порушення лімітів та пропозиції щодо заходів для усунення порушення лімітів.

94. Рада банку має право делегувати колегіальним органам банку повноваження щодо погодження на здійснення операцій банку, що призводять до перевищення лімітів ризиків (авторизованих перевищень). У такому разі рада банку затверджує процедуру контролю за використанням цих повноважень. Така процедура повинна обов'язково містити:

1) види ризиків, щодо яких дозволяються авторизовані перевищення;

2) максимальний обсяг авторизованого перевищення;

3) вимоги до документування рішення щодо авторизованого перевищення;

4) порядок інформування ради банку щодо авторизованих перевищень.

95. Банк накопичує інформацію щодо авторизованих перевищень та порушень лімітів ризиків.

96. Рада банку проводить позачерговий перегляд значень лімітів, якщо авторизовані перевищення або порушення лімітів ризиків є частими або постійними. Результатом такого перегляду можуть бути:

1) перегляд значень діючих лімітів;

2) перегляд делегованих повноважень щодо авторизованих перевищень;

3) залишення значень лімітів без змін та затвердження плану заходів щодо запобігання їх подальшому перевищенню/порушенню.

97. Банк створює надійну інформаційну систему щодо управління ризиками та звітування, яка забезпечує агрегування даних щодо ризиків банку, оперативне та достовірне вимірювання ризиків як на рівні окремого банку, так і на рівні банківської групи як в звичайних, так і в стресових ситуаціях.

98. Банк розробляє процедури обробки даних щодо ризиків, політику конфіденційності та збереження такої інформації, а також доступу до неї.

99. Банк під час розроблення плану забезпечення безперервної діяльності оцінює спроможність інформаційних систем щодо управління ризиками та визначає процедури, що мають забезпечувати агрегування даних щодо ризиків у стресових ситуаціях відповідно до вимог, визначених у пункті 100 глави 13 розділу I цього Положення.

100. Банк розробляє процедури агрегування даних щодо ризиків, що забезпечують виконання таких принципів:

1) точність і цілісність.

Банк підтримує обґрунтоване співвідношення у застосуванні автоматизованих та ручних процесів агрегування даних щодо ризиків. Банк застосовує ручні процеси в ситуаціях, що потребують судження банку. В інших випадках банк максимально автоматизує процедури обробки даних з метою уникнення помилок. Банк складає опис агрегування даних щодо ризиків як щодо автоматизованих, так і щодо ручних процесів. Опис має містити пояснення щодо застосування ручних процесів, а судження має містити обґрунтування щодо його застосування.

Банк використовує надійні процедури агрегування даних щодо ризиків та забезпечує:

використання чітких процедур контролю за точністю даних про ризики;

розроблення політики та процедур використання програмного забезпечення працівниками банку в разі застосування банком ручних процесів та автоматизованих додатків та баз даних;

вивірку даних про ризики з даними бухгалтерського обліку;

наявність єдиного надійного джерела інформації за кожним видом ризику;

доступ до даних про ризики працівникам підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) з метою формування якісної та достовірної звітності про ризики;

2) повноту даних.

Банк здійснює агрегування даних щодо ризиків за усіма учасниками банківської групи. Дані про ризики мають групуватися за бізнес-лініями, видами активів та зобов'язань банку, галузевою та географічною концентрацією, показниками, що дасть змогу виявляти ризики та складати звіти;

3) своєчасність.

Банк своєчасно формує агреговані та актуалізовані дані щодо ризиків з одночасним дотриманням принципів точності і цілісності, повноти даних та адаптивності. Конкретні терміни формування даних щодо ризиків залежать від затвердженої періодичності надання звітів щодо ризиків, а в разі виникнення стресових ситуацій формування даних щодо ризиків здійснюється банком у найкоротші строки;

4) адаптивність, що означає:

наявність достатньо гнучких процедур, що дасть змогу агрегувати дані щодо ризиків згідно з установленими вимогами;

наявність можливостей модифікації процедур агрегування даних щодо ризиків з метою задоволення потреб користувачів, що дає змогу отримати інформацію з достатнім рівнем деталізації;

наявність можливостей унесення змін до процедур агрегування даних про ризики у зв'язку зі зміною законодавства.

101. Ефективне управління ризиками передбачає, що управлінська звітність про ризики містить точну, повну, своєчасну інформацію про ризики, надана раді банку, колегіальним органам, правлінню банку та іншим користувачам, які приймають рішення, та забезпечує повне розуміння ними ситуації щодо рівня ризиків банку для прийняття своєчасних та адекватних рішень.

102. Уповноважені підрозділи банку складають управлінську звітність про ризики, яка має бути:

1) точною, вивіреною та достовірно відображати рівень прийнятого банком ризику;

2) комплексною.

Управлінська звітність про ризики має охоплювати всі суттєві види ризиків банку, містити інформацію про концентрацію ризиків, дотримання встановленого розміру ризик-апетиту та значень лімітів ризику, а також надавати перспективну оцінку ризиків з урахуванням впливу майбутніх операцій, а не тільки поточну та історичну;

3) чіткою та інформативною.

Управлінська звітність про ризики має надавати чітку та однозначну інформацію та бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень.

Рада банку є головним користувачем управлінської звітності про ризики та несе відповідальність за розроблення вимог до такої звітності, формує запити та забезпечує отримання інформації, необхідної для виконання своїх функцій. Рада банку вимагає пояснень від керівників банку, головного ризик-менеджера, головного комплаєнс-менеджера, якщо звітність про ризики не відповідає затвердженим нею вимогам щодо управлінської звітності про ризики та вживає адекватних заходів.

Правління банку є ключовим користувачем управлінської звітності про ризики і також несе відповідальність за розроблення вимог до такої звітності, забезпечує запити та отримання інформації, необхідної для виконання своїх функцій.

Банк повинен мати технічні можливості для формування нестандартної звітності про ризики:

під час стресових ситуацій;

у разі зміни потреб щодо необхідної управлінської інформації;

у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів;

4) періодичною.

Рада банку, колегіальні органи, правління банку та інші користувачі управлінської звітності про ризики встановлюють періодичність складання та надання управлінської звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Така періодичність має бути не рідшою ніж установлена цим Положенням;

5) поширеною серед користувачів управлінської звітності про ризики із забезпеченням конфіденційності.

103. Банк використовує ефективні моделі та інструменти для оцінки (вимірювання) ризиків, як тих, що підлягають кількісному виміру в повній мірі, так і тих, що підлягають кількісному виміру в меншій мірі, уключаючи ризик репутації, стратегічний ризик. Банк має право використовувати тільки інструменти оцінки ризиків для тих ризиків, що підлягають кількісному виміру в меншій мірі.

104. Банк під час обрання моделей та інструментів оцінки ризиків ураховує:

1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;

2) бізнес-потреби;

3) припущення, що є основою для моделей та інструментів;

4) наявність коректних та повних вхідних даних;

5) можливості інформаційної системи банку щодо управління ризиками;

6) досвід та кваліфікацію персоналу.

105. Процес побудови моделі включає такі послідовні етапи:

1) визначення основних характеристик об'єкта оцінки та припущень для моделі;

2) підготовка вхідних даних для моделі, перевірка їх якості (коректності та повноти) і достатності;

3) побудова моделі;

4) тестування моделі, уключаючи її прогностичну здатність та коректність її результатів;

5) опис моделі;

6) затвердження моделі;

7) упровадження моделі;

8) наступна регулярна валідація моделі.

106. Банк використовує моделі та інструменти оцінки ризиків, які побудовані на коректних та повних вхідних даних.

107. Банк запроваджує порядок відбору вхідних даних для їх використання під час оцінки ризиків. Вхідні дані повинні:

1) відповідати ринковим значенням;

2) бути повними та коректними;

3) отримуватися з незалежних джерел або від підрозділів банку, діяльність яких не залежить від результатів оцінки ризиків.

108. Банк забезпечує своєчасну актуалізацію вхідних даних, що використовуються для розрахунку величини ризиків, в інформаційних системах щодо управління ризиками.

109. Опис моделі (документування) має включати:

1) опис методу використаного для моделювання та вид використаної моделі;

2) характеристики основних припущень та принципів, що лежать в основі моделі;

3) переваги та недоліки моделі, причини вибору саме цієї моделі;

4) опис вхідних даних для моделі та вимоги до них;

5) опис процесу використання моделі;

6) оцінку прогностичної здатності моделі;

7) правила внесення змін до моделі;

8) розподіл обов'язків та відповідальності за створення, упровадження, валідацію (перегляд ефективності) моделі та внесення змін до неї.

110. Банк регулярно (не рідше ніж раз на рік) здійснює валідацію моделей та інструментів оцінки ризиків, розроблених з використанням математичного/статистичного/ економетричного моделювання шляхом:

1) оцінки адекватності основних припущень моделі/інструменту та її/його внутрішньої логіки;

2) бек-тестування, здійсненого шляхом порівняння фактичних даних з результатами, отриманими за допомогою моделі/інструменту. Банк має право не здійснювати бек-тестування за умови формування судження щодо недостатності історичних даних;

3) порівняння результатів, отриманих за допомогою обраної банком моделі, з результатами інших внутрішніх та/або зовнішніх моделей (за наявності таких).

110-1. Банк здійснює валідацію моделей/інструментів, розроблених як банком, так і зовнішніми організаціями.

Банк не здійснює валідацію моделей/інструментів, що мають широке міжнародне застосування (також метод аналізу дюрацій, GAP-аналіз), за умови, що вони є стандартизованими, а інформація про їх складові, переваги та недоліки є загальнодоступною та не може бути змінена банком в результаті їх валідації згідно з вимогами глави 14 розділу I цього Положення.

Банк не здійснює валідацію моделей/інструментів оцінки ризиків, розроблених Національним банком, складові яких ґрунтуються на накопичених Національним банком узагальнених статистичних даних з усієї банківської системи України і використовуються банками для розрахунку мінімальних регуляторних вимог.

Банк здійснює валідацію моделей/інструментів, що передбачають варіативність результатів їх застосування (серед іншого обрана банком модель VaR).

111. Результатом валідації моделі/інструменту оцінки ризиків може бути:

1) підтвердження адекватності моделі/інструменту оцінки ризиків та продовження її/його подальшого використання без змін;

2) продовження використання моделі/інструменту оцінки ризиків, але з коригуванням окремих її/його параметрів;

3) заміна діючої моделі/інструменту оцінки ризиків через її/його неефективність на нові.

112. Валідація моделі/інструменту оцінки ризиків має бути незалежною від побудови моделі або вибору інструменту та її/його використання. Валідація має здійснюватися окремим підрозділом банку (іншим, ніж підрозділ, який побудував та/або використовує модель або інструмент) або зовнішньою організацією, уключно з передаванням функції валідації моделей/інструментів такій організації на аутсорсинг з урахуванням вимог цього Положення щодо побудови моделі або вибору інструменту. Побудова моделі може здійснюватись аутсорсером за умови дотримання банком вимог щодо незалежності валідації такої моделі.

113. Головний ризик-менеджер забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць моделей та інструментів оцінки ризиків, припущень та обмежень, притаманних моделям, з метою їх урахування під час розгляду результатів оцінки ризиків та прийняття своєчасних та адекватних управлінських рішень.

114. Банк регулярно, з періодичністю, визначеною цим Положенням, здійснює стрес-тестування з метою оцінки ризиків та визначення своєї спроможності протистояти потрясінням та загрозам, на які банк наражається під час своєї діяльності, або які можуть виникнути в майбутньому.

115. Банк забезпечує за потреби здійснення/проведення оперативного (позачергового) стрес-тестування, періодичність здійснення якого відповідає динаміці змін за окремими видами активів і зобов'язань банку, а також тенденціям змін в економічному і фінансовому середовищі.

116. Банк розробляє єдиний внутрішньобанківський документ або окремі розділи щодо стрес-тестування у відповідних документах щодо кожного з видів ризиків про порядок здійснення/проведення стрес-тестування (програма проведення стрес-тестування), який визначає:

1) методологію та моделі, що використовуються для здійснення стрес-тестування;

2) періодичність здійснення різних типів стрес-тестування;

3) перелік, функції та порядок взаємодії учасників процесу здійснення стрес-тестування, їх повноваження і відповідальність з чітким визначенням структури підпорядкування;

4) перелік видів ризиків, за якими здійснюється стрес-тестування;

5) перелік факторів ризиків, що використовуються під час здійснення стрес-тестування;

6) перелік припущень, що використовуються під час здійснення стрес-тестування;

7) інформаційну систему щодо управління ризиками, за допомогою якої банк здійснює стрес-тестування;

8) порядок розгляду результатів здійснення стрес-тестування та доведення їх змісту до відома ради банку, комітету з управління ризиками та правління банку з метою прийняття своєчасних та адекватних управлінських рішень щодо зниження рівня ризиків.

117. Програма проведення стрес-тестування має забезпечувати:

1) визначення розміру збитків банку в цілому та в розрізі видів операцій у разі реалізації екстремальних, однак реалістичних стрес-сценаріїв, а також оцінку потенційних можливостей банку покрити такі збитки;

2) оцінку впливу реалізації стрес-сценаріїв на дотримання банком граничних значень нормативів та лімітів валютної позиції, установлених Національним банком;

3) порівняння отриманих результатів з установленим рівнем ризик-апетиту;

4) визначення ступеня залежності величини ризиків від окремих факторів ризику, які пом'якшують або посилюють їх дію.

118. Банк забезпечує здійснення стрес-тестування, що охоплює всі види діяльності банку, балансові та позабалансові позиції з урахуванням особливостей його операцій.

119. Банк забезпечує здійснення стрес-тестування щонайменше за такими видами ризиків:

1) кредитний ризик;

2) ризик ліквідності;

3) процентний ризик банківської книги;

4) ринковий ризик;

5) операційний ризик.

Банк здійснює стрес-тестування щодо цих ризиків з урахуванням ризику концентрації.

120. Банк з урахуванням специфіки своєї діяльності та розміру впливу цих ризиків на всі напрями діяльності банку визначає перелік інших видів ризиків, за якими здійснює стрес-тестування.

121. Банк визначає методи проведення стрес-тестування, включаючи параметри/припущення для стрес-сценаріїв, які мають включати кількісні та якісні показники, та враховувати профіль ризику банку і основні напрями його діяльності.

122. Банк визначає методи проведення стрес-тестування щодо кожного із суттєвих видів ризику самостійно з урахуванням власного досвіду. Банк залежно від ситуації використовує хоча б один із таких методів:

1) аналіз чутливості портфеля активів до зміни факторів ризиків, який полягає в моделюванні наслідків зміни одного фактора ризику або групи тісно взаємопов'язаних факторів ризику, але незмінних інших факторів ризику;

2) сценарний аналіз, який полягає в моделюванні наслідків одночасної зміни декількох факторів ризиків, що ґрунтується як на історичних, так і гіпотетичних подіях. Метод дає змогу оцінити потенційний вплив одночасного настання низки факторів ризику на діяльність банку в разі настання виняткової (екстремальної), але разом з тим імовірної події. Під час розроблення сценаріїв банк використовує фактори ризиків з максимально негативним впливом, що можуть призвести до подій, унаслідок виникнення яких банк може зазнати найбільших втрат, та опрацьовує варіанти найгіршого розвитку подій;

3) реверсивне стрес-тестування, яке полягає в пошуку такої комбінації значень факторів ризиків та визначенні такого сценарію, за яким банк отримає заздалегідь визначений негативний результат (порушення нормативів капіталу та/або інших нормативів, установлених Національним банком, втрату ліквідності, настання неплатоспроможності, інших негативних наслідків для банку). Пошук може здійснюватися як експертним методом, так і за допомогою статистичного моделювання.

123. Банк для проведення стрес-тестування визначає основні (базові) фактори ризиків, які можуть впливати на його діяльність і фінансовий стан, а саме: макроекономічні та мікроекономічні показники.

124. Банк серед макроекономічних показників може визначати такі:

1) розмір внутрішнього валового продукту;

2) облікову ставку Національного банку;

3) офіційний курс гривні до іноземних валют;

4) індекс споживчих цін та цін виробників;

5) рівень безробіття;

6) середню заробітну плату;

7) ціни на ключові товари, що експортуються з України (сталь, залізну руду, пшеницю, кукурудзу, соняшникову олію) та імпортуються до України (природний газ, нафту);

8) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

125. Банк серед мікроекономічних показників може визначати такі:

1) можливість доступу банку до зовнішніх джерел фінансування;

2) ринкову позицію банку;

3) структуру його балансу;

4) якість активів;

5) галузеву концентрацію;

6) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

126. Банк запроваджує адекватний та чіткий механізм трансформації факторів ризику, що застосовуються під час здійснення стрес-тестування, у відповідні внутрішні критерії банку, що використовуються для оцінки величини ризику (PD, LGD, зниження вартості інструментів та позицій).

127. Банк забезпечує рівень інформації та технологічну інфраструктуру, яка є достатньо гнучкою для розміщення різних і можливо змінних стрес-тестів на достатньому рівні деталізації.

128. Банк для забезпечення ефективності проведення стрес-тестування здійснює регулярний і систематичний (не рідше одного разу на рік) перегляд/удосконалення методів та стрес-сценаріїв.

129. Банк здійснює документування результатів стрес-тестування за кожним із стрес-сценаріїв з урахуванням аналізу впливу якості даних, які використовувалися для здійснення стрес-тестування.

130. Банк забезпечує належне використання результатів стрес-тестування всіма структурними підрозділами банку, залученими до виконання функцій з управлінням ризиками.

131. Головний ризик-менеджер забезпечує своєчасне доведення до ради банку, комітету з управління ризиками та правління банку висновків про результати стрес-тестування, які обов'язково мають містити оцінку впливу можливої реалізації стрес-сценаріїв на діяльність банку для розроблення та вжиття заходів щодо зменшення впливу потенційних ризиків та уникнення/мінімізації фінансових втрат.

132. Головний ризик-менеджер забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць методів та стрес-сценаріїв, що використовуються під час здійснення стрес-тестування, з метою їх врахування під час розгляду його результатів та прийняття своєчасних та адекватних управлінських рішень.

133. Банк використовує результати здійснення стрес-тестування під час розроблення/перегляду/коригування стратегії та бізнес-плану банку, стратегії, політики та процедур управління ризиками, планів відновлення діяльності, забезпечення безперервної діяльності та фінансування в кризових ситуаціях.

134. Банк створює ефективну систему управління кредитним ризиком, що забезпечує виявлення, вимірювання, моніторинг, звітування, контроль і пом'якшення кредитного ризику як на індивідуальній, так і на портфельній основі.

135. Кредитний ризик уключає також такі ризики:

1) ризик країни;

2) трансфертний ризик;

3) ризик контрагента:

4) ризик інвестицій у дочірні компанії.

136. Банк визначає такі кількісні показники ризик-апетиту до кредитного ризику:

1) максимальне зростання обсягу портфеля кредитів у відсотках до його величини на початок року;

2) максимальний обсяг заборгованості за одним боржником/групою пов'язаних контрагентів у відсотках до загального обсягу портфеля кредитів та регулятивного капіталу банку;

3) максимальний обсяг галузевої та географічної концентрації портфеля кредитів у відсотках до загального обсягу портфеля кредитів (конкретний перелік видів економічної діяльності та/або географічних регіонів визначається банком на рівні деталізації відповідно до його бізнес-моделі);

4) максимальний обсяг портфеля кредитів за кредитними продуктами у відсотках (конкретний перелік продуктів визначається банком відповідно до його бізнес-моделі) до загального обсягу портфеля кредитів;

5) граничний обсяг непрацюючих активів у відсотках до відповідного виду активів або продуктів.

Банк має право визначати інші кількісні показники ризик-апетиту до кредитного ризику додатково до встановлених у пункті 136 глави 16 розділу II цього Положення.

137. Підрозділ з управління ризиками створює та використовує систему внутрішньої оцінки кредитного ризику, порівнює результати цієї оцінки з величиною кредитного ризику, розрахованою відповідно до вимог Положення № 351, та аналізує причини відхилення.

138. Банк вимірює ризик концентрації, щонайменше в розрізі:

1) величини заборгованості за боржниками та групами пов'язаних контрагентів;

2) строків до погашення кредитів;

3) кредитних продуктів;

4) географічних регіонів;

5) видів економічної діяльності;

6) видів забезпечення за кредитами.

139. Банк розробляє та періодично (не рідше одного разу на рік) переглядає кредитну політику, політику, порядок та процедури управління кредитним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту банку до цього ризику.

140. Банк формує і запроваджує кредитну політику з урахуванням таких зовнішніх і внутрішніх факторів:

1) ринкова позиція банку;

2) макроекономічне середовище;

3) внутрішнє операційне середовище, уключаючи персонал;

4) наявні технології, інформаційні системи щодо управління ризиками.

141. Банк доводить кредитну політику, політику, порядки та процедури управління кредитним ризиком до працівників банку, які беруть участь у процесі видачі/придбання та супроводження кредитів відповідно до функціональних обов'язків, і які повинні чітко розуміти підхід банку до цього процесу та нести відповідальність за виконання політики, порядків і процедур.

142. Кредитна політика банку повинна обов'язково містити:

1) визначення цільових ринків кредитування та їх загальні характеристики;

2) перелік цільових напрямів кредитування в розрізі видів економічної діяльності, географічних регіонів, видів валюти;

3) загальні критерії прийнятності кредитування;

4) принципи управління ризиком концентрації;

5) загальні умови, на яких мають надаватися кредити: цінові умови, строковість, обсяги, види забезпечення та рівень забезпечення (покриття) заборгованості;

6) порядок ухвалення кредитних рішень;

7) процедуру делегування повноважень щодо ухвалення кредитних рішень.

143. Політика управління кредитним ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління кредитним ризиком;

2) організаційну структуру процесу управління кредитним ризиком з урахуванням розподілу функціональних обов'язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;

3) перелік лімітів для контролю за рівнем кредитного ризику та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику;

5) підходи щодо кредитного адміністрування та моніторингу;

6) підходи щодо перегляду кредитів, уключаючи кредити, надані пов'язаним з банком особам;

7) підходи щодо завчасного (на ранньому етапі) виявлення та управління непрацюючими активами;

9) підходи щодо здійснення стрес-тестування кредитного ризику;

10) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо кредитного ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

144. Банк має право об'єднувати кредитну політику та політику управління кредитним ризиком в один внутрішньобанківський документ.

145. Порядок та процедури управління кредитним ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику, уключаючи інструменти/індикатори, що використовуються;

2) перелік документів, що має надати потенційний боржник для розгляду кредитної заявки;

3) порядок розгляду кредитної заявки, підстави для ухвалення рішень щодо надання кредитів, уключаючи надання споживчих кредитів пов'язаним з банком особам, кредитів пов'язаним контрагентам;

4) порядок роботи зі споживачем до і під час надання споживчого кредиту, уключаючи розкриття інформації про реальну вартість кредитів;

5) вимоги до оцінки майна, що отримується банком в заставу або забезпечення за кредитами на підставі права довірчої власності (далі - застава/заставлене майно) та оцінювачів, порядок оцінки майна, якщо оцінювачем є працівник банку;

6) процедури кредитного адміністрування та моніторингу;

7) порядок формування резервів під очікувані кредитні збитки за фінансовими активами відповідно до Міжнародних стандартів фінансової звітності (далі - МСФЗ);

8) порядок перегляду кредитів, уключаючи порядок перегляду кредитів, наданих пов'язаним особам;

11) порядок обміну інформацією між учасниками процесу управління кредитним ризиком, уключаючи види, форми і терміни подання інформації;

12) програму проведення стрес-тестування кредитного ризику;

13) порядок складання та перевірки достовірності статистичної звітності щодо кредитного ризику, що надається до Національного банку.

146. Банк використовує визначені критерії прийнятності кредитування, які визначають, хто має право на отримання кредиту і в якому розмірі, які види кредиту доступні і на які строки, а також на яких умовах надаються такі кредити.

Банк установлює критерії прийнятності кредитування, які не повинні прилаштовуватися до вимог та потреб пов'язаних з банком осіб.

147. Банк, ухвалюючи рішення щодо надання кредиту здійснює аналіз інформації та проводить всебічну оцінку ризиків. Банк під час схвалення кредитного рішення враховує такі фактори:

1) мету отримання кредиту та джерела його погашення;

2) кредитну історію і поточну платоспроможність боржника, виходячи з фінансових тенденцій попередніх періодів та прогнозів руху грошових коштів за різними сценаріями;

3) життєздатність бізнес-моделі боржника - юридичної особи, фізичної особи - суб'єкта господарювання, а також наявність у нього достатньої компетенції та ресурсів для її реалізації;

4) поведінкові моделі боржників фізичних осіб;

5) практичний досвід здійснення боржником господарської діяльності, стан галузі економіки, у якій здійснює свою діяльність боржник, та його позицію в ній, ринків збуту продукції/послуг, що виробляється/надається боржником, конкурентоспроможність боржника;

6) прийнятність та достатність забезпечення, можливість його реалізації;

7) додаткові умови кредитного договору, що забезпечують обмеження збільшення в майбутньому кредитного ризику;

8) прогнозні дані щодо необхідної суми формування резервів під очікувані кредитні збитки та величини кредитного ризику на момент видачі кредиту;

9) репутацію боржника та його здатність/готовність нести юридичну відповідальність та співпрацювати з банком з усіх питань, що можуть виникати протягом періоду користування кредитом;

10) структуру групи пов'язаних контрагентів та кредитну історію і поточну платоспроможність цих контрагентів. Для цього банк має розробити механізм виявлення ситуацій, коли доцільно класифікувати боржників як групу пов'язаних контрагентів і як окремого боржника;

11) рішення осіб, які відповідають за управління юридичною особою та здійснюють контроль за її діяльністю, щодо отримання кредиту, їх повноваження на прийняття такого рішення;

12) надійність та достатність юридичної позиції банку щодо умов кредитного договору та договорів забезпечення/застави для забезпечення належної співпраці з боржниками/контрагентами/заставодавцями.

148. Банк установлює значення лімітів кредитного ризику щонайменше щодо:

1) повноважень колегіального органу банку щодо ухвалення кредитних рішень як для портфеля кредитів у цілому, так і для одного боржника або групи пов'язаних контрагентів;

2) окремих боржників, а також груп пов'язаних контрагентів;

3) ризику концентрації (максимального обсягу заборгованості):

на одного боржника або групу пов'язаних контрагентів;

на боржників, що мають спільний вид економічної діяльності;

на боржників одного географічного регіону (регіон, у якому здійснює діяльність або проживає боржник, який може відрізнятися від регіону його реєстрації);

4) ризику контрагента в розрізі кожного з них;

5) максимального обсягу майна, яке банк може набути у власність у рахунок погашення боргу боржників.

149. Банк забезпечує належне управління процесом надання кредитів з метою запобігання перевищенню внутрішніх лімітів кредитного ризику, нормативів кредитного ризику, установлених Національним банком.

150. Банк створює та застосовує механізми внутрішнього контролю та інші механізми, що забезпечують своєчасне інформування керівників банку про відхилення від політики, процедур та порушення встановлених лімітів ризиків для прийняття своєчасних та адекватних управлінських рішень.

151. Банк установлює та впроваджує чіткий процес ухвалення кредитних рішень, уключаючи автоматичне ухвалення кредитних рішень, як для надання нових кредитів, так і для внесення змін до умов за діючими/наявними кредитами.

Банк має право автоматизувати процес автоматичного ухвалення кредитних рішень за стандартизованими кредитними продуктами або здійснювати автоматичне ухвалення кредитних рішень без автоматизації відповідно до алгоритму, описаного у внутрішньобанківських документах.

152. Банк визначає перелік документів та інформації, необхідних для ухвалення кредитних рішень як щодо нових кредитів, так і зміни умов за діючими/наявними кредитами. Для кредитних рішень, ухвалення яких не є автоматичним, цей перелік повинен обов'язково містити:

1) заявку кредитного підрозділу з визначенням структури та умов кредитування, висновком щодо здатності боржника забезпечити належне обслуговування та повернення кредиту, а також описом та обґрунтуванням кредитного рішення, що пропонується для ухвалення;

2) висновок підрозділу з управління ризиками;

3) висновок підрозділу контролю за дотриманням норм (комплаєнс) для ухвалення кредитних рішень щодо кредитів пов'язаним з банком особам;