Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

2) максимальний рівень допустимого для банку ризику (Risk Capacity), виходячи із розміру наявних ресурсів (капіталу та потреб у ліквідності) та з урахуванням необхідності дотримання вимог Національного банку, зобов'язань перед інвесторами, вкладниками, іншими кредиторами та акціонерами;

3) кількісні та якісні показники ризик-апетиту, які враховують такі аспекти, як достатність капіталу, ліквідність, операційна прибутковість та вартість ризику. Банк має встановити показники ризик-апетиту щодо забезпечення банком дотримання встановлених нормативів достатності регулятивного капіталу та ліквідності;

4) рівень ризик-апетиту щодо кожного з видів ризику (індивідуальний рівень), який має стати основою для встановлення лімітів, а також мінімальний перелік кількісних та якісних показників ризик-апетиту щодо кожного з видів ризику;

5) підходи та перелік припущень, що були використані банком під час визначення показників ризик-апетиту, наведених у підпунктах 1-4 пункту 63 глави 10 розділу I цього Положення;

6) види ризиків, яких банк має уникати;

7) внутрішні та зовнішні чинники та обмеження, що впливають на прийняття банком ризиків.

Зміст декларації схильності до ризиків має доводитися до відома працівників банку, які приймають ризики та несуть відповідальність за них. Декларація схильності до ризиків повинна бути легкою для її розуміння та моніторингу дотримання.

64. Ризик-апетит до кожного з видів ризику є комбінацією кількісних показників, перелік яких залежить від виду ризику та таких загальних якісних вимог:

1) повноти внутрішньобанківських документів з управління ризиками, які відповідають бізнес-моделі банку;

2) наявності опису процесів банку, що визначають ключові точки, в яких банк може наражатися на суттєві ризики;

3) достатнього рівня кваліфікації персоналу банку, що забезпечують виконання процесів з управління ризиками;

4) достатності та належного функціонування інформаційних систем банку щодо управління ризиками, необхідних для підтримки процесів;

5) наявності в інформаційних системах щодо управління ризиками банку повних та якісних даних, що забезпечують належну оцінку величини ризиків;

6) наявності контролю за дотриманням норм (комплаєнс), кодексу поведінки (етики), запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

65. Рада банку під час визначення стратегії та складання бізнес-плану банку враховує величину ризик-апетиту, зазначену в декларації схильності до ризиків. Рада банку також ураховує визначений рівень ризик-апетиту в разі прийняття рішення щодо збільшення обсягів активів у результаті розширення діючих видів діяльності, запровадження нових продуктів та значних змін у діяльності банку.

66. Стратегія/стратегії управління ризиками повинна містити:

1) основні цілі управління ризиками;

2) перелік суттєвих ризиків із зазначенням видів операцій, які генерують ці ризики;

3) принципи та підходи щодо визначення прийнятного співвідношення дохідності та ризиків;

4) загальні принципи управління ризиками.

Рада банку затверджує та регулярно (не рідше одного разу на рік) переглядає стратегію/стратегії управління ризиками.

74. Банк розробляє план відновлення діяльності відповідно до вимог Положення про плани відновлення діяльності банків України та банківських груп, затвердженого постановою Правління Національного банку України від 18 липня 2019 року № 95.

75. Банк розробляє внутрішньобанківський документ щодо програми навчання та підвищення кваліфікації працівників банку з питань управління ризиками, який включає такі напрями:

1) вимоги законодавства України, нормативно-правових актів Національного банку, документів Базельського комітету з банківського нагляду з питань управління ризиками;

2) вимоги внутрішньобанківських документів з питань управління ризиками;

3) практичні заняття щодо реалізації внутрішньобанківських документів з питань управління ризиками;

4) забезпечення безперервної діяльності та фінансування в кризових ситуаціях;

5) вивчення сучасного досвіду, включаючи міжнародний, щодо управління ризиками;

6) порядок організації процесу управління ризиками та підходи до управління окремими видами ризиків.

76. Банк забезпечує належну оцінку ризиків за новими продуктами та значними змінами в діяльності банку до початку їх упровадження.

77. Новими продуктами є:

1) новий вид діяльності або новий вид фінансових послуг, визначених статтею 47 Закону України "Про банки і банківську діяльність" та статтею 4 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг";

2) вихід на новий ринок з наявними видами діяльності або видами фінансових послуг;

3) унесення змін до наявних видів діяльності або видів фінансових послуг, що вимагають змін IT-ресурсів та/або процедур, внутрішньобанківських документів, порядку взаємодії працівників (підрозділів) банку, необхідних для їх реалізації та супроводження;

4) унесення істотних змін до умов надання послуг, включаючи цінові.

78. Значними змінами в діяльності банку є:

1) набуття у власність активів та/або зобов'язань інших учасників ринку у значному обсязі;

2) продаж/передавання активів у значному обсязі;

3) створення філії, дочірньої компанії, іншої юридичної особи або внесення істотних змін до організаційної структури банку;

4) реорганізація банку;

4-1) зміна бізнес-моделі управління фінансовими активами та/або зміна(и) в міжнародних стандартах фінансової звітності та/або істотна(і) зміна(и) в організаційній структурі банку, включаючи припинення діяльності трейдинг-деск, що призводять до виключення/включення інструменту з/до торгової книги;

5) інші зміни в діяльності банку, які вимагають використання/залучення ресурсів у значних обсягах або пов'язані з ризиками, обсяги яких важко оцінити.

79. Значним обсягом операції з набуття у власність активів та/або зобов'язань, продажу/передавання активів, використання/залучення ресурсів, є операція, в якій ринкова вартість активів/зобов'язань/ресурсів перевищує 10 відсотків балансової вартості активів банку за даними останньої річної фінансової звітності. Банк має право встановити інший розмір перевищення ринкової вартості активів/зобов'язань/ресурсів над балансовою вартістю активів банку під час визначення обсягу як значного, але не вищий ніж 10 відсотків.

80. Банк має право створити комітет правління з питань нових продуктів та значних змін у діяльності банку, що забезпечує виконання визначених правлінням банку функцій та повноважень щодо впровадження нових продуктів та значних змін у діяльності банку.

81. Рада банку затверджує політику запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містить:

1) підхід до визначення істотності змін щодо умов надання послуг;

2) підхід до визначення істотності змін щодо організаційної структури банку, включаючи створення та припинення діяльності трейдинг-деск;

3) підхід до визначення значних обсягів набуття у власність активів та/або зобов'язань інших учасників ринку та продажу/передавання активів, використання/залучення ресурсів;

3-1) підхід до визначення інструментів, на які поширюються вимоги підпункту 4-1 пункту 78 глави 11 розділу I цього Положення;

4) підхід до визначення операцій, пов'язаних із ризиками, обсяги яких важко оцінити;

5) вимоги до процедури запровадження нових продуктів та значних змін у діяльності банку, включаючи визначення органу, який уповноважений ухвалювати такі рішення;

6) перелік обов'язкових підрозділів банку та/або відповідальних осіб, які мають залучатися до процесу підготовки документів для ухвалення рішення щодо нових продуктів і значних змін у діяльності банку;

7) вимоги щодо моніторингу ризиків, пов'язаних з упровадженням нових продуктів і значних змін у діяльності банку.

82. Банк розробляє процедури запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містять:

1) процедури ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

2) перелік документів, на підставі яких ухвалюється рішення;

3) порядок взаємодії підрозділів банку та опис процесів з підготовки документів для ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

4) процедури моніторингу впровадження нових продуктів та значних змін у діяльності банку.

83. Банк запроваджує значні зміни в діяльності банку після прийняття рішення про надання згоди радою банку, а у випадках, встановлених законодавством України, - загальними зборами акціонерного товариства чи акціонерами.

84. Документи банку для ухвалення рішення щодо нового продукту або значної зміни в діяльності банку повинні обов'язково містити:

1) опис нового продукту/значної зміни в діяльності банку, аналіз їх відповідності стратегії банку, цільових клієнтів, які мають ним користуватися, а також основних цілей запровадження такого продукту/зміни в діяльності банку та результати маркетингового дослідження;

2) висновки підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) у межах їх функціональних обов'язків, які повинні обов'язково включати:

оцінку ризиків нового продукту/значної зміни в діяльності банку щодо того, чи перебуває новий продукт/значна зміна в діяльності банку в межах затвердженого банком ризик-апетиту та чи їх запровадження не призведе до порушень банком вимог законодавства, ринкових стандартів, правил добросовісної конкуренції;

рекомендації щодо методів управління виявленими ризиками (прийняття, передавання, пом'якшення чи уникнення ризиків);

розрахунок та пропозиції щодо величини лімітів ризиків, пов'язаних із новим продуктом/значною зміною в діяльності банку;

оцінку зміни профілю ризику банку, що може стати наслідком запровадження нового продукту/значної зміни в діяльності банку;

3) висновки інших підрозділів банку, на які покладені банком функції щодо визначення економічної доцільності та можливості запровадження і належної підтримки нового продукту/значної зміни в діяльності банку;

4) підходи до ціноутворення/установлення тарифів на новий продукт/значну зміну в діяльності банку;

5) аналіз прогнозованих доходів і втрат від запровадження нового продукту/значної зміни в діяльності банку;

6) типовий договір щодо нового продукту/значної зміни в діяльності банку та їх бухгалтерську модель обліку.

85. Ухвалення рішення щодо запровадження нового продукту/значної зміни в діяльності банку має ґрунтуватися на висновках підрозділів банку та виключати вплив акціонерів, керівників банку або третіх осіб, які не відповідають інтересам банку.

86. Банк проводить розроблення, налаштування та тестування готовності інформаційних систем щодо управління ризиками, а також навчання персоналу банку до початку впровадження нового продукту/значної зміни в діяльності банку та за потреби змінює строки впровадження до моменту забезпечення готовності.

87. Банк установлює ліміти (обмеження) для суттєвих ризиків, що піддаються кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкового ризику;

5) інших суттєвих видів ризиків, на які може наражатися банк у своїй діяльності.

Банк також установлює ліміти для управління різними джерелами концентрації ризиків.

88. Банк установлює значення лімітів ризиків як у відсотках до регулятивного капіталу банку, так і до загального розміру активів, загальної суми зобов'язань. Банк має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків в абсолютних значеннях та/або у відсотках до інших показників банку.

89. Банк залежно від характеру діяльності та його бізнес-моделі має право встановлювати окремі значення лімітів для учасників банківської групи, бізнес-ліній, портфелів, типів інструментів або окремих інструментів.

90. Банк у своїй політиці щодо управління ризиками визначає порядок установлення значень лімітів ризиків та контролю за їх дотриманням.

91. Банк переглядає значення лімітів ризиків у разі змін ринкових умов або стратегії банку, але не рідше ніж раз на рік. Перегляд здійснюється на підставі пропозицій бізнес-підрозділів банку та підрозділу з управління ризиками.

92. Банк розробляє процедуру ескалації порушень лімітів ризиків: форму та порядок інформування про порушення цих лімітів ради банку, комітету з управління ризиками, правління банку та його комітетів.

93. Підрозділ з управління ризиками здійснює контроль за дотриманням лімітів ризиків. Підрозділ з управління ризиками/головний ризик-менеджер у порядку, визначеному процедурою банку щодо ескалації порушень лімітів ризиків, не пізніше наступного робочого дня після виявлення порушення ліміту ризику, крім порушення ліміту, викликаного зміною курсів валют та яке не перевищує 5% від встановленого ліміту, інформує раду банку, комітет з управління ризиками, правління банку та його комітети в межах їх компетенції щодо такого порушення. Підрозділ з управління ризиками/головний ризик-менеджер у строки та в порядку, визначених процедурою банку щодо ескалації порушень лімітів ризиків, надає раді банку, комітету з управління ризиками, правлінню банку та його комітетам інформацію про причини порушення лімітів та пропозиції щодо заходів для усунення порушення лімітів.

94. Рада банку має право делегувати колегіальним органам банку повноваження щодо погодження на здійснення операцій банку, що призводять до перевищення лімітів ризиків (авторизованих перевищень). У такому разі рада банку затверджує процедуру контролю за використанням цих повноважень. Така процедура повинна обов'язково містити:

1) види ризиків, щодо яких дозволяються авторизовані перевищення;

2) максимальний обсяг авторизованого перевищення;

3) вимоги до документування рішення щодо авторизованого перевищення;

4) порядок інформування ради банку щодо авторизованих перевищень.

95. Банк накопичує інформацію щодо авторизованих перевищень та порушень лімітів ризиків.

96. Рада банку проводить позачерговий перегляд значень лімітів, якщо авторизовані перевищення або порушення лімітів ризиків є частими або постійними. Результатом такого перегляду можуть бути:

1) перегляд значень діючих лімітів;

2) перегляд делегованих повноважень щодо авторизованих перевищень;

3) залишення значень лімітів без змін та затвердження плану заходів щодо запобігання їх подальшому перевищенню/порушенню.

97. Банк створює надійну інформаційну систему щодо управління ризиками та звітування, яка забезпечує агрегування даних щодо ризиків банку, оперативне та достовірне вимірювання ризиків як на рівні окремого банку, так і на рівні банківської групи як в звичайних, так і в стресових ситуаціях.

98. Банк розробляє процедури обробки даних щодо ризиків, політику конфіденційності та збереження такої інформації, а також доступу до неї.

99. Банк під час розроблення плану забезпечення безперервної діяльності оцінює спроможність інформаційних систем щодо управління ризиками та визначає процедури, що мають забезпечувати агрегування даних щодо ризиків у стресових ситуаціях відповідно до вимог, визначених у пункті 100 глави 13 розділу I цього Положення.

100. Банк розробляє процедури агрегування даних щодо ризиків, що забезпечують виконання таких принципів:

1) точність і цілісність.

Банк підтримує обґрунтоване співвідношення у застосуванні автоматизованих та ручних процесів агрегування даних щодо ризиків. Банк застосовує ручні процеси в ситуаціях, що потребують судження банку. В інших випадках банк максимально автоматизує процедури обробки даних з метою уникнення помилок. Банк складає опис агрегування даних щодо ризиків як щодо автоматизованих, так і щодо ручних процесів. Опис має містити пояснення щодо застосування ручних процесів, а судження має містити обґрунтування щодо його застосування.

Банк використовує надійні процедури агрегування даних щодо ризиків та забезпечує:

використання чітких процедур контролю за точністю даних про ризики;

розроблення політики та процедур використання програмного забезпечення працівниками банку в разі застосування банком ручних процесів та автоматизованих додатків та баз даних;

вивірку даних про ризики з даними бухгалтерського обліку;

наявність єдиного надійного джерела інформації за кожним видом ризику;

доступ до даних про ризики працівникам підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) з метою формування якісної та достовірної звітності про ризики;

2) повноту даних.

Банк здійснює агрегування даних щодо ризиків за усіма учасниками банківської групи. Дані про ризики мають групуватися за бізнес-лініями, видами активів та зобов'язань банку, галузевою та географічною концентрацією, показниками, що дасть змогу виявляти ризики та складати звіти;

3) своєчасність.

Банк своєчасно формує агреговані та актуалізовані дані щодо ризиків з одночасним дотриманням принципів точності і цілісності, повноти даних та адаптивності. Конкретні терміни формування даних щодо ризиків залежать від затвердженої періодичності надання звітів щодо ризиків, а в разі виникнення стресових ситуацій формування даних щодо ризиків здійснюється банком у найкоротші строки;

4) адаптивність, що означає:

наявність достатньо гнучких процедур, що дасть змогу агрегувати дані щодо ризиків згідно з установленими вимогами;

наявність можливостей модифікації процедур агрегування даних щодо ризиків з метою задоволення потреб користувачів, що дає змогу отримати інформацію з достатнім рівнем деталізації;

наявність можливостей унесення змін до процедур агрегування даних про ризики у зв'язку зі зміною законодавства.

101. Ефективне управління ризиками передбачає, що управлінська звітність про ризики містить точну, повну, своєчасну інформацію про ризики, надана раді банку, колегіальним органам, правлінню банку та іншим користувачам, які приймають рішення, та забезпечує повне розуміння ними ситуації щодо рівня ризиків банку для прийняття своєчасних та адекватних рішень.

102. Уповноважені підрозділи банку складають управлінську звітність про ризики, яка має бути:

1) точною, вивіреною та достовірно відображати рівень прийнятого банком ризику.

Банк включає в управлінську звітність про ризики інформацію про відкриті провадження у справах, у яких банк та/або керівник банку, та/або власник істотної участі в банку є відповідачем, а також про прийняті судами рішення не на їх користь, що можуть призвести до суттєвих наслідків для банку. Такими наслідками є виникнення збитків/санкцій та/або додаткових втрат чи недоотримання запланованих доходів, та/або втрати репутації, що окремо або в сукупності може спричинити порушення банком пруденційних нормативів капіталу та/або ліквідності, установлених Національним банком.

Банк з метою забезпечення належного аналізу та оцінки ризиків, прийняття своєчасних та адекватних управлінських рішень щодо мінімізації ризиків здійснює аналіз інформації, що міститься в державних реєстрах, інформаційних системах банку та органів державної влади, засобах масової інформації, інших відкритих джерелах.

Банк визначає у своїх внутрішньобанківських документах порядок виявлення, моніторингу такої інформації та забезпечує своєчасний контроль, вимірювання (оцінювання) збитків/санкцій, додаткових втрат або недоотримання запланованих доходів, використовуючи як власний досвід, так і досвід інших банків (за наявності);

2) комплексною.

Управлінська звітність про ризики має охоплювати всі суттєві види ризиків банку, містити інформацію про концентрацію ризиків, дотримання встановленого розміру ризик-апетиту та значень лімітів ризику, а також надавати перспективну оцінку ризиків з урахуванням впливу майбутніх операцій, а не тільки поточну та історичну;

3) чіткою та інформативною.

Управлінська звітність про ризики має надавати чітку та однозначну інформацію та бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень.

Рада банку є головним користувачем управлінської звітності про ризики та несе відповідальність за розроблення вимог до такої звітності, формує запити та забезпечує отримання інформації, необхідної для виконання своїх функцій. Рада банку вимагає пояснень від керівників банку, головного ризик-менеджера, головного комплаєнс-менеджера, якщо звітність про ризики не відповідає затвердженим нею вимогам щодо управлінської звітності про ризики та вживає адекватних заходів.

Правління банку є ключовим користувачем управлінської звітності про ризики і також несе відповідальність за розроблення вимог до такої звітності, забезпечує запити та отримання інформації, необхідної для виконання своїх функцій.

Банк повинен мати технічні можливості для формування нестандартної звітності про ризики:

під час стресових ситуацій;

у разі зміни потреб щодо необхідної управлінської інформації;

у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів;

4) періодичною.

Рада банку, колегіальні органи, правління банку та інші користувачі управлінської звітності про ризики встановлюють періодичність складання та надання управлінської звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Така періодичність має бути не рідшою ніж установлена цим Положенням;

5) поширеною серед користувачів управлінської звітності про ризики із забезпеченням конфіденційності.

103. Банк використовує ефективні моделі та інструменти для оцінки (вимірювання) ризиків, як тих, що підлягають кількісному виміру в повній мірі, так і тих, що підлягають кількісному виміру в меншій мірі, уключаючи ризик репутації, стратегічний ризик. Банк має право використовувати тільки інструменти оцінки ризиків для тих ризиків, що підлягають кількісному виміру в меншій мірі.

104. Банк під час обрання моделей та інструментів оцінки ризиків ураховує:

1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;

2) бізнес-потреби;

3) припущення, що є основою для моделей та інструментів;

4) наявність коректних та повних вхідних даних;

5) можливості інформаційної системи банку щодо управління ризиками;

6) досвід та кваліфікацію персоналу.

105. Процес побудови моделі включає такі послідовні етапи:

1) визначення основних характеристик об'єкта оцінки та припущень для моделі;

2) підготовка вхідних даних для моделі, перевірка їх якості (коректності та повноти) і достатності;

3) побудова моделі;

4) тестування моделі, уключаючи її прогностичну здатність та коректність її результатів;

5) опис моделі;

6) затвердження моделі;

7) упровадження моделі;

8) наступна регулярна валідація моделі.

106. Банк використовує моделі та інструменти оцінки ризиків, які побудовані на коректних та повних вхідних даних.

107. Банк запроваджує порядок відбору вхідних даних для їх використання під час оцінки ризиків. Вхідні дані повинні:

1) відповідати ринковим значенням;

2) бути повними та коректними;

3) отримуватися з незалежних джерел або від підрозділів банку, діяльність яких не залежить від результатів оцінки ризиків.

108. Банк забезпечує своєчасну актуалізацію вхідних даних, що використовуються для розрахунку величини ризиків, в інформаційних системах щодо управління ризиками.

109. Опис моделі (документування) має включати:

1) опис методу використаного для моделювання та вид використаної моделі;

2) характеристики основних припущень та принципів, що лежать в основі моделі;

3) переваги та недоліки моделі, причини вибору саме цієї моделі;

4) опис вхідних даних для моделі та вимоги до них;

5) опис процесу використання моделі;

6) оцінку прогностичної здатності моделі;

7) правила внесення змін до моделі;

8) розподіл обов'язків та відповідальності за створення, упровадження, валідацію (перегляд ефективності) моделі та внесення змін до неї.

110. Банк регулярно (не рідше ніж раз на рік) здійснює валідацію моделей та інструментів оцінки ризиків, розроблених з використанням математичного/статистичного/ економетричного моделювання шляхом:

1) оцінки адекватності основних припущень моделі/інструменту та її/його внутрішньої логіки;

2) бек-тестування, здійсненого шляхом порівняння фактичних даних з результатами, отриманими за допомогою моделі/інструменту. Банк має право не здійснювати бек-тестування за умови формування судження щодо недостатності історичних даних;

3) порівняння результатів, отриманих за допомогою обраної банком моделі, з результатами інших внутрішніх та/або зовнішніх моделей (за наявності таких).

110-1. Банк здійснює валідацію моделей/інструментів, розроблених як банком, так і зовнішніми організаціями.

Банк не здійснює валідацію моделей/інструментів, що мають широке міжнародне застосування (також метод аналізу дюрацій, GAP-аналіз), за умови, що вони є стандартизованими, а інформація про їх складові, переваги та недоліки є загальнодоступною та не може бути змінена банком в результаті їх валідації згідно з вимогами глави 14 розділу I цього Положення.

Банк не здійснює валідацію моделей/інструментів оцінки ризиків, розроблених Національним банком, складові яких ґрунтуються на накопичених Національним банком узагальнених статистичних даних з усієї банківської системи України і використовуються банками для розрахунку мінімальних регуляторних вимог.

Банк здійснює валідацію моделей/інструментів, що передбачають варіативність результатів їх застосування (серед іншого обрана банком модель VaR).

111. Результатом валідації моделі/інструменту оцінки ризиків може бути:

1) підтвердження адекватності моделі/інструменту оцінки ризиків та продовження її/його подальшого використання без змін;

2) продовження використання моделі/інструменту оцінки ризиків, але з коригуванням окремих її/його параметрів;

3) заміна діючої моделі/інструменту оцінки ризиків через її/його неефективність на нові.

112. Валідація моделі/інструменту оцінки ризиків має бути незалежною від побудови моделі або вибору інструменту та її/його використання. Валідація має здійснюватися окремим підрозділом банку (іншим, ніж підрозділ, який побудував та/або використовує модель або інструмент) або зовнішньою організацією, уключно з передаванням функції валідації моделей/інструментів такій організації на аутсорсинг з урахуванням вимог цього Положення щодо побудови моделі або вибору інструменту. Побудова моделі може здійснюватись аутсорсером за умови дотримання банком вимог щодо незалежності валідації такої моделі.

113. Головний ризик-менеджер забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць моделей та інструментів оцінки ризиків, припущень та обмежень, притаманних моделям, з метою їх урахування під час розгляду результатів оцінки ризиків та прийняття своєчасних та адекватних управлінських рішень.

114. Банк регулярно, з періодичністю, визначеною цим Положенням, здійснює стрес-тестування з метою оцінки ризиків та визначення своєї спроможності протистояти потрясінням та загрозам, на які банк наражається під час своєї діяльності, або які можуть виникнути в майбутньому.

115. Банк забезпечує за потреби здійснення/проведення оперативного (позачергового) стрес-тестування, періодичність здійснення якого відповідає динаміці змін за окремими видами активів і зобов'язань банку, а також тенденціям змін в економічному і фінансовому середовищі.

116. Банк розробляє єдиний внутрішньобанківський документ або окремі розділи щодо стрес-тестування у відповідних документах щодо кожного з видів ризиків про порядок здійснення/проведення стрес-тестування (програма проведення стрес-тестування), який визначає:

1) методологію та моделі, що використовуються для здійснення стрес-тестування;

2) періодичність здійснення різних типів стрес-тестування;

3) перелік, функції та порядок взаємодії учасників процесу здійснення стрес-тестування, їх повноваження і відповідальність з чітким визначенням структури підпорядкування;

4) перелік видів ризиків, за якими здійснюється стрес-тестування;

5) перелік факторів ризиків, що використовуються під час здійснення стрес-тестування;

6) перелік припущень, що використовуються під час здійснення стрес-тестування;

7) інформаційну систему щодо управління ризиками, за допомогою якої банк здійснює стрес-тестування;

8) порядок розгляду результатів здійснення стрес-тестування та доведення їх змісту до відома ради банку, комітету з управління ризиками та правління банку з метою прийняття своєчасних та адекватних управлінських рішень щодо зниження рівня ризиків.

117. Програма проведення стрес-тестування має забезпечувати:

1) визначення розміру збитків банку в цілому та в розрізі видів операцій у разі реалізації екстремальних, однак реалістичних стрес-сценаріїв, а також оцінку потенційних можливостей банку покрити такі збитки;

2) оцінку впливу реалізації стрес-сценаріїв на дотримання банком граничних значень нормативів та лімітів валютної позиції, установлених Національним банком;

3) порівняння отриманих результатів з установленим рівнем ризик-апетиту;

4) визначення ступеня залежності величини ризиків від окремих факторів ризику, які пом'якшують або посилюють їх дію.

118. Банк забезпечує здійснення стрес-тестування, що охоплює всі види діяльності банку, балансові та позабалансові позиції з урахуванням особливостей його операцій.

119. Банк забезпечує здійснення стрес-тестування щонайменше за такими видами ризиків:

1) кредитний ризик;

2) ризик ліквідності;

3) процентний ризик банківської книги;

4) ринковий ризик;

5) операційний ризик.

Банк здійснює стрес-тестування щодо цих ризиків з урахуванням ризику концентрації.

120. Банк з урахуванням специфіки своєї діяльності та розміру впливу цих ризиків на всі напрями діяльності банку визначає перелік інших видів ризиків, за якими здійснює стрес-тестування.

121. Банк визначає методи проведення стрес-тестування, включаючи параметри/припущення для стрес-сценаріїв, які мають включати кількісні та якісні показники, та враховувати профіль ризику банку і основні напрями його діяльності.

122. Банк визначає методи проведення стрес-тестування щодо кожного із суттєвих видів ризику самостійно з урахуванням власного досвіду. Банк залежно від ситуації використовує хоча б один із таких методів:

1) аналіз чутливості портфеля активів до зміни факторів ризиків, який полягає в моделюванні наслідків зміни одного фактора ризику або групи тісно взаємопов'язаних факторів ризику, але незмінних інших факторів ризику;

2) сценарний аналіз, який полягає в моделюванні наслідків одночасної зміни декількох факторів ризиків, що ґрунтується як на історичних, так і гіпотетичних подіях. Метод дає змогу оцінити потенційний вплив одночасного настання низки факторів ризику на діяльність банку в разі настання виняткової (екстремальної), але разом з тим імовірної події. Під час розроблення сценаріїв банк використовує фактори ризиків з максимально негативним впливом, що можуть призвести до подій, унаслідок виникнення яких банк може зазнати найбільших втрат, та опрацьовує варіанти найгіршого розвитку подій;

3) реверсивне стрес-тестування, яке полягає в пошуку такої комбінації значень факторів ризиків та визначенні такого сценарію, за яким банк отримає заздалегідь визначений негативний результат (порушення нормативів капіталу та/або інших нормативів, установлених Національним банком, втрату ліквідності, настання неплатоспроможності, інших негативних наслідків для банку). Пошук може здійснюватися як експертним методом, так і за допомогою статистичного моделювання.

123. Банк для проведення стрес-тестування визначає основні (базові) фактори ризиків, які можуть впливати на його діяльність і фінансовий стан, а саме: макроекономічні та мікроекономічні показники.

124. Банк серед макроекономічних показників може визначати такі:

1) розмір внутрішнього валового продукту;

2) облікову ставку Національного банку;

3) офіційний курс гривні до іноземних валют;

4) індекс споживчих цін та цін виробників;

5) рівень безробіття;

6) середню заробітну плату;

7) ціни на ключові товари, що експортуються з України (сталь, залізну руду, пшеницю, кукурудзу, соняшникову олію) та імпортуються до України (природний газ, нафту);

8) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

125. Банк серед мікроекономічних показників може визначати такі:

1) можливість доступу банку до зовнішніх джерел фінансування;

2) ринкову позицію банку;

3) структуру його балансу;

4) якість активів;

5) галузеву концентрацію;

6) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

126. Банк запроваджує адекватний та чіткий механізм трансформації факторів ризику, що застосовуються під час здійснення стрес-тестування, у відповідні внутрішні критерії банку, що використовуються для оцінки величини ризику (PD, LGD, зниження вартості інструментів та позицій).

127. Банк забезпечує рівень інформації та технологічну інфраструктуру, яка є достатньо гнучкою для розміщення різних і можливо змінних стрес-тестів на достатньому рівні деталізації.

128. Банк для забезпечення ефективності проведення стрес-тестування здійснює регулярний і систематичний (не рідше одного разу на рік) перегляд/удосконалення методів та стрес-сценаріїв.

129. Банк здійснює документування результатів стрес-тестування за кожним із стрес-сценаріїв з урахуванням аналізу впливу якості даних, які використовувалися для здійснення стрес-тестування.

130. Банк забезпечує належне використання результатів стрес-тестування всіма структурними підрозділами банку, залученими до виконання функцій з управлінням ризиками.

131. Головний ризик-менеджер забезпечує своєчасне доведення до ради банку, комітету з управління ризиками та правління банку висновків про результати стрес-тестування, які обов'язково мають містити оцінку впливу можливої реалізації стрес-сценаріїв на діяльність банку для розроблення та вжиття заходів щодо зменшення впливу потенційних ризиків та уникнення/мінімізації фінансових втрат.

132. Головний ризик-менеджер забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць методів та стрес-сценаріїв, що використовуються під час здійснення стрес-тестування, з метою їх врахування під час розгляду його результатів та прийняття своєчасних та адекватних управлінських рішень.

133. Банк використовує результати здійснення стрес-тестування під час розроблення/перегляду/коригування стратегії та бізнес-плану банку, стратегії, політики та процедур управління ризиками, планів відновлення діяльності, забезпечення безперервної діяльності та фінансування в кризових ситуаціях.

134. Банк створює ефективну систему управління кредитним ризиком, що забезпечує виявлення, вимірювання, моніторинг, звітування, контроль і пом'якшення кредитного ризику як на індивідуальній, так і на портфельній основі.

135. Кредитний ризик уключає також такі ризики:

1) ризик країни;

2) трансфертний ризик;

3) ризик контрагента:

4) ризик інвестицій у дочірні компанії.

136. Банк визначає такі кількісні показники ризик-апетиту до кредитного ризику:

1) максимальне зростання обсягу портфеля кредитів у відсотках до його величини на початок року;

2) максимальний обсяг заборгованості за одним боржником/групою пов'язаних контрагентів у відсотках до загального обсягу портфеля кредитів та регулятивного капіталу банку;

3) максимальний обсяг галузевої та географічної концентрації портфеля кредитів у відсотках до загального обсягу портфеля кредитів (конкретний перелік видів економічної діяльності та/або географічних регіонів визначається банком на рівні деталізації відповідно до його бізнес-моделі);

4) максимальний обсяг портфеля кредитів за кредитними продуктами у відсотках (конкретний перелік продуктів визначається банком відповідно до його бізнес-моделі) до загального обсягу портфеля кредитів;

5) граничний обсяг непрацюючих активів у відсотках до відповідного виду активів або продуктів.

Банк має право визначати інші кількісні показники ризик-апетиту до кредитного ризику додатково до встановлених у пункті 136 глави 16 розділу II цього Положення.

137. Підрозділ з управління ризиками створює та використовує систему внутрішньої оцінки кредитного ризику, порівнює результати цієї оцінки з величиною кредитного ризику, розрахованою відповідно до вимог Положення № 351, та аналізує причини відхилення.

138. Банк вимірює ризик концентрації, щонайменше в розрізі:

1) величини заборгованості за боржниками та групами пов'язаних контрагентів;

2) строків до погашення кредитів;

3) кредитних продуктів;

4) географічних регіонів;

5) видів економічної діяльності;

6) видів забезпечення за кредитами.

139. Банк розробляє та періодично (не рідше одного разу на рік) переглядає кредитну політику, політику, порядок та процедури управління кредитним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту банку до цього ризику.

140. Банк формує і запроваджує кредитну політику з урахуванням таких зовнішніх і внутрішніх факторів:

1) ринкова позиція банку;

2) макроекономічне середовище;

3) внутрішнє операційне середовище, уключаючи персонал;

4) наявні технології, інформаційні системи щодо управління ризиками.

141. Банк доводить кредитну політику, політику, порядки та процедури управління кредитним ризиком до працівників банку, які беруть участь у процесі видачі/придбання та супроводження кредитів відповідно до функціональних обов'язків, і які повинні чітко розуміти підхід банку до цього процесу та нести відповідальність за виконання політики, порядків і процедур.

142. Кредитна політика банку повинна обов'язково містити:

1) визначення цільових ринків кредитування та їх загальні характеристики;

2) перелік цільових напрямів кредитування в розрізі видів економічної діяльності, географічних регіонів, видів валюти;

3) загальні критерії прийнятності кредитування;

4) принципи управління ризиком концентрації;

5) загальні умови, на яких мають надаватися кредити: цінові умови, строковість, обсяги, види забезпечення та рівень забезпечення (покриття) заборгованості;

6) порядок ухвалення кредитних рішень;

7) процедуру делегування повноважень щодо ухвалення кредитних рішень.

143. Політика управління кредитним ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління кредитним ризиком;

2) організаційну структуру процесу управління кредитним ризиком з урахуванням розподілу функціональних обов'язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;

3) перелік лімітів для контролю за рівнем кредитного ризику та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику;

5) підходи щодо кредитного адміністрування та моніторингу;

6) підходи щодо перегляду кредитів, уключаючи кредити, надані пов'язаним з банком особам;

7) підходи щодо завчасного (на ранньому етапі) виявлення та управління непрацюючими активами;

9) підходи щодо здійснення стрес-тестування кредитного ризику;

10) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо кредитного ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.