Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах

6) затверджує значення лімітів щодо кожного виду ризиків згідно з визначеним радою банку переліком лімітів (обмежень).

Правління банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 36 глави 6 розділу I цього Положення, які не суперечать вимогам цього Положення.

37. Підрозділ з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції з управління ризиками:

1) забезпечує своєчасне виявлення, вимірювання, моніторинг, контроль, пом'якшення та звітування щодо суттєвих ризиків;

2) здійснює моніторинг рівня та обсягів НПА в цілому, у розрізі портфелів, у взаємозв'язку з достатністю капіталу;

3) забезпечує моніторинг та попередження порушень показників ризик-апетиту та лімітів ризику, контролює наближення показників ризиків до ризик-апетиту та лімітів ризику та ініціює вжиття заходів для попередження їх порушень;

4) готує та надає звіти щодо ризиків раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку - не рідше одного разу на місяць, а в разі виявлення ситуацій, що потребують невідкладного інформування ради банку, - не пізніше наступного робочого дня;

5) здійснює постійний аналіз ризиків, на які наражається банк під час своєї діяльності, з метою підготовки пропозицій з прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків;

6) розробляє та підтримує в актуальному стані методики, інструменти та моделі, що використовуються банком для аналізу впливу різних факторів ризиків на фінансовий стан, капітал та ліквідність банку;

7) впливає на прийняття рішень, що наражають банк на значні ризики, та за потреби вживає всіх можливих заходів щодо належного інформування ради банку, комітету з управління ризиками, правління банку з метою запобігання прийняттю таких рішень;

8) здійснює стрес-тестування;

9) обчислює профіль ризику банку;

10) готує висновки щодо ризиків, які притаманні новим продуктам та значним змінам у діяльності банку, до моменту їх впровадження для прийняття управлінських рішень;

11) готує висновки щодо ризиків, які притаманні як новим кредитам, так і змінам за діючими кредитами, для прийняття управлінських рішень щодо надання нових кредитів чи внесення змін до діючих кредитних договорів;

12) забезпечує координацію роботи з питань управління ризиками між структурними підрозділами банку;

13) надає пропозиції раді банку та правлінню банку щодо пом'якшення впливу ризиків (у розрізі кожного виду) на фінансовий стан, капітал та ліквідність банку шляхом ініціювання встановлення та/або перегляду лімітів на окремі види банківських операцій та послуг. Підрозділ з управління ризиками має право надавати інші пропозиції щодо пом'якшення впливу;

14) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Підрозділ з управління ризиками має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 37 глави 7 розділу I цього Положення, та які не суперечать вимогам цього Положення.

38. Керівник підрозділу з управління ризиками (CRO) несе відповідальність за діяльність цього підрозділу, має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, та накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення встановленого ризик-апетиту та/або затверджених лімітів ризику, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку або комітет з управління ризиками про такі рішення.

39. Керівник підрозділу з управління ризиками повинен мати освіту, яка забезпечить належне виконання його посадових обов'язків, досвід роботи не менше п'яти років в банківській системі в сфері управління ризиками.

40. Підрозділ контролю за дотриманням норм (комплаєнс) з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції контролю за дотриманням норм (комплаєнс):

1) забезпечує організацію контролю за дотриманням банком норм законодавства, внутрішньобанківських документів та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

2) забезпечує моніторинг змін у законодавстві та відповідних стандартах професійних об'єднань, дія яких поширюється на банк, та здійснює оцінку впливу таких змін на процеси та процедури, запроваджені в банку, а також забезпечує контроль за імплементацією відповідних змін у внутрішньобанківські документи;

3) забезпечує контроль за взаємовідносинами банку з клієнтами та контрагентами з метою запобіганню участі та/або використанню банку в незаконних операціях;

4) забезпечує управління ризиками, пов'язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури банку, прозорість реалізації процесів банку та в разі виявлення будь-яких фактів, що свідчать про наявність конфлікту інтересів у банку, інформує раду банку та/або уповноважений колегіальний орган ради банку;

5) забезпечує організацію контролю за дотриманням банком норм щодо своєчасності та достовірності фінансової та статистичної звітності;

6) забезпечує організацію контролю за захистом персональних даних відповідно до законодавства України;

7) надає роз'яснення керівникам банку на їх запит з питань дотримання банком законодавства та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

8) забезпечує проведення навчання та обізнаність працівників банку щодо дотримання норм законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, культури управління ризиками, ураховуючи кодекс поведінки (етики);

9) забезпечує координацію роботи з питань управління комплаєнс-ризиком між структурними підрозділами банку;

10) забезпечує функціонування системи управління ризиками шляхом здійснення своєчасного виявлення, вимірювання, моніторингу, контролю, звітування і надання рекомендацій щодо пом'якшення комплаєнс-ризику;

11) забезпечує організацію контролю за відповідністю процесів щодо управління НПА законодавству України та внутрішньобанківським документам;

12) уживає всіх можливих заходів з метою запобігання прийняттю рішень, що наражають банк на значний комплаєнс-ризик, і здійснює належне інформування керівників банку;

13) повідомляє Національний банк про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та конфлікти інтересів, що виникли в банку, якщо радою банку не були застосовані заходи щодо їх усунення. Інформація про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та про конфлікти інтересів, що виникли в банку, надається керівником підрозділу контролю за дотриманням норм (комплаєнс) структурному підрозділу Національного банку, що здійснює нагляд за банками;

14) готує висновки щодо комплаєнс-ризику, який притаманний новим продуктам та значним змінам у діяльності банку, до моменту їх упровадження для прийняття своєчасних та адекватних управлінських рішень;

15) готує висновки стосовно комплаєнс-ризику для ухвалення кредитних рішень щодо кредитів пов'язаним із банком особам;

16) здійснює контроль за відповідністю системи компенсацій та відшкодування, що запроваджена в банку, а також процедур притягнення до дисциплінарної відповідальності працівників банку, вимогам законодавства України;

17) готує та надає звіти щодо комплаєнс-ризику раді банку, комітету з управління ризиками не рідше одного разу на квартал, правлінню банку - не рідше одного разу на місяць, а в разі виявлення ситуацій, що потребують невідкладного інформування ради банку, - не пізніше наступного робочого дня;

18) обчислює профіль комплаєнс-ризику;

19) бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення та контролює їх дотримання;

20) бере участь у дослідженні подій внутрішнього та зовнішнього шахрайства.

Підрозділ контролю за дотриманням норм (комплаєнс) має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 40 глави 8 розділу I цього Положення, та які не суперечать вимогам цього Положення.

41. Керівник підрозділу контролю за дотриманням норм (комплаєнс), (ССО), несе відповідальність за діяльність цього підрозділу, має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, і накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення вимог законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, конфлікту інтересів, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку та/або комітет з управління ризиками про такі рішення.

42. Керівник підрозділу контролю за дотриманням норм (комплаєнс) повинен мати повну вищу освіту в галузі економіки, менеджменту (управління) або права, досвід роботи не менше трьох років в банківській системі в сфері контролю за дотриманням норм (комплаєнс) або управління ризиками (у тому числі з питань фінансового моніторингу), внутрішнього аудиту, юридичного супроводження діяльності банку.

43. Банк має право покладати на керівника підрозділу контролю за дотриманням норм (комплаєнс) функції відповідального працівника банку за проведення фінансового моніторингу за дотримання вимог пункту 32 глави 4 розділу I цього Положення.

44. Банк визначає процедуру взаємодії між підрозділом контролю за дотриманням норм (комплаєнс) і підрозділом з управління ризиками, а також між іншими підрозділами банку в частині управління операційним ризиком.

45. Банк створює та веде базу подій комплаєнс-ризику, здійснює аналіз накопиченої в ній інформації. Банк забезпечує в базі подій операційного ризику реєстрацію всіх подій комплаєнс-ризику, які підпадають під визначені банком критерії звітування щодо операційних подій, якщо банк веде базу подій комплаєнс-ризику окремо від бази подій операційного ризику.

46. Рада банку, комітет з управління ризиками та правління банку з метою дотримання як керівниками банку, так і іншими працівниками банку культури управління ризиками створюють необхідну атмосферу (tone at the top) шляхом:

1) визначення та дотримання корпоративних цінностей, а також здійснення нагляду за дотриманням таких цінностей;

2) забезпечення розуміння як керівниками банку, так і іншими працівниками банку їх ролі під час управління ризиками з метою досягнення цілей діяльності банку, а також відповідальності за порушення встановленого рівня ризик-апетиту;

3) просування обізнаності щодо ризиків шляхом забезпечення систематичного інформування всіх підрозділів банку про стратегію, політику, процедури з управління ризиками та заохочення до вільного обміну інформацією і критичної оцінки прийняття ризиків банком;

4) отримання підтверджень, що керівники та інші працівники банку, проінформовані про дисциплінарні санкції або інші дії, які застосовуватимуться до них у разі неприйнятної поведінки/порушення в діяльності банку.

47. Комітет з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) з метою дотримання керівниками банку та іншими працівниками банку корпоративних цінностей розробляють та здійснюють контроль за дотриманням:

1) кодексу поведінки (етики);

2) політики запобігання конфліктам інтересів;

3) механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку, який передбачає забезпечення захисту заявників (whistleblowing policy mechanism);

4) порядку дослідження випадків неприйнятної поведінки в банку/порушень у діяльності банку.

48. Кодекс поведінки (етики) має чітко визначати:

1) загальнообов'язкові норми поведінки для керівників та інших працівників банку, а також відповідальність за порушення цих норм;

2) норми щодо заборони здійснення незаконної діяльності:

подання недостовірної фінансової та статистичної звітності;

посадовий злочин, економічний злочин (шахрайство);

порушення санкцій;

легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення;

неконкурентна практика;

3) політику щодо дотримання культури управління ризиками;

4) норми щодо запобігання порушенню прав споживачів;

5) порядок дій керівників та інших працівників банку для запобігання завданню шкоди майну банку;

6) норми щодо заборони використання службового становища керівниками банку та іншими працівниками банку з метою отримання несправедливих персональних переваг або надання таких переваг третім особам;

7) норми щодо запобігання корупційним діям та хабарництву;

8) гарантії рівності відносин між банком та його клієнтами, працівниками, постачальниками та конкурентами;

9) обмеження щодо дарування та отримання подарунків;

10) принципи оброблення, зберігання та розповсюдження конфіденційної та інсайдерської інформації.

Кодекс поведінки може визначати інші норми, політику чи обмеження додатково до встановлених у пункті 48 глави 9 розділу I цього Положення.

49. Процедура запобігання корупційним діям та хабарництву має забезпечувати:

1) механізм контролю за дотриманням керівниками банку та іншими працівниками банку вимог законодавства з питань запобігання та протидії корупції під час виконання ними функціональних обов'язків;

2) механізм запобігання зловживанням з боку керівників банку та інших працівників банку під час взаємодії з органами державної влади, контролюючими органами та їх посадовими особами, посадовими особами клієнтів та контрагентів;

3) процедури контролю за здійсненням представницьких витрат та наданням/одержанням подарунків керівниками та іншими працівниками банку під час виконання ними посадових обов'язків.

50. Політика запобігання конфліктам інтересів має містити:

1) обов'язки членів ради банку щодо запобігання діяльності, що може спричиняти конфлікти інтересів або можливість виникнення конфліктів інтересів;

2) характерні для банку приклади конфліктів інтересів у членів колегіальних органів банку, ураховуючи членів ради банку, під час виконання ними своїх обов'язків (карта конфліктів інтересів);

3) обов'язки членів колегіальних органів банку та всіх працівників банку оперативно повідомляти про обставини, що можуть спричинити або вже спричинили конфлікт інтересів;

4) обов'язки членів колегіальних органів банку щодо утримання від голосування з будь-якого питання, яке може спричинити конфлікт інтересів або зашкодити об'єктивному ставленню чи належному виконанню таким членом обов'язків перед банком;

5) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту.

Політика запобігання конфліктам інтересів може містити інші обов'язки, процедури додатково до встановлених у пункті 50 глави 9 розділу I цього Положення.

51. Політика запобігання конфліктам інтересів має забезпечувати контроль за своєчасним виявленням, запобіганням та врегулюванням конфлікту інтересів, пов'язаного з:

1) вчиненням дій або прийняттям рішень керівниками банку, членами колегіальних органів та іншими працівниками банку на користь пов'язаних з ними осіб;

2) використанням інсайдерської інформації керівниками банку та іншими працівниками банку;

3) діловою та публічною діяльністю керівників банку та інших працівників банку за межами банку;

4) сторонньою господарською діяльністю керівників банку та інших працівників банку;

5) прямим підпорядкуванням близьких осіб;

6) неправомірним прийняттям подарунків чи даруванням подарунків керівниками банку та іншими працівниками банку.

52. Контроль за своєчасним виявленням, урегулюванням та запобіганням конфліктам інтересів має передбачати:

1) визначення поняття, терміну конфлікту інтересів та основних форм прояву такого конфлікту під час виконання посадових обов'язків керівниками банку та іншими працівниками банку;

2) функціонування процесу попередження конфліктів інтересів, ураховуючи застосування інформаційних бар'єрів для захисту інформації, отриманої керівниками банку та іншими працівниками банку під час виконання посадових обов'язків від неналежного використання в межах або поза межами банку;

3) наявність механізму моніторингу потенційного або реального конфлікту інтересів у керівників банку та інших працівників банку;

4) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту;

5) відповідальність за невиконання вимог інформування щодо потенційного або реального конфлікту інтересів керівниками та іншими працівниками банку.

53. Корпоративні цінності банку мають визначати критичну важливість вчасного, відвертого обговорення неприйнятної поведінки або інших порушень у банку та їх ескалації шляхом:

1) інформування всіх працівників банку про механізм, відповідно до якого вони можуть конфіденційно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

2) заохочення та надання можливості повідомляти раду банку конфіденційно та без ризику покарання про обґрунтовані занепокоєння щодо неприйнятної поведінки в банку/порушення в діяльності банку;

3) здійснення контролю за дотриманням механізму, відповідно до якого працівники банку можуть конфіденційно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

4) здійснення нагляду за дотриманням порядку дослідження неприйнятної поведінки в банку/порушень у діяльності банку.

Порядок дослідження неприйнятної поведінки в банку/порушень у діяльності банку має визначати повноваження структурних підрозділів банку щодо дослідження того чи іншого виду неприйнятної поведінки в банку/порушень у діяльності банку.

54. Банк має право передати на аутсорсинг функцію отримання повідомлень від працівників з метою дотримання конфіденційності повідомлень про неприйнятну поведінку в банку/порушення в діяльності банку.

55. Банк проводить регулярне (не рідше одного разу на рік для діючих працівників та під час прийняття на роботу нових працівників) навчання працівників банку з питань культури управління ризиками та дотримання кодексу поведінки (етики).

56. Банк розробляє внутрішньобанківські/внутрішньогрупові документи з питань управління ризиками, мінімальний перелік яких визначений у додатку 2 до цього Положення, з урахуванням вимог цього Положення, а також вимог законодавства України, документів Базельського комітету з банківського нагляду та міжнародних документів, які регламентують принципи корпоративного управління та управління ризиками в банках.

57. Банк розробляє за кожним видом ризику внутрішньобанківські документи у формі положень, порядків, процедур або іншій формі, які документально закріплюють процес управління ризиками, регламентують інші питання з управління кожним з видів ризиків та враховують вимоги цього Положення.

58. Банк має право об'єднувати окремі внутрішньобанківські документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.

59. Внутрішньобанківські документи з питань управління ризиками мають відповідати стратегії та бізнес-плану банку, декларації схильності до ризиків, бути оформленими, затвердженими, послідовними та мати достатній рівень деталізації.

60. Банк своєчасно переглядає та оновлює (актуалізує) внутрішньобанківські документи з питань управління ризиками з урахуванням змін у законодавстві, відповідних стандартах професійних об'єднань, дія яких поширюється на банк.

61. Внутрішньобанківські документи з питань управління ризиками мають визначати порядок взаємодії між усіма організаційними рівнями банку, включаючи рівень керівників банку.

62. Неподання для ознайомлення уповноваженим працівникам Національного банку на їх вимогу під час здійснення банківського нагляду внутрішньобанківських документів щодо побудови та функціонування системи управління ризиками, а також те, що в банку немає таких документів, є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку заходів впливу в порядку, установленому Положенням № 346.

63. Декларація схильності до ризиків повинна обов'язково визначати:

1) сукупний рівень та види ризиків, які банк має намір приймати та утримувати для досягнення бізнес-цілей. Загальний рівень ризик-апетиту має відповідати бізнес-моделі банку;

2) максимальний рівень допустимого для банку ризику, виходячи із розміру наявних ресурсів (капіталу та потреб у ліквідності) та з урахуванням необхідності дотримання вимог Національного банку, зобов'язань перед інвесторами, вкладниками, кредиторами та акціонерами;

3) кількісні та якісні показники, які враховують такі аспекти, як достатність капіталу, ліквідність, операційна прибутковість та вартість ризику. Банк має встановити показники ризик-апетиту щодо забезпечення банком дотримання встановлених нормативів достатності регулятивного капіталу та ліквідності;

4) рівень ризик-апетиту до кожного з видів ризику індивідуальний рівень, який має стати основою для встановлення лімітів щодо кожного з видів ризику, а також мінімальний перелік кількісних та якісних показників ризик-апетиту щодо кожного з видів ризику;

5) розрахунок визначення величини ризик-апетиту та перелік припущень, що були використані банком під час такого розрахунку;

6) види ризиків, яких банк має уникати;

7) внутрішні та зовнішні чинники та обмеження, що впливають на прийняття банком ризиків.

Зміст декларації схильності до ризиків має доводитися до відома працівників банку, які приймають ризики та несуть відповідальність за них. Декларація схильності до ризиків повинна бути легкою для її розуміння та моніторингу дотримання.

64. Ризик-апетит до кожного з видів ризику є комбінацією кількісних показників, перелік яких залежить від виду ризику та таких загальних якісних вимог:

1) повноти внутрішньобанківських документів з управління ризиками, які відповідають бізнес-моделі банку;

2) наявності опису процесів банку, що визначають ключові точки, в яких банк може наражатися на суттєві ризики;

3) достатнього рівня кваліфікації персоналу банку, що забезпечують виконання процесів з управління ризиками;

4) достатності та належного функціонування інформаційних систем банку щодо управління ризиками, необхідних для підтримки процесів;

5) наявності в інформаційних системах щодо управління ризиками банку повних та якісних даних, що забезпечують належну оцінку величини ризиків;

6) наявності контролю за дотриманням норм (комплаєнс), кодексу поведінки (етики), запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

65. Рада банку під час визначення стратегії та складання бізнес-плану банку враховує величину ризик-апетиту, зазначену в декларації схильності до ризиків. Рада банку також ураховує визначений рівень ризик-апетиту в разі прийняття рішення щодо збільшення обсягів активів у результаті розширення діючих видів діяльності, запровадження нових продуктів та значних змін у діяльності банку.

66. Стратегія та політика управління ризиками повинні обов'язково містити:

1) основні цілі управління ризиками;

2) перелік суттєвих видів ризиків, що притаманні діяльності банку;

3) принципи та порядок організації процесу управління ризиками;

4) порядок і терміни надання раді, комітету з управління ризиками та правлінню банку управлінської звітності про ризики.

67. Стратегія НПА є складовою частиною стратегії банку та має бути інтегрована в бізнес-план, бюджет, операційні та управлінські процеси банку.

68. Банк у стратегії НПА визначає стратегічні цілі та практичні заходи щодо їх реалізації, що забезпечують ефективне управління НПА та зменшення їх обсягу протягом визначеного часового інтервалу.

69. Банк розробляє стратегію НПА, ґрунтуючись на повному/всебічному аналізі операційного середовища, в якому він працює. Такий аналіз повинен обов'язково включати оцінку:

1) достатності внутрішніх операційних можливостей банку, включаючи наявні та необхідні операційні ресурси щодо ефективного управління НПА (процесів та інструментів управління НПА, рівня автоматизації, достатності та кваліфікації персоналу) з метою максимізації відновлення обслуговування боржниками активів та скорочення обсягів НПА;

2) зовнішніх факторів: поточних і прогнозних макроекономічних показників у розрізі секторів економіки та їх впливу на різні сегменти портфеля кредитів банку; прогнозних очікувань зовнішнього експертного середовища (Національного банку, рейтингових агенцій, інвесторів) щодо прийнятного рівня та обсягів НПА; рівня та обсягів НПА у банківському секторі в цілому та банках зі співставними обсягами та характером діяльності; можливості продажу НПА та заставного майна з урахуванням поточних та перспективних ринкових умов; впливу податкового регулювання, судової практики та практики виконавчого провадження на процес урегулювання НПА;

3) впливу реалізації стратегії НПА на достатність регулятивного та внутрішнього капіталу банку в прогнозних періодах із застосуванням стрес-сценаріїв.

70. Банк у стратегії НПА визначає цілі щодо ефективного управління НПА шляхом установлення якісних та кількісних показників з метою скорочення НПА у короткостроковому (до одного року), середньостроковому (до трьох років) та довгостроковому (більше трьох років) періодах часу в цілому і в розрізі портфелів. Банк визначає прогнозовані обсяги скорочень НПА в абсолютному і в процентному виразі (валові і за вирахуванням резервів; у цілому і в розрізі портфелів), заходи щодо скорочення обсягів заставного майна, що переходить у власність банку за результатами звернення стягнення на таке майно, включаючи його прогнозований продаж.

71. Стратегія НПА має доповнюватися оперативним планом, в якому має визначатися, яким чином банк упроваджуватиме цю стратегію в середньостроковому періоді в розрізі років.

Оперативний план повинен обов'язково містити:

1) прогнозовані обсяги скорочень НПА у встановлених часових періодах;

2) заходи, які банк здійснюватиме за відповідним портфелем НПА;

3) перелік ключових показників ефективності (КРІ) роботи з НПА в розрізі сегментів портфеля НПА та відповідальних підрозділів банку;

4) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо НПА, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками;

5) зміни в організаційній структурі та/або реорганізація внутрішніх процесів банку в разі потреби для поліпшення роботи з НПА;

6) фінансування процесу управління НПА: витрати на інформаційно-технологічну модернізацію та/або підтримку, залучення зовнішніх компаній для врегулювання/роботи з НПА, оплату праці та мотиваційні програми для персоналу, залученого до процесу врегулювання НПА;

7) процеси взаємодії з внутрішніми і зовнішніми зацікавленими сторонами (відносно продажу НПА, їх обслуговування, інших процедур).

72. Банк розробляє стратегію НПА та оперативний план відповідно до вимог, установлених цим Положенням.

73. Банк у стратегії НПА визначає стратегічні цілі щодо реалістичного та водночас амбітного скорочення обсягів НПА у короткостроковому (до одного року), середньостроковому (до трьох років) та довгостроковому (більше трьох років) періодах часу в цілому та в розрізі основних портфелів НПА.

74. Банк відповідно до вимог законодавства України розробляє план відновлення діяльності з метою запровадження заходів, що вживатимуться банком для відновлення свого фінансового стану в разі його значного погіршення.

75. Банк розробляє внутрішньобанківський документ щодо програми навчання та підвищення кваліфікації працівників банку з питань управління ризиками, який включає такі напрями:

1) вимоги законодавства України, нормативно-правових актів Національного банку, документів Базельського комітету з банківського нагляду з питань управління ризиками;

2) вимоги внутрішньобанківських документів з питань управління ризиками;

3) практичні заняття щодо реалізації внутрішньобанківських документів з питань управління ризиками;

4) виконання планів відновлення діяльності, забезпечення безперервної діяльності та фінансування в кризових ситуаціях;

5) вивчення сучасного досвіду, включаючи міжнародний, щодо управління ризиками;

6) порядок організації процесу управління ризиками та підходи до управління окремими видами ризиків.

76. Банк забезпечує належну оцінку ризиків за новими продуктами та значними змінами в діяльності банку до початку їх упровадження.

77. Новими продуктами є:

1) новий вид діяльності або новий вид фінансових послуг, визначених статтею 47 Закону України "Про банки і банківську діяльність" та статтею 4 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг" ;

2) вихід на новий ринок з наявними видами діяльності або видами фінансових послуг;

3) унесення змін до наявних видів діяльності або видів фінансових послуг, що вимагають змін IT-ресурсів та/або процедур, внутрішньобанківських документів, порядку взаємодії працівників (підрозділів) банку, необхідних для їх реалізації та супроводження;

4) унесення істотних змін до умов надання послуг, включаючи цінові.

78. Значними змінами в діяльності банку є:

1) набуття у власність активів та/або зобов'язань інших учасників ринку у значному обсязі;

2) продаж/передавання активів у значному обсязі;

3) створення філії, відділення, представництва, дочірньої компанії, іншої юридичної особи або внесення істотних змін до організаційної структури банку;

4) реорганізація банку;

5) інші зміни в діяльності банку, які вимагають використання/залучення ресурсів у значних обсягах або пов'язані з ризиками, обсяги яких важко оцінити.

79. Значним обсягом операції з набуття у власність активів та/або зобов'язань, продажу/передавання активів, використання/залучення ресурсів, є операція, в якій ринкова вартість активів/зобов'язань/ресурсів перевищує 10 відсотків балансової вартості активів банку за даними останньої річної фінансової звітності. Банк має право встановити інший розмір перевищення ринкової вартості активів/зобов'язань/ресурсів над балансовою вартістю активів банку під час визначення обсягу як значного, але не вищий ніж 10 відсотків.

80. Банк має право створювати комітет з питань нових продуктів та значних змін у діяльності банку (комітет правління банку), що є складовою організаційної структури системи управління ризиками і забезпечує виконання визначених радою банку функцій та повноважень щодо впровадження нових продуктів та значних змін у діяльності банку. Серед повноважень, покладених на цей комітет, може бути ухвалення рішень щодо запровадження нових продуктів та значних змін у діяльності банку.

81. Рада банку затверджує політику запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містить:

1) підхід до визначення істотності змін щодо умов надання послуг;

2) підхід до визначення істотності змін щодо організаційної структури банку;

3) підхід до визначення значних обсягів набуття у власність активів та/або зобов'язань інших учасників ринку та продажу/передавання активів, використання/залучення ресурсів;

4) підхід до визначення операцій, пов'язаних із ризиками, обсяги яких важко оцінити;

5) вимоги до процедури запровадження нових продуктів та значних змін у діяльності банку, включаючи визначення органу, який уповноважений ухвалювати такі рішення;

6) перелік обов'язкових підрозділів банку та/або відповідальних осіб, які мають залучатися до процесу підготовки документів для ухвалення рішення щодо нових продуктів і значних змін у діяльності банку;

7) вимоги щодо моніторингу ризиків, пов'язаних з упровадженням нових продуктів і значних змін у діяльності банку.

82. Банк розробляє процедури запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містять:

1) процедури ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

2) перелік документів, на підставі яких ухвалюється рішення;

3) порядок взаємодії підрозділів банку та опис процесів з підготовки документів для ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

4) процедури моніторингу впровадження нових продуктів та значних змін у діяльності банку.

83. Політика та процедури банку щодо запровадження нових продуктів і значних змін у діяльності банку також мають передбачати ухвалення радою банку або комітетом ради банку рішень щодо кожної значної зміни в діяльності банку до початку її запровадження.

84. Документи банку для ухвалення рішення щодо нового продукту або значної зміни в діяльності банку повинні обов'язково містити:

1) опис нового продукту/значної зміни в діяльності банку, аналіз їх відповідності стратегії банку, цільових клієнтів, які мають ним користуватися, а також основних цілей запровадження такого продукту/зміни в діяльності банку та результати маркетингового дослідження;

2) висновки підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) у межах їх функціональних обов'язків, які повинні обов'язково включати:

оцінку ризиків нового продукту/значної зміни в діяльності банку щодо того, чи перебуває новий продукт/значна зміна в діяльності банку в межах затвердженого банком ризик-апетиту та чи їх запровадження не призведе до порушень банком вимог законодавства, ринкових стандартів, правил добросовісної конкуренції;

рекомендації щодо методів управління виявленими ризиками (прийняття, передавання, пом'якшення чи уникнення ризиків);

розрахунок та пропозиції щодо величини лімітів ризиків, пов'язаних із новим продуктом/значною зміною в діяльності банку;

оцінку зміни профілю ризику банку, що може стати наслідком запровадження нового продукту/значної зміни в діяльності банку;

3) висновки інших підрозділів банку, на які покладені банком функції щодо визначення економічної доцільності та можливості запровадження і належної підтримки нового продукту/значної зміни в діяльності банку;

4) підходи до ціноутворення/установлення тарифів на новий продукт/значну зміну в діяльності банку;

5) аналіз прогнозованих доходів і втрат від запровадження нового продукту/значної зміни в діяльності банку;

6) типовий договір щодо нового продукту/значної зміни в діяльності банку та їх бухгалтерську модель обліку.

85. Ухвалення рішення щодо запровадження нового продукту/значної зміни в діяльності банку має ґрунтуватися на висновках підрозділів банку та виключати вплив акціонерів, керівників банку або третіх осіб, які не відповідають інтересам банку.

86. Банк проводить розроблення, налаштування та тестування готовності інформаційних систем щодо управління ризиками, а також навчання персоналу банку до початку впровадження нового продукту/значної зміни в діяльності банку та за потреби змінює строки впровадження до моменту забезпечення готовності.

87. Банк установлює ліміти (обмеження) для суттєвих ризиків, що піддаються кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкових ризиків;

5) інших суттєвих видів ризиків, на які може наражатися банк у своїй діяльності.

Банк також установлює ліміти для управління різними джерелами концентрації ризиків.

88. Банк установлює значення лімітів ризиків як у відсотках до регулятивного капіталу банку, так і до загального розміру активів, загальної суми зобов'язань. Банк має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків в абсолютних значеннях та/або у відсотках до інших показників банку.

89. Банк залежно від характеру діяльності та його бізнес-моделі має право встановлювати окремі значення лімітів для учасників банківської групи, бізнес-ліній, портфелів, типів інструментів або окремих інструментів.

90. Банк у своїй політиці щодо управління ризиками визначає порядок установлення значень лімітів ризиків та контролю за їх дотриманням.

91. Банк переглядає значення лімітів ризиків у разі змін ринкових умов або стратегії банку, але не рідше ніж раз на рік. Перегляд здійснюється на підставі пропозицій бізнес-підрозділів банку та підрозділу з управління ризиками.

92. Банк розробляє процедуру ескалації порушень лімітів ризиків: форму та порядок інформування про порушення цих лімітів ради банку, комітету з управління ризиками, правління банку та його комітетів.

93. Підрозділ з управління ризиками здійснює контроль за дотриманням лімітів ризиків і не пізніше наступного робочого дня після виявлення порушення ліміту ризику інформує раду банку, комітет з управління ризиками, правління банку та його комітети щодо такого порушення. Підрозділ з управління ризиками у строки та в порядку, визначених процедурою банку щодо ескалації порушень лімітів ризиків, надає раді банку, комітету з управління ризиками, правлінню банку та його комітетам інформацію про причини порушення лімітів та пропозиції щодо заходів для усунення порушення лімітів.

94. Рада банку має право делегувати колегіальним органам банку повноваження щодо погодження на здійснення операцій банку, що призводять до перевищення лімітів ризиків (авторизованих перевищень). У такому разі рада банку затверджує процедуру контролю за використанням цих повноважень. Така процедура повинна обов'язково містити:

1) види ризиків, щодо яких дозволяються авторизовані перевищення;

2) максимальний обсяг авторизованого перевищення;

3) вимоги до документування рішення щодо авторизованого перевищення;

4) порядок інформування ради банку щодо авторизованих перевищень.

95. Банк накопичує інформацію щодо авторизованих перевищень та порушень лімітів ризиків.

96. Рада банку проводить позачерговий перегляд значень лімітів, якщо авторизовані перевищення або порушення лімітів ризиків є частими або постійними. Результатом такого перегляду можуть бути:

1) перегляд значень діючих лімітів;

2) перегляд делегованих повноважень щодо авторизованих перевищень;

3) залишення значень лімітів без змін та затвердження плану заходів щодо запобігання їх подальшому перевищенню/порушенню.

97. Банк створює надійну інформаційну систему щодо управління ризиками та звітування, яка забезпечує агрегування даних щодо ризиків банку, оперативне та достовірне вимірювання ризиків як на рівні окремого банку, так і на рівні банківської групи як в звичайних, так і в стресових ситуаціях.

98. Банк розробляє процедури обробки даних щодо ризиків, політику конфіденційності та збереження такої інформації, а також доступу до неї.

99. Банк визначає процедури агрегування даних щодо ризиків під час розроблення плану забезпечення безперервної діяльності.

100. Банк розробляє процедури агрегування даних щодо ризиків, що забезпечують виконання таких принципів:

1) точність і цілісність.

Банк підтримує обґрунтоване співвідношення у застосуванні автоматизованих та ручних процесів агрегування даних щодо ризиків. Банк застосовує ручні процеси в ситуаціях, що потребують судження банку. В інших випадках банк максимально автоматизує процедури обробки даних з метою уникнення помилок. Банк складає опис агрегування даних щодо ризиків як щодо автоматизованих, так і щодо ручних процесів. Опис має містити пояснення щодо застосування ручних процесів, а судження має містити обґрунтування щодо його застосування.

Банк використовує надійні процедури агрегування даних щодо ризиків та забезпечує:

використання чітких процедур контролю за точністю даних про ризики;

розроблення політики та процедур використання програмного забезпечення працівниками банку в разі застосування банком ручних процесів та автоматизованих додатків та баз даних;

вивірку даних про ризики з даними бухгалтерського обліку;

наявність єдиного надійного джерела інформації за кожним видом ризику;

доступ до даних про ризики працівникам підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) з метою формування якісної та достовірної звітності про ризики;

2) повноту даних.

Банк здійснює агрегування даних щодо ризиків за усіма учасниками банківської групи. Дані про ризики мають групуватися за бізнес-лініями, видами активів та зобов'язань банку, галузевою та географічною концентрацією, показниками, що дасть змогу виявляти ризики та складати звіти;

3) своєчасність.

Банк своєчасно формує агреговані та актуалізовані дані щодо ризиків з одночасним дотриманням принципів точності і цілісності, повноти даних та адаптивності. Конкретні терміни формування даних щодо ризиків залежать від затвердженої періодичності надання звітів щодо ризиків, а в разі виникнення стресових ситуацій формування даних щодо ризиків здійснюється банком у найкоротші строки;

4) адаптивність, що означає:

наявність достатньо гнучких процедур, що дасть змогу агрегувати дані щодо ризиків згідно з установленими вимогами;

наявність можливостей модифікації процедур агрегування даних щодо ризиків з метою задоволення потреб користувачів, що дає змогу отримати інформацію з достатнім рівнем деталізації;

наявність можливостей унесення змін до процедур агрегування даних про ризики у зв'язку зі зміною законодавства.

101. Ефективне управління ризиками передбачає, що управлінська звітність про ризики містить точну, повну, своєчасну інформацію про ризики, надана раді банку, колегіальним органам, правлінню банку та іншим користувачам, які приймають рішення, та забезпечує повне розуміння ними ситуації щодо рівня ризиків банку для прийняття своєчасних та адекватних рішень.

102. Уповноважені підрозділи банку складають управлінську звітність про ризики, яка має бути:

1) точною, вивіреною та достовірно відображати рівень прийнятого банком ризику;

2) комплексною.

Управлінська звітність про ризики має охоплювати всі суттєві види ризиків банку, містити інформацію про концентрацію ризиків, дотримання встановленого розміру ризик-апетиту та значень лімітів ризику, а також надавати перспективну оцінку ризиків з урахуванням впливу майбутніх операцій, а не тільки поточну та історичну;

3) чіткою та інформативною.

Управлінська звітність про ризики має надавати чітку та однозначну інформацію та бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень.

Рада банку є головним користувачем управлінської звітності про ризики та несе відповідальність за розроблення вимог до такої звітності, формує запити та забезпечує отримання інформації, необхідної для виконання своїх функцій. Рада банку вимагає пояснень від керівників банку або підрозділів з управління ризиків та контролю за дотриманням норм (комплаєнс), якщо звітність про ризики не відповідає затвердженим нею вимогам щодо управлінської звітності про ризики та вживає адекватних заходів.

Правління банку є ключовим користувачем управлінської звітності про ризики і також несе відповідальність за розроблення вимог до такої звітності, забезпечує запити та отримання інформації, необхідної для виконання своїх функцій.

Банк повинен мати технічні можливості для формування нестандартної звітності про ризики:

під час стресових ситуацій;

у разі зміни потреб щодо необхідної управлінської інформації;

у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів;

4) періодичною.

Рада банку, колегіальні органи, правління банку та інші користувачі управлінської звітності про ризики встановлюють періодичність складання та надання управлінської звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Така періодичність має бути не рідшою ніж установлена цим Положенням;

5) поширеною серед користувачів управлінської звітності про ризики із забезпеченням конфіденційності.

103. Банк використовує ефективні моделі та інструменти для оцінки (вимірювання) ризиків, як тих, що піддягають кількісному виміру в повній мірі, так і тих, що піддягають кількісному виміру в меншій мірі (ризик репутації, стратегічний ризик).

104. Банк під час обрання моделей та інструментів оцінки ризиків ураховує:

1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;

2) бізнес-потреби;

3) припущення, що є основою для моделей та інструментів;

4) наявність коректних та повних вхідних даних;

5) можливості інформаційної системи банку щодо управління ризиками;

6) досвід та кваліфікацію персоналу.

105. Процес побудови моделі включає такі послідовні етапи:

1) визначення основних характеристик об'єкта оцінки та припущень для моделі;

2) підготовка вхідних даних для моделі, перевірка їх якості (коректності та повноти) і достатності;

3) побудова моделі;

4) тестування моделі, уключаючи її прогностичну здатність та коректність її результатів;

5) опис моделі;

6) затвердження моделі;

7) упровадження моделі;

8) наступна регулярна валідація моделі.

106. Банк використовує моделі та інструменти оцінки ризиків, які побудовані на коректних та повних вхідних даних.

107. Банк запроваджує порядок відбору вхідних даних для їх використання під час оцінки ризиків. Вхідні дані повинні:

1) відповідати ринковим значенням;

2) бути повними та коректними;

3) отримуватися з незалежних джерел або від підрозділів банку, діяльність яких не залежить від результатів оцінки ризиків.

108. Банк забезпечує своєчасну актуалізацію вхідних даних, що використовуються для розрахунку величини ризиків, в інформаційних системах щодо управління ризиками.

109. Опис моделі (документування) має включати:

1) опис методу використаного для моделювання та вид використаної моделі;

2) характеристики основних припущень та принципів, що лежать в основі моделі;

3) переваги та недоліки моделі, причини вибору саме цієї моделі;

4) опис вхідних даних для моделі та вимоги до них;

5) опис процесу використання моделі;

6) оцінку прогностичної здатності моделі;

7) правила внесення змін до моделі;

8) розподіл обов'язків та відповідальності за створення, упровадження, валідацію (перегляд ефективності) моделі та внесення змін до неї.

110. Банк регулярно (не рідше ніж раз на рік) здійснює валідацію моделей та інструментів оцінки ризиків шляхом:

1) оцінки адекватності основних припущень моделі/інструменту та її/його внутрішньої логіки;

2) бек-тестування, здійсненого шляхом порівняння фактичних даних з результатами, отриманими за допомогою моделі/інструменту;

3) порівняння результатів, отриманих за допомогою обраної банком моделі, з результатами інших внутрішніх та/або зовнішніх моделей (за наявності таких).

111. Результатом валідації моделі/інструменту оцінки ризиків може бути:

1) підтвердження адекватності моделі/інструменту оцінки ризиків та продовження її/його подальшого використання без змін;

2) продовження використання моделі/інструменту оцінки ризиків, але з коригуванням окремих її/його параметрів;