Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

2) культуру управління ризиками та кодекс поведінки (етики);

3) внутрішньобанківські документи з питань управління ризиками;

4) інформаційну систему щодо управління ризиками та звітування;

5) інструменти для ефективного управління ризиками.

18. Відповідальна особа банківської групи забезпечує функціонування комплексної, адекватної та ефективної системи управління ризиками в банківській групі, що передбачає:

1) наявність внутрішньогрупових документів щодо управління ризиками, включаючи чіткий розподіл функцій, обов'язків та повноважень з управління ризиками в банківській групі;

2) забезпечення інтегрованого процесу виявлення, оцінки, контролю та моніторингу всіх суттєвих видів ризиків учасників банківській групи з урахуванням вимог, установлених відповідними державними органами, що здійснюють регулювання ринків фінансових послуг, щодо управління ризиками в таких учасниках банківської групи на індивідуальній основі.";

18-1. Відповідальна особа банківської групи має право організовувати систему управління ризиками в банківській групі без урахування учасників банківської групи, звітність яких вона має право не враховувати під час складання консолідованої звітності банківської групи/субконсолідованої звітності підгрупи банківської групи згідно з вимогами Положення про порядок регулювання діяльності банківських груп, затвердженого постановою Правління Національного банку України від 20 червня 2012 року № 254, зареєстрованого в Міністерстві юстиції України 12 липня 2012 року за № 1178/21490 (зі змінами).

19. Банк оприлюднює інформацію щодо управління ризиками відповідно до вимог Інструкції про порядок складання та оприлюднення фінансової звітності банків України, затвердженої постановою Правління Національного банку України від 24 жовтня 2011 року № 373, зареєстрованої в Міністерстві юстиції України 10 листопада 2011 року за № 1288/20026 (зі змінами).

20. Банк створює організаційну структуру системи управління ризиками, яка забезпечує чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма суб'єктами системи управління ризиками, а також між працівниками банку, та передбачає їх відповідальність згідно з таким розподілом.

Банк під час визначення організаційної структури системи управління ризиками враховує необхідність забезпечення взаємозаміни працівників з метою уникнення негативного впливу на ефективність функціонування системи управління ризиками в разі тимчасової відсутності працівника або його звільнення.

21. Банк забезпечує наявність належної кількості кваліфікованих і досвідчених працівників виходячи з потреб організаційної структури системи управління ризиками, напрямів діяльності (бізнес-ліній) та профілю ризику банку.

Банк не має права передавати функції щодо управління ризиками банку на аутсорсинг, крім випадків, передбачених цим Положенням.

22. Банк визначає функції, обов'язки, повноваження та відповідальність осіб у посадових інструкціях, у яких мають передбачатися функціональні обов'язки кожного працівника банку щодо участі в управлінні ризиками, що включають забезпечення належного звітування щодо управління ризиками.

23. Банк визначає механізми та відповідальних осіб за належне забезпечення обміном інформацією між окремими структурними підрозділами банку для ефективної взаємодії (співпраці) на всіх організаційних рівнях.

24. Суб'єктами системи управління ризиками банку є:

1) рада банку;

2) комітет ради банку з управління ризиками (за наявності);

3) правління банку;

4) кредитний комітет правління банку;

5) комітет правління банку з управління активами та пасивами;

6) інші колегіальні органи банку;

7) підрозділ внутрішнього аудиту;

8) головний ризик-менеджер та підрозділ з управління ризиками;

9) головний комплаєнс-менеджер та підрозділ контролю за дотриманням норм (комплаєнс);

10) бізнес-підрозділи та підрозділи підтримки (перша лінія захисту).

25. Рада банку має право створювати інші комітети з числа її членів для попереднього вивчення і підготовки до розгляду на засіданні ради банку питань, що належать до її компетенції.

Комітет ради банку є постійно діючим консультативно-дорадчим органом.

Рада банку залишається відповідальною за загальне управління ризиками та забезпечує контроль за виконанням комітетами їх функцій.

26. Правління банку має право створювати інші комітети банку, делегувавши їм частину своїх функцій з управління ризиками. У цьому разі правління банку залишається відповідальним за виконання делегованих ним функцій.

27. Комітети/інші колегіальні органи здійснюють свою діяльність на підставі положення або іншого документа, у якому зазначаються їх обов'язки, сфера діяльності та робочі процедури. Такі процедури включають подання комітетами/колегіальними органами звітів про свою діяльність раді/правлінню банку залежно від підпорядкування.

Комітети/колегіальні органи повинні складати протоколи або інші документи щодо проведених засідань, у яких зазначати порядок денний засідань, стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з результатами поіменного голосування та особливими думками (за наявності). Банк надає таку документацію уповноваженим працівникам Національного банку на їх вимогу разом з іншими документами та матеріалами, на підставі яких приймались рішення.

28. Рада банку несе повну відповідальність за створення комплексної, адекватної та ефективної системи управління ризиками, на які наражається банк у своїй діяльності. Для забезпечення належного управління ризиками рада банку повинна:

1) визначати та контролювати дотримання корпоративних цінностей банку, які базуються на здійсненні бізнесу на законних та етичних принципах, та постійно підтримувати високу культуру управління ризиками;

2) приділяти достатню кількість часу, зусиль і ресурсів для участі в управлінні ризиками банку та контролю за комплексністю, адекватністю та ефективністю системи управління ризиками;

3) створити та підтримувати на належному рівні організаційну структуру, інформаційну систему щодо управління ризиками та внутрішній контроль, що забезпечують ефективне управління ризиками;

4) забезпечувати, щоб політика винагороди в банку відповідала та сприяла ефективному управлінню ризиками, не стимулюючи прийняття надмірного рівня ризику;

5) установлювати випадки накладення заборони (вето) головним ризик-менеджером, головним комплаєнс-менеджером на рішення правління банку, комітетів/колегіальних органів правління банку;

6) сприяти створенню регулярних та прозорих механізмів комунікації в банку.

29. Рада банку для реалізації своїх завдань виконує такі функції:

1) забезпечує функціонування та контроль за ефективністю системи управління ризиками;

2) затверджує внутрішньобанківські документи з питань управління ризиками, перелік яких визначено в додатку 2 до цього Положення, та здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);

3) затверджує перелік лімітів (обмежень) щодо кожного виду ризику та процедуру ескалації порушень лімітів ризиків;

4) ухвалює рішення щодо запровадження значних змін у діяльності банку;

6) затверджує план відновлення діяльності (Recovery Plan) та забезпечує виконання функцій щодо відновлення діяльності банку;

7) призначає та звільняє головного ризик-менеджера, головного комплаєнс-менеджера;

7-1) затверджує фінансове забезпечення (бюджет) підрозділів з управління ризиками, контролю за дотриманням норм (комплаєнс), установлює розмір винагороди головному ризик-менеджеру, головному комплаєнс-менеджеру та здійснює контроль за їх виконанням/дотриманням;

8) визначає характер, формат та обсяги інформації про ризики, розглядає управлінську звітність про ризики та, якщо профіль ризику банку не відповідає затвердженому ризик-апетиту невідкладно приймає рішення щодо застосування адекватних заходів для пом'якшення ризиків;

9) уживає заходів щодо запобігання конфліктам інтересів у банку, сприяє їх врегулюванню та повідомляє Національний банк про конфлікти інтересів, що виникають у банку.

Рада банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 29 глави 4 розділу I цього Положення, які не суперечать вимогам цього Положення.

30. Рада банку забезпечує належний рівень документування обговорень та прийнятих рішень, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк подає таку документацію уповноваженим працівникам Національного банку на їх вимогу.

31. Рада банку з метою підвищення ефективності управління ризиками має право створити комітет ради банку з управління ризиками (далі - комітет з управління ризиками). Рада банку зобов'язана створити комітет ради банку з управління ризиками у випадках, передбачених законодавством України.

32. Рада банку створює постійно діючий підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) і забезпечує незалежне виконання функцій з управління ризиками шляхом:

1) підпорядкування підрозділу з управління ризиками головному ризик-менеджеру, головного ризик-менеджера - раді банку, підпорядкування підрозділу контролю за дотриманням норм (комплаєнс) головному комплаєнс-менеджеру, головного комплаєнс-менеджера - раді банку;

2) звітування головного ризик-менеджера та головного комплаєнс-менеджера перед радою банку;

3) надання головному ризик-менеджеру/підрозділу з управління ризиками, головному комплаєнс-менеджеру/підрозділу контролю за дотриманням норм (комплаєнс) прямої та необмеженої можливості обговорення питань щодо ризиків безпосередньо з радою банку без необхідності (обов'язку) інформування про це членів правління банку;

4) організаційного та функціонального відокремлення головного ризик-менеджера/підрозділу з управління ризиками та головного комплаєнс-менеджера/підрозділу контролю за дотриманням норм (комплаєнс) від підрозділів (керівників підрозділів) першої та третьої ліній захисту;

5) забезпечення достатньої чисельності працівників цих підрозділів і рівня їх кваліфікації для досягнення цілей і завдань, поставлених перед ними;

6) урахування в бюджеті банку достатнього розміру фінансового забезпечення/винагороди головного ризик-менеджера/працівників підрозділу з управління ризиками та головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс). Винагорода головного ризик-менеджера, головного комплаєнс-менеджера та працівників цих підрозділів не повинна залежати від результатів роботи бізнес-підрозділів, які є об'єктом їх контролю, та має сприяти комплектуванню цих підрозділів кваліфікованими працівниками відповідного профілю. Змінна частина винагороди головного ризик-менеджера, головного комплаєнс-менеджера та працівників цих підрозділів має переважно базуватися на досягнутих результатах їх діяльності;

7) гарантування доступу головного ризик-менеджера/працівників підрозділу з управління ризиками та головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс) до інформації, необхідної для їх ефективної роботи. Керівники та персонал банку мають сприяти в наданні такої інформації;

8) недопущення головного ризик-менеджера/працівників підрозділу з управління ризиками та головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс) до здійснення функцій контролю за тими операціями, за які вони раніше безпосередньо несли відповідальність або стосовно яких раніше ухвалювали рішення на першій лінії захисту, з метою запобігання конфлікту інтересів.

33. Комітет з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції:

1) надає рекомендації, консультації, пропозиції раді банку з питань управління ризиками для прийняття нею рішень;

2) здійснює моніторинг за дотриманням банком установленого сукупного рівня ризик-апетиту та рівня ризик-апетиту щодо кожного з видів ризику;

3) здійснює моніторинг впровадження стратегії та політики управління ризиками;

4) здійснює контроль за виконанням головним ризик-менеджером, головним комплаєнс-менеджером, підрозділами з управління ризиками та контролю за дотриманням норм (комплаєнс), покладених на них функцій;

5) бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення;

6) контролює стан виконання заходів щодо оперативного усунення недоліків у функціонуванні системи управління ризиками, виконання рекомендацій і зауважень підрозділу внутрішнього аудиту, зовнішніх аудиторів, Національного банку та інших контролюючих органів;

7) здійснює контроль за тим, щоб ціноутворення/установлення тарифів на банківські продукти враховувало бізнес-модель банку та стратегію управління ризиками. Якщо ціни/тарифи не покривають ризики банку, то комітет з управління ризиками розробляє заходи та подає їх на розгляд раді банку;

8) подає раді банку не рідше одного разу на квартал звіти про виконання покладених на нього функцій;

9) забезпечує виконання інших функцій та повноважень з питань управління ризиками, визначених радою банку.

Рада банку сама виконує функції комітету з управління ризиками, якщо вона не створила відповідний комітет.

33-1. Комітет з управління ризиками має право:

1) отримувати доступ до всієї інформації і даних, необхідних для виконання покладених на нього функцій;

2) одержувати звіти, повідомлення та висновки від головного ризик-менеджера та головного комплаєнс-менеджера стосовно профілю ризику банку, лімітів ризику, культури управління ризиками в банку, допущених банком порушень, інших питань, необхідних для виконання комітетом своїх функцій.

34. Голова комітету з управління ризиками невідкладно ініціює скликання позачергового засідання ради банку в разі значного збільшення ризиків банку та необхідності прийняття рішень щодо вжиття необхідних попереджувальних заходів.

35. Правління банку забезпечує виконання завдань, рішень ради банку щодо впровадження системи управління ризиками, уключаючи стратегію та політику управління ризиками, культуру управління ризиками, процедури, методи та інші заходи ефективного управління ризиками. Правління банку визнає та виконує вимоги щодо незалежного виконання обов'язків головним ризик-менеджером, головним комплаєнс-менеджером, підрозділами управління ризиками і контролю за дотриманням норм (комплаєнс) і не втручається у виконання ними своїх обов'язків.

36. Правління банку для реалізації своїх завдань виконує такі функції щодо управління ризиками:

1) забезпечує розроблення та затверджує внутрішньобанківські документи згідно з додатком 2 до цього Положення;

2) забезпечує підготовку та надання раді банку управлінської звітності про ризики, на які наражається банк, яка включає інформацію щодо нових видів продуктів чи значних змін у діяльності банку;

3) забезпечує підготовку та надання раді банку пропозицій щодо необхідності внесення змін до стратегії та політики управління ризиками;

4) забезпечує контроль за доведенням до відома відповідних структурних підрозділів і працівників банку інформації про внесені зміни до стратегії та політики управління ризиками, інших внутрішньобанківських документів з питань управління ризиками;

5) розробляє заходи щодо оперативного усунення недоліків у функціонуванні системи управління ризиками, виконання рекомендацій та зауважень за результатами оцінки ризиків, перевірок підрозділу внутрішнього аудиту, зовнішніх аудиторів і наглядових органів;

6) затверджує значення лімітів щодо кожного виду ризиків згідно з визначеним радою банку переліком лімітів (обмежень);

7) забезпечує адміністративну підтримку виконання головним ризик-менеджером, головним комплаєнс-менеджером, підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс) покладених на них функцій (забезпечує організацію їх робочого процесу, видає розпорядчі документи для реалізації рішень ради банку).

Правління банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 36 глави 6 розділу I цього Положення, які не суперечать вимогам цього Положення.

37. Підрозділ з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції з управління ризиками:

1) забезпечує своєчасне виявлення, вимірювання, моніторинг, контроль, пом'якшення та звітування щодо суттєвих ризиків;

2) бере участь у розробленні стратегії управління проблемними активами й оперативного плану та здійснює моніторинг за їх реалізацією;

3) забезпечує моніторинг та попередження порушень показників ризик-апетиту та лімітів ризику, контролює наближення показників ризиків до ризик-апетиту та лімітів ризику та ініціює вжиття заходів для попередження їх порушень;

4) готує звіти щодо ризиків;

5) здійснює постійний аналіз ризиків, на які наражається банк під час своєї діяльності, з метою підготовки пропозицій з прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків;

5-1) здійснює контроль за оцінкою майна відповідно до підпунктів 2-4 пункту 177 глави 21 цього Положення;

6) розробляє та підтримує в актуальному стані методики, інструменти та моделі, що використовуються банком для аналізу впливу різних факторів ризиків на фінансовий стан, капітал та ліквідність банку;

7) здійснює оцінку кредитного ризику;

8) здійснює стрес-тестування;

9) обчислює профіль ризику банку;

10) готує висновки щодо ризиків, які притаманні новим продуктам та значним змінам у діяльності банку, до моменту їх впровадження для прийняття управлінських рішень;

11) готує висновки щодо ризиків, які притаманні як новим кредитам, так і змінам за діючими кредитами, для прийняття управлінських рішень щодо надання нових кредитів чи внесення змін до діючих кредитних договорів;

12) розробляє, впроваджує та здійснює моніторинг системи раннього реагування;

13) готує висновки для прийняття управлінських рішень щодо врегулювання заборгованості боржників/контрагентів;

14) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Підрозділ з управління ризиками має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 37 глави 7 розділу I цього Положення, та які не суперечать вимогам цього Положення.

37-1. Головний ризик-менеджер несе відповідальність за виконання функцій підрозділом з управління ризиками.

37-2. Головний ризик-менеджер виконує такі функції:

1) подає звіти щодо ризиків раді банку, комітету з управління ризиками та правлінню банку з урахуванням вимог цього Положення;

2) інформує раду банку, комітет з управління ризиками, правління банку про надмірні ризики, на які може наражатись банк;

3) забезпечує координацію роботи з питань управління ризиками між структурними підрозділами банку;

4) надає пропозиції раді банку та правлінню банку щодо необхідних заходів для пом'якшення впливу ризиків (у розрізі кожного виду) на фінансовий стан, капітал та ліквідність банку, уключаючи ініціювання встановлення лімітів ризиків та/або перегляду їх значень;

5) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Головний ризик-менеджер має право виконувати інші функції додатково до визначених у пункті 37-2 глави 7 розділу I цього Положення та які не суперечать вимогам цього Положення.

38. Головний ризик-менеджер має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, та накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення встановленого ризик-апетиту та/або затверджених лімітів ризику, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку або комітет з управління ризиками про такі рішення.

39. Головний ризик-менеджер повинен мати освіту, яка забезпечує належне виконання ним посадових обов'язків, та досвід роботи не менше п'яти років в банківській системі в сфері управління ризиками.

40. Підрозділ контролю за дотриманням норм (комплаєнс) з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції з управління комплаєнс-ризиком:

1) забезпечує організацію контролю за дотриманням банком норм законодавства, внутрішньобанківських документів та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

2) забезпечує моніторинг змін у законодавстві та відповідних стандартах професійних об'єднань, дія яких поширюється на банк, та здійснює оцінку впливу таких змін на процеси та процедури, запроваджені в банку, а також забезпечує контроль за імплементацією відповідних змін у внутрішньобанківські документи;

3) забезпечує контроль за комплаєнс-ризиком, що виникає у взаємовідносинах банку з клієнтами та контрагентами, з метою запобігання участі та/або використання банку в незаконних операціях;

4) забезпечує управління ризиками, пов'язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури банку, прозорість реалізації процесів банку та в разі виявлення будь-яких фактів, що свідчать про наявність конфлікту інтересів у банку, інформує головного комплаєнс-менеджера;

5) забезпечує організацію контролю за дотриманням банком норм щодо своєчасності та достовірності фінансової та статистичної звітності;

5-1) здійснює на регулярній основі контроль за відсутністю конфлікту інтересів між керівниками банку та суб'єктом оціночної діяльності;

6) забезпечує організацію контролю за захистом персональних даних відповідно до законодавства України;

7) надає роз'яснення, консультації керівникам банку на їх запити з питань контролю за дотриманням банком законодавства України та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

8) забезпечує проведення навчання та обізнаність працівників банку щодо дотримання норм законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, культури управління ризиками, ураховуючи кодекс поведінки (етики);

10) забезпечує функціонування системи управління ризиками шляхом здійснення своєчасного виявлення, вимірювання, моніторингу, контролю, звітування і надання рекомендацій щодо пом'якшення комплаєнс-ризику;

11) забезпечує організацію контролю за відповідністю процесів щодо управління проблемними активами законодавству України та внутрішньобанківським документам;

12) забезпечує контроль за дотриманням банком норм щодо визначення переліку пов'язаних з банком осіб для забезпечення цілісності та повноти процесу ідентифікації пов'язаних з банком осіб і контролю за операціями з ними;

14) готує висновки щодо комплаєнс-ризику, який притаманний новим продуктам та значним змінам у діяльності банку, до моменту їх упровадження для прийняття своєчасних та адекватних управлінських рішень;

15) готує висновки стосовно комплаєнс-ризику для ухвалення кредитних рішень щодо кредитів пов'язаним із банком особам;

16) здійснює контроль за відповідністю системи компенсацій та відшкодування, що запроваджена в банку, а також процедур притягнення до дисциплінарної відповідальності працівників банку, вимогам законодавства України;

17) готує звіти щодо комплаєнс-ризику;

18) обчислює профіль комплаєнс-ризику;

19) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення та контролює їх дотримання;

20) бере участь у дослідженні подій внутрішнього та зовнішнього шахрайства.

Підрозділ контролю за дотриманням норм (комплаєнс) має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 40 глави 8 розділу I цього Положення, та які не суперечать вимогам цього Положення.

40-1. Головний комплаєнс-менеджер несе відповідальність за виконання підрозділом контролю за дотриманням норм (комплаєнс) покладених на цей підрозділ функцій.

40-2. Головний комплаєнс-менеджер виконує такі функції:

1) подає звіти щодо комплаєнс-ризику раді банку, комітету з управління ризиками та правлінню банку з урахуванням вимог цього Положення;

2) забезпечує координацію роботи з питань управління комплаєнс-ризиком між структурними підрозділами банку;

3) інформує раду банку, комітет з управління ризиками, правління банку про надмірні ризики, на які може наражатися банк;

4) повідомляє Національний банк про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та конфлікти інтересів, що виникли в банку, якщо радою банку не були застосовані заходи, що забезпечили їх усунення. Інформація про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та про конфлікти інтересів, що виникли в банку, надається структурному підрозділу Національного банку, що здійснює безвиїзний нагляд за банками;

5) забезпечує розроблення, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Головний комплаєнс-менеджер має право виконувати інші функції додатково до визначених у пункті 40-2 глави 8 розділу I цього Положення та які не суперечать вимогам цього Положення.

41. Головний комплаєнс-менеджер несе відповідальність за діяльність цього підрозділу, має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, і накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення вимог законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, конфлікту інтересів, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку та/або комітет з управління ризиками про такі рішення.

42. Головний комплаєнс-менеджер повинен мати повну вищу освіту в галузі економіки, менеджменту (управління) або права, досвід роботи не менше трьох років в банківській системі в сфері контролю за дотриманням норм (комплаєнс) або управління ризиками (у тому числі з питань фінансового моніторингу), внутрішнього аудиту, юридичного супроводження діяльності банку.

43. Банк має право покладати на головного комплаєнс-менеджера функції відповідального працівника банку за проведення фінансового моніторингу за дотримання вимог пункту 32 глави 4 розділу I цього Положення.

44. Банк визначає процедуру взаємодії між підрозділом контролю за дотриманням норм (комплаєнс) і підрозділом з управління ризиками, а також між іншими підрозділами банку в частині управління операційним ризиком.

45. Банк створює та веде базу внутрішніх подій комплаєнс-ризику, здійснює аналіз накопиченої в ній інформації. Якщо банк веде базу внутрішніх подій комплаєнс-ризику окремо від бази внутрішніх подій операційного ризику, то він забезпечує реєстрацію в базі внутрішніх подій операційного ризику всіх подій комплаєнс-ризику, які підпадають під визначені банком критерії звітування щодо внутрішніх подій операційного ризику.

46. Рада банку, комітет з управління ризиками та правління банку з метою дотримання як керівниками банку, так і іншими працівниками банку культури управління ризиками створюють необхідну атмосферу (tone at the top) шляхом:

1) визначення та дотримання корпоративних цінностей, а також здійснення нагляду за дотриманням таких цінностей;

2) забезпечення розуміння як керівниками банку, так і іншими працівниками банку їх ролі під час управління ризиками з метою досягнення цілей діяльності банку, а також відповідальності за порушення встановленого рівня ризик-апетиту;

3) просування обізнаності щодо ризиків шляхом забезпечення систематичного інформування всіх підрозділів банку про стратегію, політику, процедури з управління ризиками та заохочення до вільного обміну інформацією і критичної оцінки прийняття ризиків банком;

4) отримання підтверджень, що керівники та інші працівники банку, проінформовані про дисциплінарні санкції або інші дії, які застосовуватимуться до них у разі неприйнятної поведінки/порушення в діяльності банку.

47. Комітет з управління ризиками, головний комплаєнс-менеджер та підрозділ контролю за дотриманням норм (комплаєнс) з метою дотримання керівниками банку та іншими працівниками банку корпоративних цінностей співпрацюють у розробленні та здійсненні контролю за дотриманням:

1) кодексу поведінки (етики);

2) політики запобігання конфліктам інтересів;

3) механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку, який передбачає забезпечення захисту заявників (whistleblowing policy mechanism);

4) порядку дослідження випадків неприйнятної поведінки в банку/порушень у діяльності банку.

48. Кодекс поведінки (етики) має чітко визначати:

1) загальнообов'язкові норми поведінки для керівників та інших працівників банку, а також відповідальність за порушення цих норм;

2) заборону на здійснення незаконної діяльності:

подання недостовірної фінансової та статистичної звітності;

посадовий злочин, економічний злочин (шахрайство);

порушення санкцій;

легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення;

неконкурентна практика;

2-1) заборону щодо надання послуг чи консультацій клієнтам та контрагентам, спрямованих на уникнення ними чи їх контрагентами сплати податків або виконання встановлених законодавством України або договірними умовами інших зобов'язань;

3) вимоги щодо дотримання культури управління ризиками;

4) заходи із запобігання порушенню прав споживачів;

5) порядок дій керівників та інших працівників банку для запобігання завданню шкоди майну банку;

6) заборону на використання службового становища керівниками банку та іншими працівниками банку з метою отримання несправедливих персональних переваг або надання таких переваг третім особам;

7) заходи із запобігання корупційним діям та хабарництву;

8) гарантії рівності відносин між банком та його клієнтами, працівниками, постачальниками та конкурентами;

9) обмеження щодо дарування та отримання подарунків;

10) принципи оброблення, зберігання та розповсюдження конфіденційної та інсайдерської інформації.

Кодекс поведінки може визначати інші норми, політику чи обмеження додатково до встановлених у пункті 48 глави 9 розділу I цього Положення.

49. Процедура запобігання корупційним діям та хабарництву має забезпечувати:

1) механізм контролю за дотриманням керівниками банку та іншими працівниками банку вимог законодавства з питань запобігання та протидії корупції під час виконання ними функціональних обов'язків;

2) механізм запобігання зловживанням з боку керівників банку та інших працівників банку під час взаємодії з органами державної влади, контролюючими органами та їх посадовими особами, посадовими особами клієнтів та контрагентів;

3) процедури контролю за здійсненням представницьких витрат та наданням/одержанням подарунків керівниками та іншими працівниками банку під час виконання ними посадових обов'язків.

50. Політика запобігання конфліктам інтересів має містити:

1) обов'язки членів ради банку щодо запобігання діяльності, що може спричиняти конфлікти інтересів або можливість виникнення конфліктів інтересів;

2) характерні для банку приклади конфліктів інтересів у членів колегіальних органів банку, ураховуючи членів ради банку, під час виконання ними своїх обов'язків (карта конфліктів інтересів);

3) обов'язки членів колегіальних органів банку та всіх працівників банку оперативно повідомляти про обставини, що можуть спричинити або вже спричинили конфлікт інтересів;

4) обов'язки членів колегіальних органів банку щодо утримання від голосування з будь-якого питання, яке може спричинити конфлікт інтересів або зашкодити об'єктивному ставленню чи належному виконанню таким членом обов'язків перед банком;

5) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту.

Політика запобігання конфліктам інтересів може містити інші обов'язки, процедури додатково до встановлених у пункті 50 глави 9 розділу I цього Положення.

51. Політика запобігання конфліктам інтересів має забезпечувати контроль за своєчасним виявленням, запобіганням та врегулюванням конфлікту інтересів, пов'язаного з:

1) вчиненням дій або прийняттям рішень керівниками банку, членами колегіальних органів та іншими працівниками банку на користь пов'язаних з ними осіб;

2) використанням інсайдерської інформації керівниками банку та іншими працівниками банку;

3) діловою та публічною діяльністю керівників банку та інших працівників банку за межами банку;

4) сторонньою господарською діяльністю керівників банку та інших працівників банку;

5) прямим підпорядкуванням близьких осіб;

6) неправомірним прийняттям подарунків чи даруванням подарунків керівниками банку та іншими працівниками банку.

52. Контроль за своєчасним виявленням, урегулюванням та запобіганням конфліктам інтересів має передбачати:

1) визначення поняття, терміну конфлікту інтересів та основних форм прояву такого конфлікту під час виконання посадових обов'язків керівниками банку та іншими працівниками банку;

2) функціонування процесу попередження конфліктів інтересів, ураховуючи застосування інформаційних бар'єрів для захисту інформації, отриманої керівниками банку та іншими працівниками банку під час виконання посадових обов'язків від неналежного використання в межах або поза межами банку;

3) наявність механізму моніторингу потенційного або реального конфлікту інтересів у керівників банку та інших працівників банку;

4) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту;

5) відповідальність за невиконання вимог інформування щодо потенційного або реального конфлікту інтересів керівниками та іншими працівниками банку.

53. Корпоративні цінності банку мають визначати критичну важливість вчасного, відвертого обговорення неприйнятної поведінки або інших порушень у банку та їх ескалації шляхом:

1) інформування всіх працівників банку про механізм, відповідно до якого вони можуть анонімно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

1-1) надання працівниками банку анонімної інформації до підрозділу контролю за дотриманням норм (комплаєнс) щодо неприйнятної поведінки або інших порушень в діяльності банку;

2) заохочення та надання можливості повідомляти раду банку конфіденційно та без ризику покарання про обґрунтовані занепокоєння щодо неприйнятної поведінки в банку/порушення в діяльності банку;

3) здійснення контролю за дотриманням механізму, відповідно до якого працівники банку можуть конфіденційно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

4) здійснення нагляду за дотриманням порядку дослідження неприйнятної поведінки в банку/порушень у діяльності банку.

Порядок дослідження неприйнятної поведінки в банку/порушень у діяльності банку має визначати повноваження структурних підрозділів банку щодо дослідження того чи іншого виду неприйнятної поведінки в банку/порушень у діяльності банку.

54. Банк має право передати на аутсорсинг функцію отримання повідомлень від працівників з метою дотримання конфіденційності повідомлень про неприйнятну поведінку в банку/порушення в діяльності банку.

55. Банк проводить регулярне (не рідше одного разу на рік для діючих працівників та під час прийняття на роботу нових працівників) навчання працівників банку з питань культури управління ризиками та дотримання кодексу поведінки (етики).

56. Банк розробляє внутрішньобанківські документи з питань управління ризиками, мінімальний перелік яких визначений у додатку 2 до цього Положення, з урахуванням вимог цього Положення, а також вимог законодавства України, документів Базельського комітету з банківського нагляду та міжнародних документів, які регламентують принципи корпоративного управління та управління ризиками в банках.

57. Банк розробляє за кожним видом ризику внутрішньобанківські документи у формі положень, порядків, процедур або іншій формі, які документально закріплюють процес управління ризиками, регламентують інші питання з управління кожним з видів ризиків та враховують вимоги цього Положення.

58. Банк має право об'єднувати окремі внутрішньобанківські документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.

59. Внутрішньобанківські документи з питань управління ризиками мають відповідати стратегії та бізнес-плану банку, декларації схильності до ризиків, бути оформленими, затвердженими, послідовними та мати достатній рівень деталізації.

60. Банк своєчасно переглядає та оновлює (актуалізує) внутрішньобанківські документи з питань управління ризиками з урахуванням змін у законодавстві, відповідних стандартах професійних об'єднань, дія яких поширюється на банк.

61. Внутрішньобанківські документи з питань управління ризиками мають визначати порядок взаємодії між усіма організаційними рівнями банку, включаючи рівень керівників банку.

61-1. Банк передбачає у внутрішньобанківських документах з питань управління ризиками процедури управління та забезпечення контролю ризиків, пов’язаних із припиненням дії індикаторів грошового та валютного ринків.

62. Неподання для ознайомлення уповноваженим працівникам Національного банку на їх вимогу під час здійснення банківського нагляду внутрішньобанківських документів щодо побудови та функціонування системи управління ризиками, а також те, що в банку немає таких документів, є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку заходів впливу в порядку, установленому Положенням № 346.

63. Декларація схильності до ризиків повинна обов'язково визначати:

1) сукупний рівень ризик-апетиту та види ризиків, які банк має намір приймати та утримувати для досягнення бізнес-цілей. Сукупний рівень ризик-апетиту має відповідати бізнес-моделі банку. Банк має право не включати ризик ліквідності до сукупного рівня ризик-апетиту;