Про схвалення Методичних рекомендацій щодо організації та функціонування систем ризик-менеджменту в банках України

8.1. Система управління ринковим ризиком складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

8.2. Система управління ринковим ризиком має включати таке:

політики і положення щодо управління ринковим ризиком, які розглядаються та затверджуються відповідно до обраної банком форми корпоративного управління;

положення щодо видів фінансових інструментів та інших інвестицій як балансових, так і позабалансових, щодо яких банк готовий вести торгові операції або приймати позиції;

положення щодо лімітів ризику за видами фінансових інструментів або іншими інвестиціями чи активами, за галузями або секторами економіки, за географічними регіонами або за іншими ринковими операціями (експозиціями), що можуть розглядатись у сукупності. Ці положення мають враховувати можливий вплив інших категорій ризиків, на які наражається банк;

чітко визначену систему повноважень з прийняття рішень щодо затвердження ринкових позицій;

адекватні та ефективні процедури і засоби контролю за управлінням ринковим ризиком, які підлягають перегляду на регулярній основі з метою забезпечення їх актуальності;

форми звітності для спостережної ради, правління або профільних колегіальних органів банку щодо ринкового ризику, у тому числі на основі методики порівняння очікуваного доходу від ринкової операції із її потенційним ризиком.

8.3. Крім того, для ефективнішого управління ринковим ризиком рекомендується:

здійснювати підготовку достовірних даних і ефективних методик, таких, як розрахунок ризикової вартості (VaR), стрес-тестування для оцінки характеру і вартості ринкових позицій банку і для оцінки рівня ринкового ризику, на який банк наражається або наражатиметься;

застосовувати бек-тестування для порівняння з фактичними результатами оцінок і припущень, зроблених з використанням даних і методик, зазначених вище.

8.4. Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління ліквідністю, який, зокрема, викладений у положенні Базельського комітету з банківського нагляду "Зміни до угоди про капітал щодо врахування ринкових ризиків" (N 24 січень 1996 року).

9.1. Валютний ризик - це наявний або потенційний ризик для надходжень і капіталу, який виникає через несприятливі коливання курсів іноземних валют та цін на банківські метали. Валютний ризик можна поділити на:

ризик трансакції;

ризик перерахування з однієї валюти в іншу (трансляційний ризик);

економічний валютний ризик.

Ризик трансакції полягає в тому, що несприятливі коливання курсів іноземних валют впливають на реальну вартість відкритих валютних позицій. Оскільки цей ризик, як правило, випливає з операцій маркетмейкерства, дилінгу і прийняття позицій в іноземних валютах, він розглядається у рекомендаціях щодо ринкового ризику.

Ризик перерахування з однієї валюти в іншу (трансляційний) полягає в тому, що величина еквівалента валютної позиції у звітності змінюється в результаті змін обмінних курсів, які використовуються для перерахування залишків в іноземних валютах у базову (національну) валюту.

Економічний валютний ризик полягає у змінах конкурентоспроможності фінансової установи або її структур на зовнішньому ринку через суттєві зміни обмінних курсів.

10.1. Система управління валютним ризиком банку складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

10.2. Система управління ризиками щодо валютного ризику має включати таке:

політику та положення щодо управління валютним ризиком, які мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління. Ця політика та положення повинні періодично переглядатися;

механізм управління валютною позицією банку відповідно до затверджених політик та положень з валютних операцій та управління валютним ризиком;

форми звітності для спостережної ради, правління або профільних колегіальних органів банку щодо валютної позиції у розрізі валют на індивідуальній та сукупній основі.

10.3. Крім того, для ефективнішого управління валютним ризиком рекомендується:

здійснювати періодичний аналіз відкритої валютної позиції банку за допомогою ризик-моделі "вартість/надходження" для вимірювання чутливості до змін валютних курсів;

застосовувати для зменшення величини валютного ризику методи хеджування.

10.4. Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління ліквідністю, який, зокрема, викладений у положенні Базельського комітету з банківського нагляду "Наглядові вказівки щодо управління ризику не здійснення розрахунку за операціями в іноземній валюті" (N 73 вересень 2000 року).

11.1. Операційно-технологічний ризик - це потенційний ризик для існування банку, що виникає через недоліки корпоративного управління, системи внутрішнього контролю або неадекватність інформаційних технологій і процесів оброблення інформації з точки зору керованості, універсальності, надійності, контрольованості і безперервності роботи цих технологій.

Такі недоліки можуть призвести до фінансових збитків через помилку, невчасне виконання робіт або шахрайство або стати причиною того, що інтереси банку постраждають у якийсь інший спосіб, наприклад, ділери, кредитні працівники або інші працівники банку перевищать свої повноваження або здійснюватимуть операції у порушення етичних норм або із занадто високим ризиком.

11.2. Операційно-технологічний ризик виникає також через неадекватність стратегії, політики і використання інформаційних технологій. До інших аспектів операційно-технологічного ризику належать ймовірність непередбачених подій (пожежа або стихійне лихо).

12.1. Система контролю операційно-технологічного ризику банку складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

12.2. Система контролю операційно-технологічним ризиком має містити таке:

політику і положення щодо контролю за операційно-технологічним ризиком з метою його мінімізації, які мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління. Ці політика і положення мають періодично переглядатися;

процедури і засоби контролю за операційно-технологічним ризиком, що притаманні операціям банку, у тому числі:

процедури та засоби контролю за дотриманням облікової політики банку та вимог нормативно-правових актів Національного банку щодо методів оцінки активів та складання звітності;

процедури та засоби контролю за функціонуванням інформаційних систем банку та забезпечення безперебійної діяльності, зокрема процеси дублювання і відновлення інформації, а також резервні системи у разі втрати доступу або знищення важливої інформації або технологій;

інформаційну систему управління (форми звітності, схема документообігу тощо) для спостережної ради, правління або профільних колегіальних органів банку щодо моніторингу уразливості всіх видів діяльності банку до операційно-технологічного ризику;

програму управління персоналом, яка охоплює:

постійний, ефективний процес залучення і утримання достатньої кількості кваліфікованого персоналу, що відповідає потребам банку та зовнішнім обставинам, з метою виконання завдань його діяльності і реалізації стратегії та бізнес-планів;

продумані і визначені рівні повноважень з прийняття будь-яких рішень;

доведення до персоналу його обов'язків;

контроль за діяльністю персоналу;

розроблення і впровадження процесу навчання з метою підвищення кваліфікації працівників;

технологічні схеми (карти) продуктів та послуг банку, що підтримуються в постійно актуальному стані;

процедури забезпечення потреб банку в інфраструктурі (зокрема в програмному, апаратному та іншому забезпеченні) відповідно до його обсягів та складності поточної та запланованої діяльності. Ці процедури мають передбачати санкціонування, тестування та документування всіх операційно-технологічних систем банку перед початком їх експлуатації, а також механізми їх актуалізації, у тому числі перевірку чинності ліцензійних угод;

процес періодичного тестування встановлених процедур та технологій здійснення операцій, у тому числі процедур фізичної та інформаційної безпеки, з метою контролю за дотриманням цих процедур і технологій та збору інформації щодо їх можливого вдосконалення у разі їх неефективності.

12.3. Крім того, для належного контролю за операційно-технологічним ризиком рекомендується:

забезпечити надійне позаофісне зберігання всіх важливих резервних документів і файлів банку;

у разі використання банком послуг аутсорсингу, забезпечити чітку регламентацію таких питань:

обставин, за яких можуть використовуватись послуги аутсорсингу та переліку операцій, до яких можуть бути залучені сторонні особи;

процедур та критеріїв вибору постачальників послуг;

моніторингу якості роботи і ризиків, пов'язаних із використанням сторонніх постачальних послуг.

12.4. Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління операційно-технологічним ризиком, який, зокрема, викладений у положенні Базельського комітету з банківського нагляду "Надійна практика управління та нагляду за операційним ризиком" (N 96 лютий 2003 року), "Принципи ризик-менеджменту електронного банкінгу" (N 98 липень 2003 року).

13.1. Ризик репутації - це наявний або потенційний ризик для надходжень та капіталу, який виникає через несприятливе сприйняття іміджу фінансової установи клієнтами, контрагентами, акціонерами (учасниками) або органами нагляду. Це впливає на спроможність банку встановлювати нові відносини з контрагентами, надавати нові послуги або підтримувати відносини, що є.

13.2. Ризик репутації може привести банк (або його керівників) до фінансових втрат або зменшення клієнтської бази. Цей ризик має місце на всіх рівнях організації, і тому банки повинні відповідально ставитися до своїх відносин із клієнтами та суспільством.

13.3. Сприйняття іміджу банку можна поділити на:

сприйняття ринком, наприклад, нинішніми або потенційними клієнтами,

контрагентами, акціонерами (учасниками);

сприйняття органами державного регулювання, наприклад, Національним банком, Державною комісією з цінних паперів та фондового ринку, Державною податковою адміністрацією, іншими уповноваженими органами.

14.1. Система управління ризиком репутації банку складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

14.2. Система управління ризиком репутації повинна включати таке:

політику і положення щодо управління ризиком репутації, які мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління. Ці політика і положення повинні періодично переглядатися, як це передбачено в главі 2 розділу III цих Методичних рекомендацій та охоплювати стандарти роботи з клієнтами та іншими зовнішніми сторонами, роботи з інформацією та наймання персоналу із відповідною позитивною репутацією;

інформаційну систему управління (форми звітності, схема документообігу тощо) для спостережної ради, правління або профільних колегіальних органів банку щодо моніторингу уразливості всіх видів діяльності банку до ризику репутації;

процес контролю за репутацією клієнтів банку для уникнення контактів із клієнтами із незадовільною репутацією, що (контакти) можуть негативно вплинути на репутацію самого банку.

14.3. Крім того, для адекватного управління ризиком репутації банк може проводити регулярний моніторинг повідомлень засобів масової інформації про банк, пов'язані з ним структури та клієнтів з метою вжиття відповідних заходів, спрямованих на підтримання та відновлення позитивної репутації банку та його іміджу.

15.1. Юридичний ризик - це наявний або потенційний ризик для надходжень та капіталу, який виникає через порушення або недотримання банком вимог законів, нормативно-правових актів, угод, прийнятої практики або етичних норм, а також через можливість двозначного тлумачення встановлених законів або правил.

15.2. Банки наражаються на юридичний ризик через те, що мають відносини з великою кількістю зацікавлених сторін (клієнтами, контрагентами, посередниками тощо, органами нагляду, податковими та іншими уповноваженими органами).

15.3. Юридичний ризик може призвести до сплати штрафних санкцій та адміністративних стягнень, необхідності грошового відшкодування збитків, погіршення репутації та позицій банку на ринку, зменшення можливостей для розвитку і правового забезпечення виконання угод.

16.1. Система управління юридичним ризиком банку складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної форми корпоративного управління з урахуванням розміру банку та складності його операцій.

16.2. Система управління юридичним ризиком повинна включати таке:

політику і положення щодо контролю за юридичним ризиком, які мають бути розглянуті та затверджені відповідно до обраної банком форми корпоративного управління. Ці політика і положення повинні періодично переглядатися;

систему визначення й оцінки дотримання банком вимог усіх законів України, нормативно-правових актів Національного банку та інших державних органів;

методику оцінки легітимності та прийнятності відносин із клієнтами та контрагентами, у тому числі процедури оцінки легітимності контрактів і угод;

процес моніторингу змін у законодавстві України, які можуть вплинути на фінансовий стан банку або спричинити зміну параметрів його роботи;

процес моніторингу всіх судових справ, ініційованих банком або проти банку;

систему звітності для здійснення моніторингу рівня юридичного ризику для всіх видів діяльності банку.

16.3. Для підвищення ефективності управління юридичним ризиком рекомендується додатково проводити оцінку ймовірного ризику збитків, пов'язаних із судовими справами, а також тестування точності оцінок цього ризику.

17.1. Стратегічний ризик - це наявний або потенційний ризик для надходжень та капіталу, який виникає через неправильні управлінські рішення, неналежну реалізацію прийнятих рішень і неадекватне реагування на зміни в бізнес-середовищі. Цей ризик виникає внаслідок несумісності:

стратегічних цілей банку;

бізнес-стратегій, розроблених для досягнення цих цілей;

ресурсів, задіяних для досягнення цих цілей, та якості їх реалізації.

17.2. Ресурси, що потрібні для реалізації бізнес-стратегій, можуть бути як матеріальними, так і нематеріальними. До них належать канали взаємодії і обміну інформацією, операційні системи, мережі надання послуг та продуктів, управлінський потенціал та можливості. Внутрішні характеристики банку мають оцінюватися з точки зору впливу економічних, технологічних, конкурентних, наглядових та інших змін зовнішнього середовища.

18.1. Система управління стратегічним ризиком банку складається із регламентних документів - політик, положень, процедур, процесів тощо, які затверджуються відповідно до обраної ним форми корпоративного управління з урахуванням розміру банку та складності його операцій.

18.2. Система управління стратегічним ризиком повинна включати таке:

процес стратегічного планування, що враховує характер ризиків діяльності банку та потенційну дохідність від операцій, які наражають банк на ризик. Метою стратегічного планування є створення стратегічного плану, який оновлюється щорічно відповідно до змін ринкових умов і визначає потреби банку у фінансових, операційно-технологічних та кадрових ресурсах, а також юридичного супроводження і у разі потреби включає кількісні параметри ризику разом з іншими фінансовими параметрами;

оцінку нових стратегічних ініціатив порівняно з діючим стратегічним планом і наступний моніторинг виконання поставлених завдань або змін, які дають підстави для перегляду нової ініціативи або існуючого стратегічного плану.

18.3. Для підвищення ефективності управління стратегічним ризиком рекомендується додаткове розроблення аналітичного процесу (схожого на процес SWOT (визначення сильних та слабких сторін, загроз і можливостей)) для визначення економічних загроз для банку.

1.1. Управління ризиками в банківській групі - це сукупність методів, прийомів і заходів, за допомогою яких в банківській групі забезпечується виявлення (ідентифікація) ризиків, проводиться кількісна та якісна їх оцінка, здійснюється контроль та моніторинг ризиків, ураховуються взаємозв'язки між різними категоріями (видами) ризиків, а також прогнозується настання ризикових подій і вживаються заходи щодо упередження негативних наслідків.

1.2. Процес управління ризиками в банківській групі має охоплювати всі його структурні рівні - від органів управління в банківській групі до рівня, на якому безпосередньо приймається або генерується ризик.

1.3. Банківська група має контролювати та управляти на консолідованому рівні всіма ризиками, на які наражаються учасники банківської групи в процесі їх діяльності.

1.4. Формування системи ризик-менеджменту в банківській групі має ґрунтуватися на таких принципах:

безперервність процесу виявлення, вимірювання та контролю усіх видів ризиків банківської групи на усіх рівнях;

максимальна уніфікація процедур та методології ризик-менеджменту в учасниках банківської групи;

запровадження системи лімітів для обмеження концентрації кредитного ризику на одного контрагента, одного інсайдера, групу пов'язаних контрагентів банківської групи;

запровадження системи лімітів для обмеження ризику банківської групи, пов'язаного з участю учасників банківської групи в статутному капіталі юридичної особи, що не є фінансовою установою;

забезпечення оперативності збирання відповідної звітності учасників банківської групи з метою складання звітів про ризики банківської групи;

стимулювання учасників банківської групи до постійного вдосконалення системи ризик-менеджменту та зацікавленості в її практичному застосуванні.

1.5. Управління і контроль за ризиками мають бути ефективними, тобто всі ризики мають правильно визначатися, оцінюватися, контролюватися і відстежуватися в контексті чіткого і зрозумілого процесу управління і контролю за ризиками.

1.6. Управління і контроль за кожним ризиком мають здійснюватися за однаковим принципом і процедурою щодо всіх учасників банківської групи.

1.7. З метою забезпечення ефективного управління ризиками банківські групи мають розробити політику з управління ризиками в банківській групі.

1.8. Наглядова (спостережна) рада відповідальної особи банківської групи затверджує політику управління ризиками та процедури управління ними, здійснює контроль за ефективністю функціонування системи управління ризиками банківської групи.

Якщо у відповідальної особи немає наглядової (спостережної) ради, то ці функції покладаються на виконавчий орган відповідальної особи банківської групи.

1.9. Виконавчий орган відповідальної особи банківської групи реалізує політику управління ризиками, забезпечує впровадження процедур виявлення, вимірювання, контролю та моніторингу ризиків.

1.10. Ризики мають бути належним чином виявлені та кількісно і якісно оцінені як у розрізі учасників банківської групи, так і в цілому по банківській групі. Неповне, неправильне виявлення або невиявлення ризиків, неналежне їх вимірювання є однією з головних причин майбутніх проблем. Це означає, що:

виявлення ризиків не може обмежуватися основними ризиками або видами діяльності кожного з учасників банківської групи, а також ризиками, управління якими здійснюється на індивідуальному рівні щодо кожного з учасників банківської групи;

для кожної категорії ризику необхідно виявляти всі джерела такого ризику, а не тільки найбільш поширені та очевидні.

1.11. Перед початком здійснення діяльності, пов'язаної з реалізацією нового продукту чи наданням нової послуги, необхідно виявити ризики, на які наражається банківська група у зв'язку з такою діяльністю.

1.12. Банківська група повинна мати підрозділ з ризик-менеджменту банківської групи, який створюється відповідальною особою банківської групи.

Зазначений підрозділ має бути незалежним від бізнес-напрямів банківської групи та виконувати такі завдання, як виявлення, вимірювання, моніторинг та контроль за рівнем ризиків, що існують, удосконалення системи управління ризиками, надання рекомендацій щодо додержання певного рівня ризику.

Підрозділ з ризик-менеджменту банківської групи має бути достатньо забезпечений персоналом відповідної кваліфікації, ураховуючи основні типи ризиків і види діяльності банківської групи.

1.13. Відповідальній особі банківської групи рекомендується розробити внутрішні нормативні документи щодо ризик-менеджменту в банківській групі та забезпечити їх доведення до відома всіх учасників банківської групи. Процедури контролю мають бути ефективними та відповідати стратегії, політикам та внутрішній організації банківської групи, визначаючи деталі, які мають бути реалізовані. Процедури контролю банківської групи мають складатися в письмовій формі, бути детальними, з чітким розподілом обов'язків між підрозділами учасників банківської групи.

2.1. Національний банк рекомендує банківській групі дотримуватися та враховувати в своїй роботі загальні рекомендації щодо управління різними категоріями ризиків, які визначені в розділі IV цих Методичних рекомендацій.

2.2. З метою забезпечення виконання вимог щодо достатності регулятивного капіталу банківської групи та вжиття відповідних заходів щодо попередження непередбаченого значного зменшення регулятивного капіталу внаслідок майбутніх змін у діяльності, зовнішніх факторів відповідальна особа банківської групи повинна визначати і впроваджувати принципи забезпечення достатності регулятивного капіталу банківської групи, її підгруп, учасників банківських груп, які включають, зокрема, прогнозні показники достатності регулятивного капіталу та відповідають вимогам банківського законодавства та нормативно-правових актів Національного банку.

2.3. Відповідальна особа банківської групи повинна оцінювати не рідше одного разу на рік:

потенційні потреби в регулятивному капіталі, виходячи зі стратегії розвитку діяльності банківської групи;

потенційні джерела для забезпечення достатності регулятивного капіталу.

2.4. Моніторинг дотримання принципів достатності регулятивного капіталу відповідальна особа банківської групи має здійснювати один раз на квартал, приділяючи особливу увагу істотним відхиленням фактичних результатів від прогнозних.

2.5. Для забезпечення адекватного рівня ліквідності банківської групи відповідальна особа має забезпечити ефективне управління ліквідністю банківської групи, підтримуючи її на достатньому рівні, необхідному для здійснення діяльності такою групою без істотних обмежень грошових потоків, своєчасного виконання усіх прийнятих на себе зобов'язань з урахуванням їх обсягів, строковості й валюти платежів шляхом забезпечення оптимального співвідношення активів і пасивів за строками і сумами.

2.6. Відповідальна особа банківської групи має здійснювати аналіз невідповідності між строками і сумами погашення активів та строками і сумами виконання зобов'язань з урахуванням позабалансових зобов'язань кредитно-інвестиційної підгрупи банківської групи або учасників банківської групи (крім страхових компаній), якщо кредитно-інвестиційної підгрупи немає.

2.7. Відповідальна особа банківської групи має здійснювати аналіз невідповідності між активами і пасивами за строками до погашення в розрізі валют. До розрахунку мають включатися активи та пасиви в кожній істотній валюті. Валюта вважається істотною, якщо загальна сума активів або пасивів у такій валюті становить 5% або більше від загальної суми активів або пасивів банківської групи.

2.8. Відповідальна особа банківської групи має забезпечити диверсифікованість джерел залучення коштів банківської групи та не допускати концентрації джерел залучення коштів від обмеженої кількості контрагентів.

2.9. Концентрація фінансування за одним контрагентом вважається істотною, якщо залучені банківською групою кошти від одного контрагента становлять понад 5% від загальної суми зобов'язань банківської групи.

2.10. У разі збільшення концентрації фінансування за контрагентами відповідальна особа банківської групи має здійснити заходи з диверсифікації джерел залучення коштів.

2.11. Відповідальна особа банківської групи має розробити план подолання кризи ліквідності на випадок виникнення непередбачених обставин.

2.12. План подолання кризи ліквідності в разі виникнення непередбачених обставин має містити процедури, політики та плани заходів для відновлення ліквідності банківської групи, у тому числі:

розподіл повноважень, визначення відповідальності між учасниками банківської групи під час реалізації плану подолання кризи ліквідності;

процедури забезпечення вчасності та безперервності інформаційних потоків і надання керівництву учасників банківської групи точної інформації для термінового прийняття потрібних рішень;

заходи зі збереження клієнтських відносин з позичальниками та кредиторами;

заходи, яких слід ужити для збільшення ліквідності балансових активів;

заходи, яких має ужити контролер банківської групи, акціонери учасників банківської групи, для підвищення ліквідності (збільшення статутного капіталу групи, надання субординованих позик);

заходи для забезпечення отримання кредитів від установ, які не є учасниками цієї групи;

спеціальну програму повернення позик;

заходи для скорочення видатків у сфері капітальних інвестицій, управлінських видатків;

плани фінансування, у яких зазначатимуться потенційні джерела фінансування (альтернативні або додаткові), конкретні суми коштів, які можуть бути отримані з цих джерел.

2.13. Під час розроблення плану подолання кризи ліквідності в разі виникнення непередбачених обставин відповідальна особа банківської групи повинна дотримуватися принципів Базельського комітету з питань ефективного управління ліквідністю.

2.14. Відповідальна особа банківської групи повинна визначити і впровадити принципи концентрації кредитного ризику на одного контрагента, групу взаємопов'язаних контрагентів за галузями або секторами економіки, за географічними регіонами, за видами фінансових інструментів.

2.15. Моніторинг упровадження принципів концентрації кредитного ризику відповідальна особа банківської групи повинна здійснювати один раз на півроку, приділяючи особливу увагу істотним відхиленням фактичних результатів від прогнозних.