Щодо організації та функціонування систем ризик-менеджменту у банках України

Направляємо для розгляду та надання у строк до 09.02.2004 пропозицій та зауважень до проекту Методичних вказівок щодо організації та функціонування систем ризик-менеджменту у банках України.

Національним банком України, для виконання положень проекту другої Базельської угоди про капітал, продовжується робота по розробці підходів та основних принципів для побудови в комерційних банках систем управління ризиками та системи нагляду на основі ризиків.

У додаток до Системи оцінки ризиків, яка розроблена, як методичні вказівки для фахівців банківського нагляду, Національним банком з урахуванням досвіду та найкращої практики побудови систем управління ризиками у провідних іноземних та вітчизняних банках, розроблено проект Методичних вказівок щодо організації та функціонування систем ризик-менеджменту у банках України.

Зазначені Методичні вказівки на першому етапі носитимуть рекомендаційний характер та розраховані на те, щоб допомогти банкам організувати діяльність систем управління ризиками. У подальшому планується частину рекомендацій визначити як мінімальні вимоги до систем управління ризиками у банках з відповідними заходами впливу до банків за їх недотримання.

При наданні пропозицій та зауважень прохання посилатися на вихідний реєстраційний номер даного документа та направляти інформацію на електронну скриньку 42MPBAN@U0H2.

Цей документ створено з метою викладення бачення Національного банку України щодо того, яким чином банки України мають підійти до організації та функціонування систем управління ризиками (ризик-менеджменту) з метою забезпечення їх комплексності та надійності.

Документ розроблено на підставі Законів України "Про банки і банківську діяльність" та "Про Національний банк України", а також з урахуванням провідних міжнародних документів, які регламентують принципи корпоративного управління та ризик-менеджменту в банках. При підготовці документа також враховані досвід і найкраща практика побудови та функціонування систем управління ризиками в провідних вітчизняних та іноземних банках.

Чітке дотримання методичних вказівок Національного банку має на меті забезпечення здійснення банком операцій в межах допустимих параметрів ризиків та у такий спосіб, який забезпечить захист інтересів вкладників і кредиторів. У цьому сенсі методичні вказівки можуть бути використані будь-якими банками із будь-яким профілем (величиною) ризику в його повсякденній роботі.

Національний банк особливо наполегливо рекомендує банкам зважати на ці методичні вказівки у разі прийняття банком свідомого рішення щодо збільшення параметрів ризику - розширення діяльності, орієнтації на роботу з особливими продуктами та послугами, групами контрагентів тощо, - а також у тому випадку, коли банк у результаті будь-яких подій опиняється в ситуації, яка характеризується високим профілем ризику.

Вказівки вироблені на основі найкращої світової та вітчизняної практики і досвіду щодо банківської діяльності взагалі та ризик-менеджменту зокрема. Тому їх врахування дозволить уникнути непродуманих рішень і помилок, а також більш ефективно використовувати ресурси банку. Відповідальність за врахування вказівок покладається на вищі органи банків - спостережну раду та правління.

Банкам України наполегливо рекомендується дотримуватися в своїй роботі принципів корпоративного управління, що викладені в Стандартах ОЕСР (додаток 1). Ці стандарти є універсальними для всіх видів діяльності і їх дотримання є виключно важливим для тих установ, що працюють із залученими коштами, будуючи свою роботу на засадах довіри, лояльності та дбайливого ставлення до клієнтів.

Національний банк України залишає за собою право вносити корективи в викладені в цьому документі вказівки та рекомендації у разі зміни ситуації на внутрішньому чи зовнішніх ринках, появи нових підходів та методик ризик-менеджменту, а також із переходом банківської системи до нових, більш складних банківських продуктів і послуг. Національний банк також планує в майбутньому запровадити деякі із викладених в цьому документі рекомендацій в якості обов'язкових мінімальних вимог до банків.

В цьому розділі розглядаються основні концепції управління ризиками (ризик-менеджменту) та встановлюються параметри, яких банки повинні намагатися досягти в своїй роботі.

Управління ризиками - це процес, за допомогою якого банк виявляє (ідентифікує) ризики, проводить оцінку їх величини, здійснює їхній моніторинг і контролює свої ризикові позиції, а також враховує взаємозв'язки між різними категоріями (видами) ризиків. Комплекс дій з ризик-менеджменту має на меті забезпечити досягнення наступних цілей:

- ризики мають бути зрозумілими та усвідомленими банком та його керівництвом;

- ризики мають знаходитись у межах рівнів толерантності, встановлених спостережною радою;

- рішення з прийняття ризику мають відповідати стратегічним завданням діяльності банку;

- рішення з прийняття ризику мають бути конкретними і чіткими;

- очікувана дохідність має компенсувати прийнятий ризик;

- розподіл капіталу має відповідати розмірам ризиків, на які наражається банк;

- стимули до досягнення високих результатів діяльності мають узгоджуватися з рівнем толерантності до ризику.

З точки зору ризик-менеджменту, банківська діяльність зводиться до прийняття ризику і отримання за це відповідної компенсації (економічної вигоди).

Мета управління ризиками - сприяти підвищенню вартості власного капіталу банку, одночасно забезпечуючи досягнення цілей багатьох зацікавлених сторін, а саме:

- клієнтів та контрагентів;

- керівництва;

- працівників;

- спостережної ради і акціонерів (власників);

- органів нагляду;

- рейтингових агентств, інвесторів та кредиторів;

- інших сторін.

Процес управління ризиками має охоплювати всі види діяльності банку, які впливають на параметри його ризику.

Управління ризиками передбачає прийняття рішень та вжиття заходів, спрямованих на мінімізацію, уникнення, пом'якшення ризиків, їх страхування, встановлення лімітів їх величини і безпосереднє прийняття ризику.

Управління ризиками повинно відбуватися на тому рівні організації, де ризик виникає, а також за допомогою функцій незалежної перевірки і контролю ризиків - на найвищих рівнях управління і на рівні спостережної ради.

В своїй діяльності банки повинні намагатися створити комплексну систему ризик-менеджменту, яка б забезпечувала надійний процес виявлення, оцінки, контролю та моніторингу всіх видів ризику на всіх рівнях організації, в тому числі з врахуванням взаємозв'язку між різними категоріями ризиків, а також вирішувала питання конфлікту завдань між необхідністю отримання доходу та мінімізації ризиків.

При розробленні і запровадженні комплексної системи управління ризиками банку спостережна рада і правління повинні здійснити такі дії:

- запровадити організаційну структуру і механізм контролю, що як мінімум задовольняють вимогам, викладеним у цьому документі;

- забезпечити прийняття ризиків відповідно до очікувань акціонерів (власників) банку, стратегічного плану банку та нормативних вимог, а також поширення в банку єдиного розуміння його корпоративної культури щодо ризиків;

- виділити необхідні ресурси на створення та підтримку ефективної, комплексної та збалансованої системи управління ризиками;

- відобразити у систематичній документальній формі організаційну структуру і механізм контролю і забезпечити відповідний доступ до цих документів;

- узгодити організаційну структуру та систему контролю бізнес-процесів банку з відповідними системами дочірніх структур та інших підконтрольних організацій таким чином, щоб не зашкодити контрольованій і стабільній діяльності самого банку;

- забезпечити уникнення конфлікту інтересів на всіх рівнях системи управління ризиками;

- здійснювати аналіз ризиків з урахуванням можливості виникнення екстремальних обставин (стрес-сценарії), на основі яких банк має визначати відповідні надзвичайні заходи, наприклад, у вигляді плану на випадок кризових обставин;

- запровадити процедури і заходи запобігання стресовим ситуаціям, які можуть виникнути через дію певних внутрішніх факторів;

- розробляти процедури і заходи моніторингу адекватної капіталізації банку;

- чітко сформулювати політику (положення) банку щодо контролю ризиків і ведення справ у відповідності з критеріями надійності банківських операцій;

- забезпечувати систематичне здійснення аналізу ризиків з метою ідентифікації, контролю, моніторингу і оцінки величини всіх ризиків;

- розробити і запровадити заходи внутрішнього контролю, які б забезпечували належне дотримання вимог законодавства і нормативно-правових актів, виконання договірних та інших зобов'язань, належне дотримання положень і процедур, правил і норм, встановлених цими положеннями, а також відповідної ділової поведінки;

- створити незалежну службу з управління ризиками, яка повинна мати відповідні повноваження, ресурси, досвід і корпоративний статус, щоб не мати будь-яких перешкод у доступі до необхідної інформації, у формуванні та поданні управлінських звітів за результатами своїх досліджень. Звіти мають доводитися до бізнес-підрозділів, керівництва та, за необхідності, до правління та спостережної ради банку;

- створити службу внутрішнього аудиту, незалежну від операційних підрозділів банку і відокремлену від заходів поточного внутрішнього контролю, які входять до складу певних компонентів тих чи інших бізнес-процесів; обсяг діяльності служби внутрішнього аудиту має охоплювати всі види діяльності і всі підрозділи банку.

Управління ризиками, як правило, не має на меті усунення ризику, а натомість спрямоване на забезпечення отримання банком відповідної винагороди за прийняття ризику. Виключення становлять деякі ризики, щодо яких не існує кореляції між їх рівнем та величиною винагороди банку (наприклад, в Системі оцінки ризиків Національного банку України, до таких ризиків відноситься юридичний ризик, ризик репутації, стратегічний ризик та операційно-технологічний ризик).

Багато ризиків, на які наражається банк, за своєю суттю властиві банківській діяльності і є істотною частиною посередницької функції перерозподілу грошових ресурсів, яку виконують банки (наприклад, кредитний ризик). Для таких ризиків банк прагне оптимізувати співвідношення "ризик/дохідність", максимізуючи дохідність для заданого рівня ризику або мінімізуючи ризик, необхідний для забезпечення бажаного рівня дохідності. Таким чином, в даному випадку проявляється концепція управління ризиком.

Інші ризики часто є тією ціною, яку необхідно сплатити за право займатися даним бізнесом, наприклад, юридичний ризик. Як правило, такі ризики банк прагне або змушений знизити до певного граничного рівня, намагаючись при цьому понести щонайменші витрати. В даному випадку проявляється концепція мінімізації ризику.

Ризики діяльності банку виникають на основі як внутрішніх (ендогенних), так і зовнішніх (екзогенних) факторів. Важливим є те, що значна частина зовнішніх факторів знаходиться поза межами контролю з боку банку, а відтак банк не може мати повної впевненості щодо результатів майбутніх подій та часу їх виникнення.

Реалізація зовнішнього фактору ризику, на який наражається банк, може поставити під загрозу безперервність його діяльності. Тому в процесі аналізу ризиків банк в обов'язковому порядку повинен враховувати можливість виникнення екстремальних обставин (стрес-сценарій). Таким чином, банк повинен розробити відповідні нагальні заходи у формі плану дій на випадок кризових обставин, який підлягає регулярному оновленню та тестуванню. Такі плани дій є невід'ємною складовою частиною механізмів контролю ризиків банку.

Банк також повинен забезпечити наявність процедур та заходів щодо попередження стресових ситуацій, викликаних внутрішніми причинами. Банк зобов'язаний здійснювати моніторинг ризиків задля забезпечення обгрунтованого та надійного взаємозв'язку між загальними параметрами його ризиків та фінансовими ресурсами і фінансовими результатами через відповідні механізми контролю.

Виходячи з цього, механізм контролю повинен включати, серед іншого, процедури і заходи щодо моніторингу адекватної капіталізації банку.

Методика кількісної оцінки ризиків повинна базуватися на критерії економічної вартості капіталу та необхідності підтримання капіталу на рівні, який є необхідним для компенсації ризику.

Діяльність з управління ризиками здійснюється через організаційну структуру. Організаційну структуру визначають культура організації, розмір і складність відповідних бізнес-операцій, види ризику, що приймається, і суттєвість можливих негативних наслідків. Таким чином, в різних банках методи управління ризиками можуть відрізнятися.

Організаційна структура і механізми контролю банку повинні відображати його завдання і стратегію щодо управління ризиками, а також включати процедури їхнього визначення, оцінки та перегляду.

Організаційна структура і механізми контролю повинні:

- забезпечувати безперервність діяльності банку в цілому;

- забезпечити виявлення (ідентифікацію), вимір та контроль ризиків;

- відповідати характеру, розміру, ступеню складності операцій банку, в тому числі враховувати особливості функціональної чи дивізійної побудови банку;

- враховувати усі бізнес-процеси і ризики;

- забезпечувати періодичний перегляд та уточнення обраної стратегії управління ризиками та механізмів її реалізації;

- самі підлягати періодичному уточненню та вдосконаленню, враховуючи зміни ситуації та середовища.

Банк має забезпечити чіткий розподіл функцій, обов'язків та повноважень з ризик-менеджменту, а також чітку схему відповідальності згідно з таким розподілом.

Розподіл функцій і повноважень повинен охоплювати всі організаційні рівні і підрозділи банку. Особливо велике значення надається розподілу функцій з управління ризиками між спостережною радою та правлінням банку. Загальну стратегію управління ризиками в банку визначає спостережна рада, а загальне керівництво управлінням ризиками здійснює правління.

Необхідно також приділяти належну увагу розподілу функцій і повноважень з ризик-менеджменту між операційними та контрольними службами, особливо коли йдеться про забезпечення оптимального виконання функцій внутрішньобанківського контролю.

Розподіл обов'язків і підпорядкованість підрозділів повинні бути задокументовані і доведені до відома виконавців таким чином, щоб весь персонал банку повністю розумів свої функції, обов'язки та повноваження, свою роль в організації і процесі здійснення контролю, а також свою підзвітність.

В світовій практиці розрізняють чотири взаємопов'язаних етапи ризик-менеджменту:

- ідентифікація (виявлення) ризику;

- кількісна оцінка (вимірювання) ризику;

- управління ризиком;

- моніторинг ризику.

Підрозділи фронт-офісу мають нести відповідальність за оперативне управління ризиками, що пов'язані з їх діяльністю, згідно встановлених рівнів толерантності до ризиків та лімітів, а також за результати (як позитивні, так і негативні) від прийняття цих ризиків. Така відповідальність має існувати незалежно від наявності в структурі банку підрозділу (служби), що безпосередньо виконує функції з управління ризиками.

Оцінка ризиків повинна здійснюватися та підтверджуватися незалежною службою - виконавчим органом з ризик-менеджменту, який має ресурси, повноваження та досвід, достатній для оцінки ризиків, тестування ефективності заходів з управління ризиками та надання рекомендацій щодо здійснення відповідних коригуючих дій.

Крім того, інші органи та підрозділи банку залучаються до процесу ризик-менеджменту в межах їх функцій та повноважень, згідно принципів корпоративного управління та методичних вказівок, що викладені в цьому документі.

Незалежно від розвиненості та складності своїх операцій, банки мають розрізняти очікувані і неочікувані збитки.

Очікувані збитки - це збитки, про які керівництво знає або повинно знати з достатньою впевненістю, що вони можуть мати місце (наприклад, очікуваний відсоток дефолтів за портфелем операцій з кредитними картками). Звичайно такі збитки в тій чи іншій формі передбачають створення резервів.

Неочікувані збитки - це збитки, пов'язані з не передбачуваними подіями (наприклад, системною кризою, міжнародною фінансовою кризою тощо). "Буфером" для поглинання неочікуваних збитків виступає капітал банку.

Банк повинен забезпечити систематичне здійснення аналізу ризиків, спрямованого на їх виявлення та оцінку їх величини. Метою аналізу має бути поглиблення розуміння суті ризиків, на які наражається банк, та визначення, чи узгоджуються вони з його завданнями, стратегією та політикою. Тому такий аналіз повинен здійснюватися постійно як на рівні установи в цілому, так і на рівні окремих підрозділів, та включати виявлення, вимірювання та оцінку всіх видів ризиків, в тому числі зв'язок між різними категоріями ризику.

Аналіз ризиків повинен охоплювати всі продукти, послуги та процеси банку і передбачати як якісну оцінку відповідних ризиків, так і, де можливо, оцінку їхніх кількісних параметрів. Керівництво банку повинно знати результати аналізу ризиків та враховувати їх в своїй роботі.

Аналіз ризиків - це безперервний процес, який відтак повинен враховувати:

- зміни внутрішніх та зовнішніх умов;

- нові продукти, послуги, процеси;

- плани на майбутнє.

В результаті аналізу ризиків можна дійти висновку, що ризики даного банку не відповідають - або перестали відповідати - обраним параметрам, або що обрані параметри ризиків не відповідають або перестали відповідати завданням та стратегії банку. Може також виявитися, що організаційна структура і механізми контролю банку не узгоджуються зі змінами в параметрах ризиків. Тому оцінка ризиків повинна супроводжуватися можливим переглядом завдань, обраної стратегії та розробленої організаційної структури та механізмів контролю.

Аналіз ризиків може виявити ризики, які не були виявлені раніше та/або які не можна мінімізувати за допомогою відповідних процедур та заходів контролю. В такому разі банк має прийняти рішення щодо прийнятності таких ризиків та доцільності подальшого здійснення того виду діяльності, на якому ці ризики грунтуються.

Аналіз ризиків повинен проводитись або перевірятись фахівцями, не залежними від виконання функцій пов'язаних з комерційною та/або фінансовою діяльністю - тобто прийняттям ризиків.

Для забезпечення належного виявлення, розуміння та управління ризиками у їх взаємодії між собою, вони не повинні розглядатися окремо один від одного. Аналіз, необхідний для виявлення та узагальнення ризиків, має проводитися на рівні, що дозволяє охопити банк у цілому, як на індивідуальній, так і на консолідованій основі.

Банк повинен забезпечити уникнення конфлікту інтересів. Аналіз ризиків повинен здійснюватися, а його результати повідомлятися зацікавленим сторонам без будь-якого впливу з боку керівників банку, відповідальних за той чи інший вид діяльності.

В цьому розділі розглядаються мінімальні вимоги та рекомендації щодо організаційної структури та методичного забезпечення банку в частині управління ризиками, а також мінімальні вимоги та рекомендації щодо основних аспектів функціонування підрозділів банку, задіяних в процесі ризик-менеджменту.

Процес ризик-менеджменту в банку повинен охоплювати всі його структурні щаблі та рівні - від вищого керівництва банку (спостережної ради та правління) до рівня, на якому безпосередньо приймається ризик.

Як мінімум, до процесу ризик-менеджменту повинні бути залучені такі структурні підрозділи банку:

- спостережна рада - в межах своїх функцій та відповідальності перед власниками банку;

- правління банку - в межах своїх повноважень та відповідальності перед спостережною радою банку, вкладниками/контрагентами та органами банківського нагляду;

- виконавчий орган з ризик-менеджменту - в межах своїх функцій щодо виявлення, кількісної оцінки, контролю та моніторингу ризику;

- бек-офіси - в межах своїх функцій контролю дотримання встановлених вимог;

- фронт-офіси - в межах своїх функцій прийняття на банк ризику в рамках доведених повноважень.

Функції всіх вищезгаданих структурних підрозділів повинні бути чітко визначені та задокументовані, а банк повинен зробити все належне для уникнення конфлікту інтересів між цими органами.

Виходячи з рівня розгалуженості структурної та філійної мережі кожного окремого банку, банкам рекомендується:

- створювати на рівні вищих колегіальних органів банку - спостережної ради та/або правління - окремі комітети, наприклад Комітет з ризик-менеджменту спостережної ради, - з метою оптимізації процесів загального нагляду за діяльністю банку в цьому аспекті;

- залучати незалежних експертів та інших спеціалістів для побудови системи внутрішнього контролю та оцінки її адекватності. Така рекомендація може бути виконана за допомогою залучення внутрішніх аудиторів банку в якості консультантів щодо побудови системи внутрішнього контролю, укладання угод про аутсорсинг консультаційних чи аудиторських послуг, а також через залучення зовнішніх аудиторів банку до тестування системи внутрішнього контролю;

- в залежності від обраної організаційної структури банку - функціональної чи дивізійної, а також обсягу та рівня складності операцій - здійснювати виділення підрозділів та проводити розподіл функцій між ними на рівні територіальних чи інших утворень (філій, відділень, департаментів, управлінь тощо).

В кожному банку має бути розроблена система нормативних актів щодо ризик-менеджменту. До переліку нормативних актів в обов'язковому порядку повинні входити:

- місія, цілі та завдання банку, а також стратегія його роботи щодо окремих видів ризиків, які затверджуються спостережною радою банку або її Комітетом з ризик-менеджменту. Разом ці внутрішньобанківські документи визначають толерантність банку до того чи іншого ризику окремо та до комплексу ризиків в цілому;

- бізнес-плани, положення, політики, процедури та інші регламентні документи, що розробляються та затверджуються правлінням банку в світлі стратегічних документів банку та вказують на реальні шляхи досягнення встановлених цілей і виконання передбачених процесів. Основною вимогою до цих документів є їх узгодженість між собою та із стратегічними документами банку;

- регламенті документи колегіальних, функціональних та територіальних підрозділів, посадові інструкції, ліміти та повноваження, які розробляються та доводяться до виконання відповідно до практики корпоративного управління в банку і мають на меті забезпечити безпосередню реалізацію банківської діяльності.

Банк має забезпечити своєчасну актуалізацію внутрішньої нормативної бази банку у разі зміни вимог законодавчого, регулятивного чи нормативного характеру, а також організаційної структури банку та рівня його толерантності до ризику. Банк також має забезпечити доведення внутрішньої нормативної бази банку до відома всіх відповідних виконавців, в тому числі через періодичне навчання та підвищення кваліфікації.

З метою піднесення ефективності процесу створення нормативної бази банку наполегливо рекомендується залучати членів спостережної ради банку до всіх етапів створення регламентних документів банку, принаймні тих з них, які мають затверджуватися на рівні спостережної ради.

Рекомендується, щоб стратегія банку затверджувалася спостережною радою та вміщувала принаймні такі аспекти:

- визначення рівня толерантності банку до ризиків;

- розмежування функцій і відповідальності спостережної ради і правління банку, профільних комітетів і підрозділів банку в процесі управління ризиками;

- встановлення єдиної методології ідентифікації і оцінки ризиків банку;

- встановлення ефективної системи підтримки прийняття управлінських рішень з урахуванням рівня ризиків, з яким працює банк;

- забезпечення проведення банківських операцій у відповідності до встановлених політик, процедур і регламентів;

- забезпечення життєздатності банку в кризових ситуаціях (в разі системної кризи або близького до системної кризи);

- оптимізація очікуваних прибутків та збитків та зниження рівня неочікуваних збитків.

Також рекомендується, щоб регламентні документи банку - політики, положення та процедури - які затверджуються правлінням банку, мали наступну структуру викладення:

- загальні положення та визначення ключових термінів. Цей розділ повинен містити посилання на основні нормативно-правові акти і документи, на підставі яких був розроблений документ, а також чітке визначення термінів, які вживаються в документі;

- цілі документа. Цілі повинні бути недвозначними і висловленими у формі переліку;

- межі застосування. В цьому розділі визначається коло питань, що входять до компетенції цього документа;

- карта ризиків. У даному розділі повинен бути приведений перелік і визначення ризиків банку, на які розповсюджується дана політика;

- положення політики. Даний розділ повинен містити детальний опис положень політики. В цьому розділі необхідно визначити принципи управління ризиками, розподіл повноважень і принципи взаємодії між учасниками процесу управління ризиками (правління і профільні комітети банку, підрозділу фронт- і бек-офісів), структура внутрішніх і зовнішніх лімітів, моделі оцінки і прогнозування ризиків;

- звітність. Цей розділ повинен містити ключові елементи процесу підготовки і надання звітності. Дотримання цих елементів повинне легко перевірятися, а вимоги до звітності повинні бути викладені у вигляді переліку з вказівкою періодичності їх подання (щоденні, щотижневі, щомісячні і т. д.). Форми звітів повинні бути приведені в додатках;

- системи підтримки. Даний розділ повинен визначати системи ІТ, які повинні використовуватися для менеджменту ризиків, і основні вимоги щодо розробки нових систем (автоматизована банківська система, спеціалізоване програмне забезпечення тощо);

- супровід політики. У цьому розділі необхідно вказати перелік підрозділів, які повинні супроводжувати політику і системи підтримки;

- заключні положення. У даному розділі повинні бути приведені терміни перегляду політики і визначений регламент внесення змін;

- додатки. У додатках має бути представлена детальна інформація щодо методик, регламентів, інструкцій, техніка оцінки ризиків, теоретичного обгрунтування моделей, процедур перевірки адекватності моделей, приклади звітів і т. п.

Спостережна рада банку призначається із числа його власників і повинна складатися мінімум із п'яти осіб, які мають бездоганну ділову репутацію. Члени спостережної ради банку, як мінімум, повинні:

- розуміти значні ризики, з якими працює або планує працювати банк;

- розуміти потреби банку у капіталі;

- аналізувати хід виконання планів щодо операційної та фінансової діяльності банку та вимагати від виконавчих органів пояснення розходжень між запланованими і фактичними рівнями;

- використовувати власне незалежне судження при здійсненні загального нагляду за операціями банку, діяти незалежно від правління в інтересах власників банку та його стабільної і довготривалої роботи;

- оцінювати на регулярній основі ефективність і обережність дій правління щодо управління операціями банку і ризиками, на які наражається банк.

Кількість членів спостережної ради має відповідати розмірам та потребам банку.

В залежності від рівня складності та обсягів операцій банку, а також переліку ризиків, з якими банк працює або планує працювати, рекомендується, щоб:

- принаймні троє членів спостережної ради мали досвід роботи в банківській сфері на керівних посадах;

- спостережна рада формувала із числа своїх членів Комітет з ризик-менеджменту, на який повинні покладатися функції, визначені в статті 15 даного документа;

- члени Комітету з ризик-менеджменту спостережної ради:

- мали достатнє розуміння процесів ризик-менеджменту, в тому числі методів та прийомів виявлення і кількісної оцінки ризиків;

- розуміли всі ризики, з якими банк працює або планує працювати;

- передбачали та планували потреби банку у капіталі виходячи з його поточного та очікуваного профілю ризику;

- Комітет з ризик-менеджменту спостережної ради проводить регулярні наради з метою загального спрямування процесу управління ризиками, в тому числі із заслуховуванням рекомендацій внутрішніх та зовнішніх аудиторів, а також наглядових органів в частині вдосконалення цього процесу;

- Комітет з ризик-менеджменту спостережної ради принаймні двічі на рік звітував перед спостережною радою, а також мав повноваження скликати позачергові збори спостережної ради у разі виникнення потреби.

Спостережна рада банку, виходячи із своїх функцій та загальновизнаних принципів корпоративного управління, має визначати основні контури організаційної структури банку з метою забезпечення виконання всіх етапів процесу ризик-менеджменту: виявлення (ідентифікації), оцінки, контролю та моніторингу ризиків. Для виконання цього завдання спостережена рада має:

- визначити основні контури організаційної структури банку, в тому числі кількість, обов'язки і повноваження комітетів спостережної ради та правління, а також порядок їх підпорядкування та підзвітності;

- забезпечити чітке відокремлення в організаційній структурі банку системи управління ризиками від системи внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту);

- забезпечити наявність необхідних заходів адміністративного та іншого контролю, які б гарантували виконання підрозділами ризик-менеджменту та внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту) своїх завдань неупереджено та незалежно один від одного та від основної діяльності банку, в тому числі через призначення керівників цих функціональних підрозділів;

- на регулярній основі проводити, в тому числі через Комітет з ризик-менеджменту спостережної ради, перегляд та оцінку адекватності системи внутрішнього контролю, внутрішнього аудиту та ризик-менеджменту, а також вносити відповідні корективи у разі потреби.

З метою більш повного дотримання принципів надійного корпоративного управління та забезпечення стабільності роботи банку, рекомендується, щоб спостережна рада банку додатково здійснювала такі заходи:

- погоджувала організаційну структуру банку, деталізовану принаймні до рівня основних виконавчих, функціональних та територіальних підрозділів;

- погоджувала призначення та звільнення керівників окремих найбільш важливих виконавчих, функціональних чи територіальних підрозділів банку;

- вела кадровий резерв банку (планувала наступництво керівного складу банку);

- визначала основні принципи функціонування систем внутрішнього аудиту та ризик-менеджменту;

- на регулярній основі вимагала від внутрішнього та зовнішнього аудиту винесення рекомендацій щодо вдосконалення систем внутрішнього контролю та ризик-менеджменту;

- вимагала від правління банку вжиття заходів щодо реалізації отриманих рекомендацій стосовно покращання систем внутрішнього контролю, а також контролювала хід їх виконання.

Спостережна рада банку як вищий постійний орган банку, який представляє інтереси його власників, несе відповідальність за визначення стратегії роботи банку в цілому. На виконання цього завдання спостережна рада має проводити принаймні наступну роботу:

- розробляти місію, цілі та завдання банку;

- визначати і затверджувати стратегію діяльності банку і його бізнес-плани за значними операціями, також проводити періодичну (як мінімум щорічну) оцінку адекватності стратегії діяльності банку напрямам та темпам його розвитку та вносити необхідні зміни і корективи;

- чітко визначати рівень толерантності банку до ризику ("апетит до ризику") через прийняття та періодичний (як мінімум, раз на рік) перегляд відповідних регламентних документів;

- розробити та затвердити належну політику управління капіталом з урахуванням значних операцій банку, у тому числі положення щодо кількості та якості капіталу, необхідного для забезпечення поточних і запланованих операцій банку, а також періодично (принаймні раз на рік) переглядати її;

- розробити і затвердити необхідні стратегії і положення стосовно контролю діяльності банку та періодично (як мінімум, щорічно) розглядати їх впровадження і вживати заходів щодо створення і підтримання ефективної системи внутрішнього нагляду (внутрішнього аудиту та внутрішнього контролю) і системи управління ризиками у відповідності з організаційною структурою та цілями діяльності банку.

З метою оптимізації процесів банку та забезпечення їх стабільності спостережна рада банку має додатково вживати такі заходи щодо забезпечення визначення стратегії роботи банку:

- забезпечити, щоб всі політики, положення та інші регламенті документи банку, які визначають його "апетит до ризику", були виваженими, обережними та відповідали поточній ситуації в банку та в економіці;

- понад мінімально необхідну частоту перегляду регламентних документів - раз у рік - здійснювати більш частий їх перегляд та актуалізацію у разі виникнення потреб з метою забезпечення їх адекватності поточній та очікуваній діяльності банку, його економічному оточенню, ресурсам та досягнутим результатам;

- передбачити в регламентних документах банку щодо ризиків чіткий взаємозв'язок між рівнем ризику, на який готовий йти банк, та мінімальним рівнем необхідної дохідності, а також між рівнем ризику банку та рівнем його капіталу (процедури алокації капіталу);

- здійснювати регулярні заходи щодо отримання підтвердження наявності в банку безперервного, адекватного та ефективного процесу управління ризиками та капіталом.

Спостережна рада банку має дбати про відсутність в банку конфлікту інтересів, який може зашкодити його надійній роботі та подальшому існуванню. Для цього спостережна рада, як мінімум, має:

- забезпечити уникнення будь-якого конфлікту (а також його видимості) між приватними інтересами своїх членів і членів правління і комерційними інтересами банку, або конфлікту між іншими посадами, які можуть обіймати члени спостережної ради і правління, і комерційними інтересами банку;

- встановити норми ведення діяльності і етичної поведінки для членів спостережної ради, правління і персоналу банку, а також отримувати на регулярній основі достатні підтвердження того, що банк має постійний, належний та ефективний процес забезпечення дотримання цих норм.

Оскільки реалізація конфлікту інтересів є серйозним порушенням системи внутрішнього контролю, що може поставити під загрозу не тільки ефективність роботи банку, але і його існування взагалі, рекомендується:

- запровадити вимоги до працівників банку, в тому числі керівників, щодо самостійного повідомлення про наявність конфлікту інтересів;

- включати питання виявлення конфлікту інтересів до програми перевірок службою внутрішнього аудиту;

- направляти звіти про результати виявлення конфлікту інтересів до спостережної ради з метою вжиття заходів щодо їх уникнення.

Наведені в цій статті функції входять до компетенції спостережної ради. Відповідно до рекомендації статті 11, з метою забезпечення ефективності виконання цих функцій, банкам рекомендується створити Комітет з ризик-менеджменту спостережної ради. У разі, якщо спостережна рада прийме рішення не створювати цей Комітет, то визначені в цій статті рекомендації мають застосовуватися до всієї спостережної ради банку.

У разі створення в банку Комітету з ризик-менеджменту спостережної ради, до його складу мають входити принаймні три члени спостережної ради. Обов'язки Комітету мають визначатися спостережною радою. Як мінімум, Комітет виконує такі завдання:

- готує рішення спостережної ради щодо організаційної структури банку в частині:

- забезпечення виділення підрозділів, які задіяні до процесу ризик-менеджменту (згідно статті 9);

- забезпечення відокремлення функцій внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту) від функції ризик-менеджменту (згідно статті 12);

- контролює підготовку внутрішньої нормативної бази банку щодо ризик-менеджменту (згідно статті 10);

- готує рішення спостережної ради щодо визначення стратегії банку в частині ризик-менеджменту (згідно статті 13);

- здійснює контроль за уникненням конфлікту інтересів в банку (згідно статті 14).

Банкам наполегливо рекомендується включити до переліку функцій Комітету з ризик-менеджменту спостережної ради наступні питання:

- отримання достовірної та точної інформації стосовно:

- рішень правління банку;

- ризикової позиції банку в усіх визначених сферах ризику;

- результатів моделювання, стрес-тестів і бек-тестування, а також відповідних висновків;

- співвідношення ризику/винагороди для всіх продуктів, послуг і операційних функцій;

- розгляд всіх звітів, підготовлених виконавчим органом з ризик-менеджменту, підрозділом внутрішнього аудиту, зовнішніми аудиторами та органами банківського нагляду;

- здійснення моніторингу даних щодо позицій і ціноутворення; рівнів ризику та порушень лімітів;

- щоквартальне звітування перед повним складом спостережної ради про:

- свою діяльність за попередні три місяці;

- стан ризикової позиції банку за продуктами, послугами і операційними функціями;

- факти недотримання положень та встановлених лімітів, а також надає рекомендації щодо удосконалення процесу управління ризиками банку.

Правління банку як вищий виконавчий орган банку, що підзвітний спостережній раді банку, має взаємодіяти із спостережною радою з питань ризик-менеджменту, виходячи із загальноприйнятих принципів корпоративного управління та ієрархії процесів управління ризиками. Така взаємодія має, як мінімум, складатися із двох складових - звітування та подання рекомендацій.

У частині звітування перед спостережною радою (або Комітетом з ризик-менеджменту спостережної ради) правління банку повинно принаймні:

- визначати значимість виявлених (ідентифікованих) ризиків та, у разі потреби, належним чином своєчасно звітувати перед спостережною радою щодо таких ризиків;

- надавати спостережній раді своєчасні, змістовні, точні і повні звіти щодо реалізації стратегії діяльності банку і його бізнес-планів за значними операціями і щодо фактичних операційних та фінансових результатів банку у порівнянні з прогнозними результатами;

- надавати спостережній раді своєчасні, змістовні, точні і повні звіти щодо управління значними ризиками і щодо процедур та засобів контролю для управління цими ризиками;

- забезпечувати уникнення будь-якого конфлікту (або його видимості) між приватними інтересами своїх членів і комерційними інтересами банку або конфлікту між іншими посадами, які можуть обіймати члени правління, і комерційними інтересами банку, а також своєчасно повідомляти спостережну раду у разі виникнення такого конфлікту.

У частині винесення рекомендацій спостережній раді (або Комітету з ризик-менеджменту спостережної ради) правління банку, як мінімум, повинно:

- розробляти і подавати спостережній раді на розгляд і затвердження завдання, стратегію діяльності і бізнес-плани банку (за значними операціями), а також зміни до них, в яких в обов'язковому порядку мають враховуватися економічне оточення банку, його фінансовий стан і ризики, на які він наражається або наражатиметься при проведенні своїх поточних і запланованих операцій;

- розробляти та подавати на розгляд та затвердження спостережною радою внутрішні нормативні документи щодо ризик-менеджменту, а також зміни до них, в межах своєї компетенції (згідно статті 17);

- розробляти та подавати на розгляд та затвердження спостережною радою плани дій на випадок кризових ситуацій.

Додатково наполегливо рекомендується щоб правління банку:

- принаймні раз на рік здійснювало перегляд вироблених завдань, стратегії діяльності та бізнес-планів банку з метою визначення їх відповідності поточним реаліям, а також виносило рекомендації спостережній раді щодо внесення необхідних змін та корегувань в ці документи;

- рекомендувати спостережній раді внести зміни до внутрішніх нормативних документів у разі виникнення потреб, тобто частіше за рекомендований щорічних строк;

- звітувало перед спостережною радою або Комітетом з ризик-менеджменту спостережної ради за всіма ризиками, з якими працює чи планує працювати банк, в тому числі в розрізі нових продуктів та послуг, нових сегментів ринку чи нових напрямів діяльності;

- у разі потреби, надавало спостережній раді консультації та роз'яснення в частині процесів та методів управління ризиками;

- здійснювало процес звітування у форматі офіційних зустрічей або нарад із залученням всіх членів спостережної ради, на додаток до офіційних письмових звітів.

Правління банку є вищим виконавчим органом банку, який несе відповідальність за безпосередню організацію та реалізацію процесу ризик-менеджменту в банку, тобто за забезпечення виявлення (ідентифікації), оцінки, контролю та управління ризиками, враховуючи взаємозв'язок між його різними категоріями (видами). Для реалізації цього завдання правління банку має як мінімум:

- розуміти всі без виключення ризики, з якими банк працює або планує працювати, а також взаємозв'язок між різними категоріями (видами) ризиків;

- включити до внутрішніх нормативних документів банку власне бачення класифікації ризиків та їх визначень (карту ризику), та періодично (не рідше одного разу на рік) здійснювати перегляд цих документів з метою їх актуалізації;

- розробити та затвердити внутрішні регламенті документи банку щодо управління окремими ризиками (як мінімум - всіма значними для даного банку ризиками), в тому щодо їх прийняття, обмеження, уникнення, страхування та хеджування, а також забезпечити постійну адекватність і ефективність цих документів через внесення до них відповідних змін та доповнень у відповідь на зміни зовнішніх або внутрішніх факторів;

- розробити та затвердити внутрішні банківські положення та процедури щодо кількісної оцінки ризиків. Періодично (не рідше одного разу на рік) здійснювати перегляд цих процедур та положень з метою їх актуалізації та врахування останніх методичних та програмних розробок в практиці ризик-менеджменту;

- встановлювати і застосовувати належні й ефективні процедури і засоби контролю для управління ризиками, на який наражається банк, здійснювати моніторинг дотримання цих процедур і засобів контролю, а також забезпечувати їх постійну адекватність та ефективність шляхом перегляду та внесення необхідних змін;

- забезпечувати доведення до відома відповідних працівників банку планів на випадок кризових обставин з метою поінформування їх про можливі додаткові обов'язки та порядок дії у ситуаціях, що можуть виникнути.

Виходячи із кращої світової та вітчизняної практики організації процесу ризик-менеджменту, додатково рекомендується:

- залучати до процесу розробки внутрішньої нормативної бази щодо класифікації ризиків та їх кількісної оцінки відповідних висококваліфікованих працівників виконавчих органів з ризик-менеджменту, а також зовнішніх експертів;

- залучати до процесу розробки процедур та заходів контролю та моніторингу управління ризиками, в якості консультантів, висококваліфікованих працівників підрозділу з внутрішнього аудиту банку, а також зовнішніх експертів;

- сформулювати план на випадок кризових обставин у вигляді збірника рекомендацій та забезпечити наявність цього збірника у відповідних працівників банку, в тому числі своєчасну заміну старих його варіантів на нові;

- забезпечити постійне підвищення кваліфікації керівного складу та працівників банку щодо ризик-менеджменту.

Одним із найголовніших завдань правління банку є формування тактики роботи щодо ризик-менеджменту в світлі затверджених спостережною радою місії, цілей та завдань банку, а також його стратегії поводження із різноманітними ризиками. При виконанні цього завдання правління, як мінімум, має:

- проводити оперативний контроль за роботою виконавчого органу з ризик-менеджменту, а також бути обізнаним у справах інших колегіальних органів банку, які у той чи інший спосіб залучені до процесу прийняття чи контролю ризиків (наприклад, кредитного комітету, комітету з активів та пасивів тощо);

- здійснити формалізований процес ідентифікації ризиків у продуктах, послугах, функціональних та організаційних підрозділах банку. Періодично (не рідше одного разу на рік) здійснювати перегляд продуктів та підрозділів банку з метою виявлення нових або додаткових ризиків;

- брати активну участь у процесі розробки продуктів та послуг банку, в тому числі в процесі визначення їх вартості для контрагентів (ціни продуктів та послуг), з метою забезпечення дотримання оптимального співвідношення між їх ризикованістю та доходом банку;

- у рамках вимог законодавства, нормативно-правових актів та внутрішніх регламентних документів самого банку, здійснювати планування діяльності банку та контролювати досягнення запланованих показників діяльності;

- оцінювати на сукупній основі різні види ризику банку, із якими він працює або планує працювати, в розрізі окремих контрагентів, груп контрагентів, галузей (видів діяльності) та географічних регіонів тощо.

У процесі здійснення функції контролю та управління ризиками правління банку може делегувати частину своїх функцій, повноважень та безпосереднього керування ризиками профільним колегіальним виконавчим органам банку (комітету з управління активами та пасивами, кредитному комітету, тарифному комітету тощо).

Оскільки ефективність роботи банку щодо виконання стратегічних завдань великою мірою залежить від того, наскільки вдалою виявиться обрана тактика реалізації цих завдань, а також від того, наскільки повно вона врахує всі фактори впливу і наскільки добре буде доведена до відома виконавців, банкам наполегливо рекомендується таке:

- забезпечити входження членів правління банку в усі без винятку виконавчі колегіальні органи, які у той чи інший спосіб залучені до прийняття ризику чи його контролю. Участь членів правління в роботі таких органів має бути активною і спрямованою на забезпечення виконання встановлених цілей та стратегічних завдань банку. Члени правління мають регулярно звітувати перед повним складом правління, а у разі потреби - перед спостережною радою - щодо роботи виконавчих колегіальних органів банку;

- під час виявлення (ідентифікації) ризиків, з якими працює або планує працювати банк, враховувати ризики, які проявляються як в самому банку, так і в його дочірніх структурах або інших установах, що входять до складу консолідованої банківської групи. Потрібно також здійснювати комплексну кількісну оцінку таких ризиків, в тому числі із застосуванням сценаріїв та припущень.