Про схвалення Методичних рекомендацій щодо організації та функціонування систем ризик-менеджменту в банках України

2.1. Кожному банку рекомендується розробити систему внутрішньобанківських нормативних документів щодо ризик-менеджменту. Необхідно забезпечити своєчасну актуалізацію внутрішньобанківської нормативної бази у разі зміни вимог законодавчого, регулятивного чи нормативного характеру, організаційної структури банку та зміни рівня толерантності банку до ризику. Банк має забезпечити доведення внутрішньобанківської нормативної бази до відома всіх відповідальних виконавців, у тому числі через періодичне навчання та підвищення кваліфікації. З метою піднесення ефективності процесу створення внутрішньобанківської нормативної бази банку рекомендується залучати членів спостережної ради банку до ключових етапів створення регламентних документів банку, таких які мають затверджуватися на рівні спостережної ради.

2.2. Рекомендовано, щоб у внутрішньобанківських нормативних документах банків відображалися:

місія;

цілі, завдання та стратегія роботи банку щодо управління ризиками;

концепції управління ризиками в банку;

політики щодо управління окремими категоріями ризиків та бізнес-плани їх впровадження;

регламентні документи колегіальних органів, функціональних та територіальних підрозділів, посадові інструкції, ліміти та повноваження.

Рекомендується щоб місія банку розроблялася спостережною радою і затверджувалася загальними зборами акціонерів.

Цілі, завдання та стратегію роботи банку щодо управління ризиками доцільно затверджувати рішенням спостережної ради банку.

Рекомендується, щоб концепція управління ризиками банку також затверджувалась рішенням спостережної ради та вміщувала такі аспекти:

мета та основні завдання концепції;

межі застосування концепції;

сутність процесу управління ризиками;

карта та визначення основних категорій ризиків;

визначення основних принципів управління ризиками;

визначення рівня толерантності банку до ризиків;

перелік обов'язкових політик банку щодо управління основними категоріями ризиків;

організаційна структура, делегування повноважень та прийняття рішень у процесі управління ризиками. Зокрема, розмежування функцій і відповідальності спостережної ради і правління банку, профільних комітетів і підрозділів банку в процесі управління ризиками;

встановлення єдиних принципів ідентифікації і оцінки ризиків банку;

встановлення ефективної системи підтримання прийняття управлінських рішень з урахуванням рівня ризиків, з яким працює банк;

передбачення вимоги щодо дотримання встановлених політик, процедур і регламентів під час проведення банківських операцій;

забезпечення життєздатності банку в кризових ситуаціях (у разі системної кризи або стану, близького до системної кризи).

У бізнес-планах, політиках, положеннях та процедурах рекомендовано зазначати реальні шляхи досягнення встановлених цілей і виконання передбачених процесів. Основною вимогою до цих документів є їх узгодженість між собою та стратегічними документами банку.

Також рекомендується, щоб політики управління основними категоріями ризиків затверджувалися спостережною радою або правлінням банку та мали таку структуру викладення:

загальні положення та визначення ключових термінів;

цілі документа;

межі застосування політики;

карта ризиків. У цьому розділі доцільно навести перелік і визначення ризиків, на які розповсюджується ця політика;

положення політики. У цьому розділі доцільно визначити принципи управління ризиками, розподіл повноважень і взаємодію між учасниками процесу управління ризиками (спостережною радою, правлінням, профільними комітетами, фронт- і бек-офісами), структуру лімітів, моделі оцінки і прогнозування ризиків тощо;

звітність. Розділ має містити ключові елементи процесу підготовки і подання звітності. Форми звітності слід навести в додатках;

системи інформаційної підтримки. Розділ має визначати системи інформаційних технологій для ризик-менеджменту і основні вимоги щодо розроблення нових систем (автоматизована банківська система, спеціалізоване програмне забезпечення тощо);

супровід політики. У цьому розділі можна зазначити перелік підрозділів, які мають супроводжувати політику і системи інформаційної підтримки;

заключні положення. У цьому розділі можна навести терміни перегляду політики і визначений регламент унесення змін;

додатки. У додатках має бути представлена інформація щодо методик, регламентів, інструкцій, техніка оцінки ризиків, теоретичного обгрунтування моделей, процедури перевірки адекватності моделей, приклади звітів тощо.

Регламентні документи колегіальних органів, функціональних та територіальних підрозділів, посадові інструкції, ліміти та повноваження розробляються та доводяться до відома для виконання відповідно до практики корпоративного управління в банку і забезпечують здійснення банківських операцій.

3.1. Спостережна рада банку обирається з числа учасників банку або їх представників, які мають бездоганну ділову репутацію. Рекомендується щоб мінімальна кількість членів ради становила 5 осіб. Кількість членів спостережної ради має відповідати розмірам та потребам банку.

Рекомендується, щоб члени спостережної ради банку, як мінімум:

розуміли значні ризики, на які банк наражається, та які можуть надалі виникнути в діяльності банку;

розуміли потреби банку в капіталі;

аналізували хід виконання планів щодо операційної та фінансової діяльності банку та вимагали від виконавчих органів пояснення розходжень між запланованими і фактичними рівнями показників діяльності банку;

використовували власне судження під час здійснення загального нагляду за операціями банку, діяли незалежно від правління в інтересах власників банку та стабільної і довготривалої роботи банку;

оцінювали на регулярній основі ефективність і обережність дій правління щодо управління операціями банку і ризиками, на які наражається банк.

Рекомендується також щоб принаймні один член спостережної ради мав досвід роботи в банківській сфері на керівних посадах або в іншій сфері, що пов'язана з банківською.

3.2. Залежно від рівня складності та обсягів операцій банку, а також ризиків, на які наражається банк, та які надалі можуть виникнути в діяльності банку, спостережна рада може прийняти рішення про формування з членів спостережної ради Комітету з ризик-менеджменту, з покладанням на нього функцій, обов'язків та завдань, визначених у цих Методичних рекомендаціях.

3.3. У разі прийняття рішення не створювати Комітет з ризик-менеджменту спостережної ради, визначене в главі 7 цих Методичних рекомендацій доцільно застосовувати до всієї спостережної ради банку.

4.1. Спостережна рада банку відповідно до своїх функцій та загальновизнаних принципів корпоративного управління має визначати основні засади організаційної структури банку.

4.2. Для цього спостережна рада:

визначає основні засади організаційної структури банку, у тому числі кількість, обов'язки і повноваження комітетів спостережної ради та правління, а також порядок їх підпорядкування та підзвітність;

забезпечує в організаційній структурі банку відокремлення системи управління ризиками від системи внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту);

забезпечує наявність необхідних заходів адміністративного та іншого контролю, які гарантували б виконання підрозділами ризик-менеджменту та внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту) своїх завдань неупереджено та незалежно один від одного.

4.3. З метою повнішого дотримання принципів корпоративного управління та забезпечення стабільної роботи банку рекомендується, щоб спостережна рада банку додатково здійснювала такі заходи:

погоджувала основні засади організаційної структури банку;

погоджувала призначення та звільнення керівників окремих найважливіших виконавчих, функціональних чи територіальних підрозділів банку;

планувала наступництво керівників (забезпечувала наявність кадрового резерву щодо керівників) банку;

на регулярній основі проводила оптимізацію організаційної структури банку стосовно систем ризик-менеджменту та внутрішнього контролю на підставі рекомендацій внутрішнього та зовнішнього аудиту, служби банківського нагляду Національного банку.

5.1. Спостережна рада банку як орган банку, який представляє інтереси його власників, несе відповідальність за визначення стратегії роботи банку в цілому. На виконання цього завдання спостережній раді рекомендовано проводити таку роботу:

визначати місію, цілі та завдання банку;

визначати і затверджувати стратегію діяльності банку і його бізнес-плани, також проводити періодичну (як мінімум щорічну) оцінку адекватності стратегії діяльності банку напрямам та темпам його розвитку та вносити необхідні зміни та корективи;

чітко визначати стратегію банку в частині ризик-менеджменту;

брати участь у розробленні та затвердженні політики управління капіталом з урахуванням значних операцій банку, у тому числі положення щодо кількості та якості капіталу, необхідного для забезпечення поточних і запланованих операцій банку, а також періодично (принаймні раз на рік) переглядати її;

брати участь у розробленні та затвердженні необхідних стратегій і положень щодо контролю діяльності банку та періодично (як мінімум, щорічно) розглядати результати їх впровадження і вживати заходів щодо створення і підтримання ефективної системи внутрішнього нагляду (внутрішнього аудиту та внутрішнього контролю) і системи управління ризиками відповідно до організаційної структури та цілей діяльності банку.

5.2. З метою оптимізації процесів банку та забезпечення їх стабільності, спостережній раді доцільно додатково вживати таких заходів щодо забезпечення визначення стратегії роботи банку:

забезпечити, щоб всі політики, положення та інші регламентні документи банку, які визначають його "апетит до ризику", були виваженими, обережними та відповідали поточній ситуації в банку та в економіці;

забезпечити частіший перегляд регламентних документів та актуалізацію у разі потреби для їх адекватності поточній та очікуваній діяльності банку, його економічному оточенню, ресурсам та досягнутим результатам;

передбачити в регламентних документах банку щодо ризиків чіткий взаємозв'язок між рівнем ризику, на який готовий іти банк, та мінімальним рівнем потрібної дохідності, а також між рівнем ризику банку та рівнем його капіталу (процедури алокації капіталу);

здійснювати регулярні заходи щодо отримання підтвердження наявності в банку безперервного, адекватного та ефективного процесу управління ризиками та капіталом.

6.1. Спостережна рада банку має дбати про відсутність у банку конфлікту інтересів, який може зашкодити його надійній роботі та подальшому існуванню. Для цього спостережна рада, як мінімум, має:

забезпечити уникнення будь-якого конфлікту (а також його видимості) між приватними інтересами керівників і працівників банку і комерційними інтересами банку або конфлікту між іншими посадами, які можуть обіймати члени спостережної ради і правління і комерційними інтересами банку;

установити норми діяльності і етичної поведінки для членів спостережної ради, правління і персоналу банку, а також отримувати на регулярній основі достатні підтвердження дотримання цих норм.

6.2. Оскільки настання конфлікту інтересів є серйозним порушенням системи внутрішнього контролю, що може поставити під загрозу не тільки ефективність роботи банку, але і його існування взагалі, рекомендується:

запровадити вимоги до працівників банку, у тому числі керівників, щодо самостійного повідомлення про наявність конфлікту інтересів;

включати питання виявлення конфлікту інтересів до програми перевірок службою внутрішнього аудиту;

направляти звіти про результати виявлення конфлікту інтересів до спостережної ради з метою вжиття заходів щодо їх уникнення.

7.1. Наведені в цій главі завдання та функції належать до компетенції спостережної ради. У разі створення комітету з ризик-менеджменту спостережної ради (далі - комітет) зазначені у цій главі завдання та функції доцільно покладати на цей комітет.

7.2. До складу комітету мають входити принаймні три члени спостережної ради. Обов'язки його мають визначатися спостережною радою.

7.3. Рекомендується, щоб члени комітету:

мали достатнє розуміння процесів ризик-менеджменту, у тому числі методів та прийомів виявлення і кількісної оцінки ризиків;

розуміли всі ризики, на які банк наражається або які можуть з'явитися у діяльності банку надалі;

передбачали та планували потреби банку у капіталі, виходячи з його поточного та очікуваного профілю ризиків.

7.4. Рекомендується також, щоб комітет:

проводив регулярні наради з метою загального спрямування процесу управління ризиками, у тому числі із заслуховуванням рекомендацій внутрішніх та зовнішніх аудиторів, а також наглядових органів у частині вдосконалення цього процесу;

принаймні щоквартально звітував перед спостережною радою та мав повноваження у разі потреби скликати позачергове засідання спостережної ради;

готував проект рішення спостережної ради щодо організаційної структури банку в частині:

визначав підрозділи, які задіяні в процесі ризик-менеджменту (згідно із главою 1 цього розділу);

забезпечував незалежність функцій ризик-менеджменту (згідно із главою 4 цього розділу) від функцій внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту);

контролював підготовку внутрішньобанківської нормативної бази щодо ризик-менеджменту (згідно із главою 2 цього розділу);

готував проект рішення спостережної ради щодо визначення стратегії банку в частині ризик-менеджменту (згідно із главою 5 цього розділу);

здійснював контроль за уникненням конфлікту інтересів в банку (згідно із главою 6 цього розділу);

вимагав від правління банку вжиття заходів щодо реалізації отриманих рекомендацій стосовно покращання ризик-менеджменту та систем внутрішнього нагляду, а також контролював хід їх виконання.

7.5. До переліку функцій комітету рекомендується включити таке:

а) забезпечення отримання інформації щодо:

рішень правління, профільних комітетів банку;

ризикової позиції банку в усіх визначених сферах ризику;

результатів моделювання, стрес-тестування, бек-тестування, а також відповідних висновків;

співвідношення ризику/винагороди для всіх продуктів, послуг;

б) розгляд усіх звітів, підготовлених підрозділом з ризик-менеджменту, підрозділом внутрішнього аудиту, зовнішніми аудиторами та органами банківського нагляду;

в) щоквартальне звітування перед повним складом спостережної ради про:

свою діяльність за попередні три місяці;

стан ризикової позиції банку за продуктами, послугами;

факти недотримання положень та встановлених лімітів, а також надання рекомендацій та вжиття заходів щодо удосконалення процесу управління ризиками банку;

г) заслуховування звітів правління банку з питань, що стосуються ризик-менеджменту.

8.1. Правління банку як виконавчий орган банку, що підзвітний спостережній раді банку, має взаємодіяти зі спостережною радою з питань ризик-менеджменту, виходячи із загальноприйнятих принципів корпоративного управління та ієрархії процесів управління ризиками. Така взаємодія має складатися, як мінімум, із двох складових - звітування та надання рекомендацій.

8.2. У частині звітування перед спостережною радою (або комітетом) правління банку повинно:

визначати суттєвість ризиків що є, та ризиків, які можуть виникнути у перспективі;

подавати своєчасні, змістовні, точні і повні звіти щодо реалізації стратегії діяльності банку і його бізнес-планів, щодо фактичних операційних та фінансових результатів банку в порівнянні з прогнозними;

подавати своєчасні, змістовні, точні і повні звіти щодо управління значними ризиками і щодо процедур та засобів контролю за управлінням цими ризиками;

інформувати про будь-які виявлені факти конфлікту інтересів.

8.3. У частині надання рекомендацій спостережній раді (або комітету) правлінню рекомендовано:

розробляти і подавати на розгляд і затвердження проекти завдань, стратегії діяльності і бізнес-планів банку, а також зміни до них. Під час розроблення цих документів доцільно враховувати економічне оточення банку, його фінансовий стан і ризики, на які він наражається або наражатиметься під час проведення своїх поточних і запланованих операцій.

Додатково рекомендується щоб правління банку:

принаймні один раз на рік здійснювало перегляд завдань, стратегії діяльності та бізнес-планів банку з метою визначення їх відповідності поточним реаліям, а також надавало рекомендації спостережній раді щодо внесення необхідних змін до цих документів;

звітувало перед спостережною радою (або комітетом) за всіма ризиками, на які наражається банк або які можуть з'явитися у його діяльності надалі, у тому числі в розрізі нових продуктів та послуг, нових сегментів ринку чи нових напрямів діяльності;

у разі потреби надавало спостережній раді консультації та роз'яснення щодо процесів та методів управління ризиками;

здійснювало процес звітування у формі офіційних зустрічей або нарад із залученням всіх членів спостережної ради (додаток до офіційних письмових звітів).

9.1. Правління банку є виконавчим органом банку, який несе відповідальність за безпосередню організацію та реалізацію процесу ризик-менеджменту в банку, тобто за забезпечення виявлення (ідентифікації), оцінки, контролю та моніторингу ризиків, ураховуючи взаємний вплив ризиків.

9.2. Для реалізації цього завдання бажано щоб правління банку:

розуміло всі без виключення ризики, з якими банк працює або планує працювати, а також взаємний вплив різних ризиків;

забезпечило розроблення та відображення у внутрішньобанківських нормативних документах власне бачення класифікації ризиків та їх визначень (карту ризику) та періодично (не рідше одного разу на рік) здійснювало перегляд цих документів з метою їх актуалізації;

забезпечило розроблення та затвердило внутрішньобанківські нормативні документи щодо управління окремими ризиками (як мінімум всіма значними для цього банку), у тому числі щодо їх прийняття, обмеження, уникнення, страхування та хеджування, а також забезпечило постійну адекватність і ефективність цих документів через внесення до них відповідних змін у відповідь на зміни зовнішніх або внутрішніх факторів;

забезпечило розроблення та затвердило внутрішньобанківські положення та процедури щодо кількісної та якісної оцінки ризиків. Забезпечило здійснення періодичного перегляду (не рідше одного разу на рік) цих процедур та положень з метою їх актуалізації та врахування останніх методичних та програмних розроблень у практиці ризик-менеджменту;

установлювало і застосовувало належні й ефективні процедури і засоби контролю за процесом управління ризиками, забезпечувало здійснення моніторингу дотримання цих процедур і засобів контролю, а також їх постійну адекватність та ефективність шляхом перегляду та внесення потрібних змін;

забезпечило розроблення та доведення до відома відповідних працівників банку планів на випадок кризових обставин з метою поінформування їх про можливі додаткові обов'язки та порядок дій у кризових ситуаціях.

9.3. Виходячи із кращої світової та вітчизняної практики організації процесу ризик-менеджменту, додатково рекомендується:

залучати до процесу розроблення внутрішньобанківської нормативної бази щодо управління ризиками та розроблення методик кількісної і якісної оцінки відповідних висококваліфікованих працівників підрозділу з ризик-менеджменту, а також зовнішніх експертів;

залучати до процесу розроблення процедур та заходів контролю та моніторингу процесу управління ризиками як консультантів, висококваліфікованих працівників підрозділу внутрішнього аудиту банку, а також зовнішніх експертів;

сформувати план на випадок кризових обставин у формі збірника рекомендацій та забезпечити наявність цього збірника у відповідних працівників банку, у тому числі своєчасну заміну старих його варіантів на нові;

забезпечити постійне підвищення кваліфікації керівного складу та працівників банку щодо ризик-менеджменту.

10.1. Одним із найголовніших завдань правління банку є формування тактики роботи щодо ризик-менеджменту в світлі затверджених місії, цілей та завдань банку, а також його стратегії поводження із різноманітними ризиками. Під час виконання цього завдання правлінню рекомендовано:

контролювати роботу підрозділу з ризик-менеджменту, а також бути обізнаним у справах колегіальних органів банку, які у той чи інший спосіб залучені до процесу прийняття чи управління ризиками (наприклад, кредитного комітету, комітету з управління активами та пасивами тощо);

у рамках вимог законодавства, нормативно-правових актів та внутрішньобанківських нормативних документів самого банку здійснювати планування діяльності банку та контролювати досягнення запланованих показників його діяльності;

аналізувати на сукупній основі ризики, з якими банк працює або планує працювати, у розрізі окремих контрагентів, груп контрагентів, галузей (видів діяльності) та географічних регіонів тощо.

10.2. У процесі ризик-менеджменту правління банку може делегувати частину своїх функцій, повноважень створюваним ним профільним комітетам (комітету з управління активами та пасивами, кредитному комітету, тарифному комітету тощо).

10.3. Оскільки ефективність роботи банку щодо виконання стратегічних завдань більшою мірою залежить від того, наскільки вдалою буде обрана тактика реалізації цих завдань, а також від того, наскільки повно ця тактика враховує всі фактори впливу і наскільки добре вона буде доведена до відома виконавців банкам рекомендується таке:

забезпечити входження членів правління банку в усі профільні комітети, які залучені до прийняття ризику чи контролю за ним. Участь членів правління в роботі цих органів має бути активною і спрямованою на забезпечення виконання встановлених цілей та стратегічних завдань банку. Члени правління мають регулярно звітувати перед повним складом правління, а у разі потреби - перед спостережною радою щодо роботи колегіальних виконавчих органів банку;

під час виявлення (ідентифікації) ризиків, з якими працює або планує працювати банк, враховувати ризики, що проявляються як у самому банку, так і в його дочірніх структурах або інших установах, що входять до складу консолідованої банківської групи та можуть справляти негативний вплив на банк. Потрібно також здійснювати комплексну кількісну оцінку таких ризиків, у тому числі із застосуванням сценаріїв та припущень.

11.1. Підрозділ банку з ризик-менеджменту - це структурний підрозділ банку, у якому зосереджені функції управління ризиками конкретного банку. Основною вимогою до цього підрозділу є його повна незалежність (структурна та фінансова) від підрозділів банку, що безпосередньо приймають ризики (фронтофісів) та підрозділів, які реєструють факт прийняття ризику та контролюють його величину (бек-офісів). Крім того, керівнику підрозділу з ризик-менеджменту бажано мати достатньо високий статус у банку для забезпечення його незалежності від керівників інших операційних чи функціональних підрозділів.

11.2. Рекомендується, щоб керівник підрозділу з ризик-менеджменту був членом правління банку, а також його профільних комітетів та мав право вето на рішення цих комітетів, якщо вони можуть призвести до здійснення ризикових операцій, що становитимуть загрозу інтересам вкладників, інших кредиторів банку та його власників або завдадуть шкоди належному веденню банківської діяльності.

11.3. Підрозділ з ризик-менеджменту бажано підпорядковувати безпосередньо голові правління (керівнику вищого виконавчого органу банку).

Украй важливим є забезпечення уникнення будь-якого конфлікту інтересів між підрозділом з ризик-менеджменту та іншими підрозділами банку (фронт- та бек-офісами), а також комплектація цього підрозділу висококваліфікованими кадрами. З цією метою банкам наполегливо рекомендується:

у процесі фінансового планування виділяти в бюджеті (кошторисі) банку витрати на утримання та забезпечення підрозділу з ризик-менеджменту окремо від витрат на утримання та забезпечення інших підрозділів банку;

установити такий механізм оплати праці працівників підрозділу з ризик-менеджменту, який не мав би жодної залежності від рівня ризику, який бере на себе банк, або у будь-який інший спосіб не стимулював би порушення його незалежності;

забезпечувати постійне підвищення кваліфікації працівників підрозділу.

11.4. Підрозділ з ризик-менеджменту є окремим структурним підрозділом банку і може мати будь-яку назву: департамент, управління, відділ тощо. Виходячи із принципу превалювання сутності над формою, він оцінюється не за своєю назвою, а за своїми функціями.

12.1. До функцій підрозділу з ризик-менеджменту належать:

забезпечення проведення кількісної та якісної оцінки або формалізованого аналізу на основі визначених показників тих ризиків, на які наражається банк або які можуть надалі з'явитися в його діяльності;

розроблення та подання на затвердження правління банку методик оцінки ризиків. Ці методики мають забезпечувати можливість зіставлення різних ризиків, а також величини одного ризику в часі;

розроблення інфраструктури для отримання даних від інших систем, створення системи для автоматизованого ведення та оброблення бази даних щодо ризиків, а також для забезпечення безперервного моніторингу й оцінки різних ризиків;

розроблення та актуалізація засобів аналізу ризиків і методик для нових та діючих моделей, у тому числі їх бек-тестування;

накопичення спостережень (історичних даних) для порівняльного аналізу;

здійснення моніторингу даних щодо позицій та цін, ризикових позицій;

ідентифікація і моніторинг порушення лімітів;

аналіз можливих сценаріїв;

підготовка загального опису ризикових позицій і звітування щодо них правлінню (або, у разі потреби, спостережній раді банку або її комітету);

забезпечення координації з іншими підрозділами і сферами діяльності банку;

на основі проведеного аналізу величини ризиків банку та всіх факторів, які можуть призводити до її зниження (страхування, хеджування тощо), а також рівня розвитку систем управління конкретними ризиками, надання рекомендацій на розгляд правління щодо подальшої тактики роботи з цими ризиками, у тому числі за допомогою встановлення лімітів та інших обмежень, до заборони проведення операції;

надання рекомендацій спостережній раді і правлінню щодо потрібних вимог до капіталу з метою покриття неочікуваних збитків і збитків, пов'язаних з ризиками, виявленими (ідентифікованими) і виміряними кількісно з використанням методики найгіршого сценарію;

надання допомоги спостережній раді і правлінню у розробленні і впровадженні політик, положень і процедур з управління ризиками.

12.2 Під час виконання покладених на підрозділ з ризик-менеджменту функцій, рекомендується таке:

надавати керівним органам банку рекомендації щодо використання капіталу банку, розподілу (алокації) капіталу між структурними підрозділами та розподілу капіталу за видами ризиків (наприклад, кредитним, ринковим, операційним тощо);

використовувати адекватні методи та прийоми кількісної та якісної оцінки ризиків;

підрозділ з ризик-менеджменту є найбільш логічним підрозділом для здійснення функції ведення нормативної бази документів щодо положень з ризик-менеджменту і забезпечення доступу до них для відповідного персоналу.

13.1. Служба внутрішнього аудиту - це орган оперативного контролю спостережної ради, який здійснює нагляд за дотриманням системи внутрішнього контролю в банку, а також надає висновки щодо її достатності та ефективності.

13.2. Згідно з вимогами законодавства України та найкращої світової практики корпоративного управління, служба внутрішнього аудиту підпорядковується спостережній раді банку (або аудиторському комітету спостережної ради) та не допускає будь-якого втручання в свою роботу з боку виконавчого органу банку та профільних комітетів, що створені правлінням банку.

13.3. Служба внутрішнього аудиту не бере безпосередньої участі в процесі ризик-менеджменту, її роль у цьому процесі полягає в оцінці адекватності систем управління ризиками потребам банку; найголовнішим є забезпечення її незалежності від будь-яких інших виконавчих органів, які залучені до цього процесу ризик-менеджменту.

13.4. Служба внутрішнього аудиту має підтримувати тісні стосунки із зовнішніми аудиторами банку та службою банківського нагляду з метою забезпечення своєчасного виявлення та усунення можливих проблем або недоліків у процесі ризик-менеджменту банку.

14.1. Служба внутрішнього аудиту банку має:

а) здійснювати аудит процесів та процедур банку з ризик-менеджменту аналогічно аудиту будь-якої іншої функції банку. У цьому разі аудиторську діяльність слід здійснювати відповідно до стандартів внутрішнього аудиту, передбачених законодавством України щодо внутрішнього аудиту. Якщо такі стандарти не передбачені в законодавстві України або якщо вони не є достатньо чіткими у контексті цих Методичних рекомендацій, то до уваги мають братися відповідні Стандарти професійної практики внутрішнього аудиту інституту внутрішніх аудиторів;

б) оцінювати достатність та ефективність систем внутрішнього контролю банку в частині ризик-менеджменту та вносити рекомендації спостережній раді та правлінню щодо їх удосконалення;

в) оцінювати результативність і ефективність операцій, достовірність, повноту і своєчасність фінансової та управлінської інформації, а також відповідність діяльності банку чинному законодавству і нормативно-правовим актам України.

14.2. Виходячи із специфіки діяльності банку з управління ризиками та необхідності наявності глибоких професійних знань у сфері ризик-менеджменту для її оцінки, банкам рекомендується в разі потреби розглядати можливість здійснення внутрішнього аудиту ризик-менеджменту із залученням третіх осіб (тобто на умовах аутсорсингу).

1. У цьому розділі розглядаються рекомендації щодо управління такими категоріями ризиків:

кредитний ризик;

ризик ліквідності;

ризик зміни процентної ставки;

ринковий ризик;

валютний ризик;

операційно-технологічний ризик;

ризик репутації;

юридичний ризик;

стратегічний ризик.

2. Вищезазначена класифікація узгоджується з класифікацією ризиків за Методичними вказівками з інспектування банків "Система оцінки ризиків", що дає змогу банкам мати чіткі та прозорі орієнтири щодо побудови системи управління ризиками в банках, а також внутрішнього і зовнішнього аналізу ефективності її роботи.

3. Зазначена класифікація не є вичерпною і кожний банк може доповнити її відповідно до власного бачення ризиків, з якими він працює або планує працювати. У цьому разі банк має розробити власну нормативну базу щодо управління визначеними категоріями ризиків, у тому числі з урахуванням кращої світової та вітчизняної практики, зокрема Базельського комітету з банківського нагляду, а також Принципів корпоративного управління.

1.1. Кредитний ризик - це наявний або потенційний ризик для надходжень та капіталу, який виникає через неспроможність сторони, що взяла на себе зобов'язання виконати умови будь-якої фінансової угоди із банком або в інший спосіб виконати взяті на себе зобов'язання.

Кредитний ризик присутній в усіх видах діяльності банку, де результат залежить від діяльності контрагента, емітента або позичальника. Він виникає кожного разу, коли банк надає кошти, бере зобов'язання про їх надання, інвестує кошти або іншим чином ризикує ними відповідно до умов реальних чи консепсуальних угод незалежно від того, де відображається операція - на балансі чи поза балансом.

Під час оцінки кредитного ризику доцільно розділяти індивідуальний та портфельний кредитний ризик.

Джерелом індивідуального кредитного ризику є окремий конкретний контрагент банку - позичальник, боржник, емітент цінних паперів. Оцінка індивідуального кредитного ризику передбачає оцінку кредитоспроможності такого окремого контрагента, тобто його індивідуальну спроможність своєчасно та в повному обсязі розрахуватися за прийнятими зобов'язаннями.

Портфельний кредитний ризик проявляється у зменшенні вартості активів банку (іншій, ніж унаслідок зміни ринкової процентної ставки). Джерелом портфельного кредитного ризику є сукупна заборгованість перед банком за операціями, яким притаманний кредитний ризик (кредитний портфель, портфель цінних паперів, портфель дебіторської заборгованості тощо). Оцінка портфельного кредитного ризику передбачає оцінку концентрації та диверсифікації активів банку.

Міжнародному кредитуванню, крім кредитного ризику, притаманний ризик країни, який виникає через особливості економіки, соціального ладу та політичного устрою країни позичальника. Проте цей ризик повинен завжди враховуватися у кредитній та інвестиційній діяльності (не має значення, у якому секторі - державному чи приватному).

Одним із компонентів ризику країни є трансферний ризик, який виникає тоді, якщо заборгованість позичальника не номінована в національній валюті. Незважаючи на фінансовий стан позичальника валюта заборгованості може просто виявитися недоступною для нього.

2.1. Система управління кредитним ризиком банку складається із регламентних документів - політик, положень, процедур, методик тощо, які затверджуються відповідно до обраної банком форми корпоративного управління, з урахуванням розміру та складності операцій банку.

2.2. Система управління кредитним ризиком має включати таке:

а) політику та положення про управління кредитним ризиком, що мають бути розглянуті та затверджені відповідно до принципів корпоративного управління. Ці політика та положення підлягають періодичному перегляду;

б) положення про кредитування, які враховують як балансові, так і позабалансові операції банку, а саме:

регламентують типи й умови кредитів та інших операцій, що несуть кредитний ризик;

враховують характер ринків та галузей, яким надаватимуться кредити;

передбачають розгляд до взяття зобов'язання про надання кредиту, різної інформації, зокрема, про фінансовий стан позичальника, характер та вартість застави, характер позичальника та його спроможність погасити кредит згідно з угодою, фінансову відповідальність гаранта тощо;

адекватно враховують концентрацію кредитного ризику і пов'язаних із ним потенційних ризиків;

інші питання, що пов'язані з кредитуванням, зокрема порядок та процедура визначення процентної ставки за кредитом та необхідної застави;

положення про ліміти ризику на одного контрагента, групу взаємопов'язаних контрагентів, за галузями або секторами економіки, за географічними регіонами або іншими кредитними операціями, які можна розглядати в сукупності (експозиціями); ці положення мають враховувати всі компоненти кредитного ризику, як балансові, так і позабалансові, на які наражається установа, а також можливий вплив інших категорій ризиків;

чітко визначену і продуману систему повноважень з прийняття рішень щодо ухвалення операцій, що несуть кредитний ризик;

комплексну систему оцінки кредитного ризику;

в) належну інформаційну базу, яка:

дозволяє керівництву приймати обгрунтовані рішення про надання кредитів і оцінювати ризик на постійній основі;

надає інформацію про розмір, призначення та джерело заборгованості, а також дозволяє оцінити здатність позичальника своєчасно її погасити;

забезпечує інформацією для своєчасного реагування і застосування відповідних правових санкцій проти позичальника;

надає можливість здійснювати адекватне адміністрування і моніторинг кредиту, кредитних операцій;

дає змогу підтримувати зберігання і оброблення даних за попередні періоди;

г) процес ідентифікації кредитів, якість яких погіршується;

д) належну роботу з проблемними активами, яка включає таке:

безперервне управління кредитними експозиціями (операціями в їх сукупності), що вимагають посиленої уваги;

періодичні перевірки якості активів для ідентифікації проблемних активів;

методику ідентифікації, оцінки, обліку кредитів, якість яких погіршується, та створення під них відповідних резервів;

порівняння загальних сум проблемних активів із капіталом;

оцінку потенційних збитків за проблемними активами і формування резервів, достатніх для покриття цих збитків;

е) підготовку та подання періодичних звітів керівникам і спостережній раді з достатньою інформацією для оцінки рівня ризику. Ці звіти мають включати таке (але не обмежуватися цим):

перелік кредитів у розрізі класифікації за ризиком;

аналіз проблемних кредитів;

оцінку напряму ризику в кредитному портфелі;

інформацію про проблемні кредити за кредитними інспекторами, філіями, галузями, видами забезпечення тощо;

аналіз змін рівня резервів банку на основі рівня і тенденцій змін проблемних активів і загальної суми кредитів;

аналіз концентрації кредитів за клієнтами, пов'язаними з ними особами, галузями економіки і регіонами;

є) функцію незалежних перевірок кредитної діяльності, призначенням яких є аналіз якості як окремих кредитів, так і кредитного портфеля (ів) у цілому. Результати цього аналізу мають подаватися правлінню і спостережній раді на регулярній основі.

2.3. Крім того, для ефективнішого управління кредитним ризиком рекомендується:

створити, запровадити в експлуатацію та постійно актуалізовувати систему внутрішніх кредитних рейтингів;

на основі реальних спостережень щоквартально обчислювати матрицю ймовірностей міграції кредитних рейтингів та оцінювати на основі такої матриці величину необхідних резервів під кредитні збитки у наступних періодах;

проводити бек-тестування міграції внутрішніх кредитних рейтингів на реальних даних за максимально можливий період часу.

2.4. Банкам також наполегливо рекомендується враховувати найкращий світовий досвід щодо управління кредитним ризиком, який, зокрема, викладений у положенні Базельського комітету з банківського нагляду "Принципи управління кредитним ризиком" (N 75 вересень 2000 року).

3.1. Ризик ліквідності визначається як наявний або потенційний ризик для надходжень та капіталу, який виникає через неспроможність банку виконати свої зобов'язання у належні строки, не зазнавши при цьому неприйнятних втрат. Ризик ліквідності виникає через нездатність управляти незапланованими відтоками коштів, змінами джерел фінансування та/або виконувати позабалансові зобов'язання.

Виділяють також ризик ліквідності ринку, який визначається як наявний або потенційний ризик для надходжень та капіталу, що виникає через нездатність банку швидко закрити розриви своїх позицій за поточними ринковими ставками, не зазнавши при цьому неприйнятних витрат. Ризик ліквідності ринку виникає через нездатність керівництва банку визначати або враховувати зміни ринкових умов, які впливають на спроможність банку залучати кошти в необхідних обсягах та за прийнятними ставками та/або реалізовувати активи швидко і з мінімальними втратами вартості.

4.1. Система управління ризиком ліквідності складається із регламентних документів - політик, положень, процедур, методик тощо, які затверджуються відповідно до обраної банком форми корпоративного управління з урахуванням розміру банку та складності його операцій.

4.2. Система управління ризиком ліквідності включає таке:

політику і положення з управління ліквідністю і активами/зобов'язаннями, у тому числі положення щодо джерел ліквідності, які мають підтримуватися банком. Ці документи мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління;

адекватні та ефективні процедури і засоби контролю за управлінням ризиком ліквідності, які підлягають перегляду на регулярній основі з метою забезпечення їх актуальності;

процес визначення потреб у поточній і майбутній ліквідності та фінансуванні, потрібних банку для проведення своїх операцій;

регулярний процес ідентифікації і звітування про концентрації активів і зобов'язань банку (за всіма валютами в розрізі клієнтів банку та пов'язаних з ними осіб);

форми звітності для спостережної ради, правління або профільних колегіальних органів банку щодо позиції ліквідності та необхідності у фінансуванні;

план на випадок кризових обставин щодо ліквідності та фінансування і запровадження порядку регулярного уточнення цього плану.

4.3. Крім того, для підвищення ефективності управління ризиком ліквідності банк вибирає для себе прийнятні компоненти системи управління ризиком ліквідності з нижченаведених або використовує інші досконалі підходи, а саме:

розроблення і подання на розгляд і затвердження спостережній раді або правлінню положення щодо джерел ліквідності, які розглядаються у розрізі їх видів, рівнів ліквідності, строків до погашення та валют;

визначення потреби у ліквідності та фінансуванні банку оцінюються з урахуванням операцій, що проводяться через його дочірні структури, а також з урахуванням стану та потреб у ліквідності групи, до якої входить банк;

впровадження системи моніторингу, що базується на методі єдиного фондового пулу або на ідентифікації розривів ліквідності за активами та зобов'язаннями у національній та іноземній валютах, строк погашення яких настає протягом відповідних майбутніх періодів часу, та на інших сучасних методах, наприклад, симуляції грошових потоків;

розроблення методики аналізу сезонних тенденцій потоків коштів на майбутній період, достатній для потреб банку.

4.5. Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління ліквідністю, який, зокрема, викладений у положенні Базельського комітету з банківського нагляду "Надійна практика управління ліквідністю в банківських організаціях" (N 69 лютий 2000 року).

5.1. Ризик зміни процентної ставки - це наявний або потенційний ризик для надходжень або капіталу, який виникає внаслідок несприятливих змін процентних ставок.

Цей ризик впливає як на прибутковість банку, так і на економічну вартість його активів, зобов'язань та позабалансових інструментів.

5.2. Основними типами ризику зміни процентної ставки, на які наражається банк, є: 1) ризик зміни вартості ресурсів, який виникає через різницю в строках погашення (для інструментів з фіксованою процентною ставкою) та переоцінки величини ставки (для інструментів із змінною процентною ставкою) банківських активів, зобов'язань та позабалансових позицій; 2) ризик зміни кривої дохідності, який виникає через зміни в нахилі та формі кривої дохідності; 3) базисний ризик, який виникає через відсутність достатньо тісного зв'язку між коригуванням ставок, отриманих та сплачених за різними інструментами, усі інші характеристики яких щодо переоцінки є однаковими; 4) ризик права вибору, який виникає у разі наявності права відмови від виконання угоди (тобто реалізації права вибору), яке прямим чи непрямим чином є в багатьох банківських активах, зобов'язаннях та позабалансових портфелях.

6.1. Система управління ризиком зміни процентної ставки в банку складається із регламентних документів - політик, положень, процедур, методик тощо, які затверджуються відповідно до обраної банком форми корпоративного управління з урахуванням розміру банку та складності його операцій.

6.2. Система управління ризиками щодо ризику зміни процентної ставки повинна включати таке:

політики і положення щодо ризику зміни процентної ставки, у тому числі процедур ціноутворення для активів і зобов'язань як балансових, так і позабалансових. Ці положення мають враховувати розмір банку і складність його операцій, та розглядатися і затверджуватися відповідно до обраної банком форми корпоративного управління;

адекватні та ефективні процедури і засоби контролю за управлінням ризиком зміни процентної ставки, які підлягають перегляду на регулярній основі з метою забезпечення їх актуальності;

адекватні інформаційні системи, потрібні для зберігання та оброблення даних за попередні періоди;

форми звітності для спостережної ради, правління або профільних колегіальних органів банку щодо ризику зміни процентної ставки, у тому числі на основі методики динамічного розриву активів та зобов'язань, чутливих до змін процентної ставки.

6.3. Крім того, для ефективнішого управління ризиком зміни процентної ставки рекомендується:

під час розроблення системи звітності, яка ідентифікувала і вимірювала б процентні позиції до методик статичного розриву активів та зобов'язань, чутливих до змін процентної ставки.

додатково використовувати моделі розрахунку динамічного розриву, аналізу дюрацій та/або інших методів, прийнятних з урахуванням розміру банку і складності його операцій;

проводити періодичне бек-тестування прогнозних даних щодо величини ризику зміни процентної ставки;

проводити стрес-тестування для оцінки величини максимальних втрат від зміни процентних ставок за певний період часу;

налагоджувати системи надання інформації та звітності щодо вимірювання ризику зміни процентної ставки спостережній раді та правлінню.

6.4. Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління ризиком зміни процентної ставки, який, зокрема, викладений у положенні Базельського комітету з банківського нагляду "Принципи управління та нагляду за ризиком процентної ставки" (N 102 вересень 2003 року).

7.1. Ринковий ризик - це наявний або потенційний ризик для надходжень та капіталу, який виникає через несприятливі коливання вартості цінних паперів та товарів і курсів іноземних валют за тими інструментами, які є в торговельному портфелі.

Цей ризик випливає з маркетмейкерства, дилінгу, прийняття позицій з боргових та пайових цінних паперів, валют, товарів та похідних інструментів (деривативів).

7.2. Ризики, що виникають за аналогічних обставин щодо аналогічних інструментів, які є в банківському портфелі, розглядаються в інших відповідних категоріях ризиків.

8.1. Система управління ринковим ризиком складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

8.2. Система управління ринковим ризиком має включати таке:

політики і положення щодо управління ринковим ризиком, які розглядаються та затверджуються відповідно до обраної банком форми корпоративного управління;

положення щодо видів фінансових інструментів та інших інвестицій як балансових, так і позабалансових, щодо яких банк готовий вести торгові операції або приймати позиції;

положення щодо лімітів ризику за видами фінансових інструментів або іншими інвестиціями чи активами, за галузями або секторами економіки, за географічними регіонами або за іншими ринковими операціями (експозиціями), що можуть розглядатись у сукупності. Ці положення мають враховувати можливий вплив інших категорій ризиків, на які наражається банк;

чітко визначену систему повноважень з прийняття рішень щодо затвердження ринкових позицій;

адекватні та ефективні процедури і засоби контролю за управлінням ринковим ризиком, які підлягають перегляду на регулярній основі з метою забезпечення їх актуальності;

форми звітності для спостережної ради, правління або профільних колегіальних органів банку щодо ринкового ризику, у тому числі на основі методики порівняння очікуваного доходу від ринкової операції із її потенційним ризиком.

8.3. Крім того, для ефективнішого управління ринковим ризиком рекомендується: