Відповідно до статей 7, 15 та 56 Закону України "Про Національний банк України", статей 44 та 66 Закону України "Про банки і банківську діяльність", з метою вдосконалення в банках України системи управління ризиками з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про організацію системи управління ризиками в банках України та банківських групах (далі - Положення), що додається.

2. Банкам України/відповідальним особам банківських груп розробити/доопрацювати та запровадити внутрішньобанківські/внутрішньогрупові документи з питань управління ризиками, виконати заходи із запровадження вимог Положення в терміни, установлені в графіку, що додається.

3. Департаменту методології (Іваненко Н.В.) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

4. Контроль за виконанням цієї постанови покласти на заступника Голови Національного банку України Рожкову К.В.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до вимог Закону України "Про Національний банк України", Закону України "Про банки і банківську діяльність" та з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду щодо корпоративного управління та управління ризиками в банках і банківських групах.

2. Це Положення визначає основні цілі та принципи управління ризиками, які виникають за всіма напрямами діяльності банку та банківської групи на всіх організаційних рівнях, і встановлює мінімальні вимоги щодо організації в банку та банківській групі комплексної, адекватної та ефективної системи управління ризиками.

3. Терміни, що використовуються в цьому Положенні, вживаються в таких значеннях:

1) агрегування даних щодо ризиків - виявлення, збір та оброблення даних про ризики, ураховуючи вимоги щодо складання звітності про ризики, що дає змогу оцінити діяльність банку з урахуванням ризик-апетиту. Агрегування даних щодо ризиків уключає також класифікацію, сегментацію, об'єднання чи розбивку даних про ризики;

1-1) активна банківська операція - термін застосовується в значенні, визначеному в Положенні про визначення банками України розміру кредитного ризику за активними банківськими операціями, затвердженому постановою Правління Національного банку України від 30 червня 2016 року № 351 (зі змінами) (далі - Положення № 351);

2) аутсорсер - організація будь-якої форми власності, фізична особа-підприємець або особа, яка провадить незалежну професійну діяльність, обрана банком для виконання на умовах аутсорсингу окремих робіт/функцій (далі - функції) банку;

3) аутсорсинг - передавання функцій банку на виконання аутсорсеру на договірній та регулярній основі з метою оптимізації витрат і процесів у банку;

4) банківська книга - активи та зобов'язання банку (як балансові, так і позабалансові), які не включені до торгової книги;

4-1) бізнес-модель управління фінансовими активами - бізнес-модель, яку банк використовує для управління фінансовими активами з метою генерування грошових потоків, визначена згідно з Інструкцією з бухгалтерського обліку операцій із фінансовими інструментами в банках України, затвердженою постановою Правління Національного банку України від 21 лютого 2018 року № 14 (зі змінами);

5) бізнес-процес - сукупність взаємопов'язаних або взаємодіючих видів діяльності, спрямованих на створення певного продукту або послуги;

5-1) верифікація вартості майна - перевірка достовірності ринкової (справедливої) вартості майна, визначеної оцінювачем під час здійснення ним оцінки майна;

5-2) головний ризик-менеджер (CRO) - головна посадова особа банку, відповідальна за управління ризиками;

5-3) головний комплаєнс-менеджер (CCO) - головна посадова особа банку, відповідальна за здійснення контролю за дотриманням норм (комплаєнс);

6) декларація схильності до ризиків (RAS - Risk Appetite Statement) - внутрішньобанківський/внутрішньогруповий документ, який визначає сукупну величину ризик-апетиту, види ризиків, які банк прийматиме або уникатиме з метою досягнення його бізнес-цілей, та рівень ризик-апетиту щодо кожного з них (індивідуальний рівень);

7) диверсифікація - обмеження впливу фактора ризику за рахунок уникнення надмірної концентрації за одним портфелем шляхом пошуку та поєднання портфелів, які за однакових умов приводять до різних не обов'язково прямо протилежних результатів. Диверсифікація є методом пом'якшення ризику, який застосовується як щодо активних, так і пасивних операцій;

8) допустимий рівень ризику (Risk Capacity) - максимальна величина ризику, яку банк у змозі прийняти за всіма видами ризиків з огляду на рівень його капіталу, здатність адекватно та ефективно управляти ризиками, а також з урахуванням регулятивних обмежень;

9) дохідність до погашення (YTM - Yield to Maturity) - сукупна величина дохідності у відсотках річних, яку банк отримає в разі набуття у власність облігації або іншого боргового інструменту на дату оцінки за поточною ринковою (справедливою) вартістю за умови утримання такого інструменту до погашення;

10) дюрація - середньозважений строк до отримання грошових потоків за облігацією або іншими фінансовими інструментами з фіксованим прибутком;

11) економічна вартість капіталу (EVE - Economic Value of Equity) - теперішня вартість чистих майбутніх грошових потоків за фінансовими інструментами банківської книги;

12) інформаційна система щодо управління ризиками - сукупність технічних засобів, методів і процедур, що забезпечують реєстрацію, зберігання, оброблення, моніторинг і своєчасне формування достовірної інформації для звітування (інформування), аналізу та прийняття своєчасних та адекватних управлінських рішень щодо управління ризиками;

13) кіберризик - уживається в значенні, визначеному в Положенні про здійснення контролю за дотриманням банками вимог законодавства з питань інформаційної безпеки, кіберзахисту та електронних довірчих послуг, затвердженому постановою Правління Національного банку України від 16 січня 2021 року № 4;

14) комплаєнс-ризик - імовірність виникнення збитків/санкцій, додаткових втрат або недоотримання запланованих доходів або втрати репутації внаслідок невиконання банком вимог законодавства, нормативно-правових актів, ринкових стандартів, правил добросовісної конкуренції, правил корпоративної етики, виникнення конфлікту інтересів, а також внутрішньобанківських/внутрішньогрупових документів банку;

15) кредит - термін застосовується в значенні "кредитна операція", визначеному в Положенні № 351;

16) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником/контрагентом узятих на себе зобов'язань відповідно до умов договору. Кредитний ризик виникає за всіма активними банківськими операціями, за винятком боргових цінних паперів та інших фінансових інструментів у торговій книзі банку;

17) культура управління ризиками - дотримання визначених банком принципів, правил, норм банку, спрямованих на проінформованість усіх працівників банку щодо прийняття ризиків та управління ризиками;

18) ліміт ризику - обмеження, установлені банком для контролю величини ризиків, на які наражається банк протягом своєї діяльності;

19) модифікована дюрація - показник, що відображає вплив зміни дохідності до погашення на вартість облігації або іншого фінансового інструменту з фіксованим прибутком;

20) необтяжені активи - активи банку, щодо яких немає юридичних, регуляторних або операційних перешкод для надання їх як застави для залучення фінансування або продажу іншій стороні;

21) непрацюючі активи - активи банку, визначені як непрацюючі згідно з вимогами Положення № 351;

22) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок недоліків або помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників банку або інших осіб, збоїв у роботі систем банку або внаслідок впливу зовнішніх факторів. Операційний ризик уключає юридичний ризик, однак має виключати ризик репутації та стратегічний ризик;

23) опуклість (convexity) - показник, що характеризує чутливість дюрації облігації або іншого фінансового інструменту з фіксованим прибутком до зміни дохідності до погашення та уточнює вплив процентних ставок на поточну вартість облігації або іншого інструменту з фіксованим прибутком;

24) передавання ризику - передавання банком своєї відповідальності за ризик іншим особам за винагороду зі збереженням наявного рівня ризику;

25) передрозрахунковий ризик (Pre-Settlement Risk) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок дефолту контрагента за договором до початку виконання своїх зобов'язань будь-якою зі сторін договору;

26) підрозділ з управління ризиками - підрозділ, очолюваний головним ризик-менеджером, або підрозділ(и), очолюваний(і) керівником(ами) підрозділу(ів) та підпорядкований(і) головному ризик-менеджеру, який(які) забезпечує(ють) виконання функцій з управління ризиками, визначених законодавством України та цим Положенням;

27) підрозділ контролю за дотриманням норм (комплаєнс) - підрозділ, очолюваний головним комплаєнс-менеджером, або підрозділ(и), очолюваний(і) керівником(ами) підрозділу(ів) та підпорядкований(і) головному комплаєнс-менеджеру, який(які) забезпечує(ють) виконання функцій з управління комплаєнс-ризиком, визначених законодавством України та цим Положенням;

28) пом'якшення ризиків - комплекс заходів, спрямованих на зменшення ймовірності виникнення ризику та/або зменшення впливу ризику на результати діяльності банку;

29) прийняття ризиків - утримання ризиків на рівні, що перебуває в межах визначеної банком схильності до ризиків (ризик-апетиту) та не створює загрози для інтересів вкладників, інших кредиторів, власників банку та фінансової стійкості банку;

29-1) проблемні активи - термін застосовується в значенні, визначеному в Положенні про організацію процесу управління проблемними активами в банках України, затвердженому постановою Правління Національного банку України від 18 липня 2019 року № 97 (зі змінами) (далі - Положення № 97);

30) профіль ризику - результат оцінки рівня ризиків банку на певну дату до врахування заходів для мінімізації ризиків, а також з урахуванням таких заходів, у розрізі кожного з видів ризику та в агрегованому вигляді;

31) процентний ризик банківської книги - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок впливу несприятливих змін процентних ставок на банківську книгу. Процентний ризик банківської книги впливає на економічну вартість капіталу банку та чистий процентний дохід банку;

32) ризик - імовірність виникнення збитків або додаткових втрат або недоотримання доходів, або невиконання стороною договірних зобов'язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;

33) ризик-апетит (схильність до ризику) - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначених наперед та в межах допустимого рівня ризику, щодо яких банк прийняв рішення про доцільність/необхідність їх утримання з метою досягнення його стратегічних цілей та виконання бізнес-плану;

33-1) ризик інформаційної безпеки (складова операційного ризику) - імовірність виникнення збитків або додаткових втрат, або недоотримання запланованих доходів унаслідок порушення конфіденційності, цілісності, доступності даних в інформаційних системах банку, недоліків або помилок в організації внутрішніх процесів або настання зовнішніх подій, уключаючи кібератаки або неадекватну фізичну безпеку. Ризик інформаційної безпеки включає кіберризик;

33-2) ризик інформаційно-комунікаційних технологій (далі - ризик ІСТ) (складова операційного ризику) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несправності або невідповідності інформаційно-комунікаційних технологій бізнес-потребам банку, що може призвести до порушення їх сталого функціонування, або недоліків в організації управління такими технологіями;

34) ризик країни - імовірність виникнення збитків або додаткових втрат, або недоотримання доходів унаслідок впливу на діяльність боржника-контрагента несприятливих умов в економічній, соціальній, політичній сферах іншої країни;

35) ризик ліквідності - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неспроможності банку забезпечувати фінансування зростання активів та/або виконання своїх зобов'язань у належні строки;

36) ризик репутації - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливого сприйняття іміджу банку клієнтами, контрагентами, акціонерами, наглядовими та контролюючими органами;

37) ризик розрахунків (Settlement Risk) - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання контрагентом своїх зобов'язань після того, як банк виконав свою частину зобов'язань;

38) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливого впливу факторів ринкового ризику (курсів іноземних валют, процентних ставок та/або інших факторів) на вартість/ціну інструментів;

38-1) сервіси ІСТ - сервіси, що надаються через системи інформаційно-комунікаційних технологій (далі - ІСТ) внутрішнім або зовнішнім користувачам, включаючи введення даних, зберігання даних, послуги з обробки даних та звітності, а також моніторинг та сервіси з підтримки бізнесу та прийняття рішень;

39) система управління ризиками - сукупність належним чином задокументованих і затверджених політики, методик і процедур управління ризиками, які визначають порядок дій, спрямованих на здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення всіх видів ризиків на всіх організаційних рівнях;

40) стратегічний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неправильних управлінських рішень та неадекватного реагування на зміни в бізнес-середовищі;

41) стрес-сценарій - модель можливого розвитку подій (обставин) унаслідок впливу різних факторів ризиків, виникнення яких може завдати шкоди фінансовому стану та/або ліквідності банку;

42) стрес-тестування - метод вимірювання ризику, що дає змогу оцінити потенційні несприятливі результати впливу ризиків як величину збитків, що можуть стати наслідком шокових змін різних факторів ризиків (курсів іноземних валют, процентних ставок та/або інших факторів), які відповідають виключним (екстремальним), але ймовірним подіям;

42-1) товар - біржовий товар у значенні, визначеному в Законі України "Про товарні біржі", та дорогоцінні метали;

43) торгова книга - інструменти, які утримуються з метою торгівлі або хеджування ризиків інструментів торгової книги та обліковуються на торгових рахунках;

43-1) торгові рахунки - визначені банком у бухгалтерському обліку аналітичні рахунки, за якими обліковуються виключно інструменти, що утримуються в торговій книзі та управляються трейдинг-деск;

44) трансфертний ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання запланованих доходів унаслідок того, що у банку або його боржників/контрагентів, які є нерезидентами, немає можливості отримання іноземної валюти за кордоном та/або перерахування її в Україну;

44-1) трейдер - працівник банку, уповноважений на здійснення від імені та за рахунок банку діяльності з управління інструментами, що утримуються в торговій книзі;

44-2) трейдинг-деск (trading desk) - трейдер(и), який(і) є працівником(ами) банку, або бізнес-підрозділ банку, представлений трейдерами, який(і) управляє(ють) інструментами, що утримуються в торговій книзі. Управляти інструментами, що утримуються в торговій книзі, може виключно трейдинг-деск. Трейдинг-деск не управляє ні прямо, ні опосередковано інструментами, що утримуються в банківській книзі. Трейдинг-деск має право виконувати операції за дорученням клієнтів/інших підрозділів банку;

45) уникнення ризику - відмова від здійснення певних операцій або припинення ділових відносин, які наражають банк на ризик;

46) хеджування - метод пом'якшення ризику, який полягає у визначенні об'єкта хеджування та підборі до нього адекватного інструменту хеджування. Суть хеджування полягає в компенсації збитків від об'єкта хеджування за рахунок прибутку від інструменту хеджування, які виникають за одних і тих самих умов чи подій. За наявності хеджування банк позбавляється як ризику, так і можливості отримання додаткового прибутку (за винятком хеджування за допомогою опціонів): якщо умови чи події будуть сприятливими з точки зору об'єкта хеджування, то будь-який прибуток автоматично перекриватиметься збитками від інструменту хеджування;

47) чистий процентний дохід (NII - Net Interest Income) - різниця між сумою процентних доходів та сумою процентних втрат за активами і зобов'язаннями банківської книги;

48) шокова величина/шокова зміна - гіпотетична величина зміни фактора зовнішнього оточення (рівня процентної ставки, значення валютного курсу), яка використовується в стрес-тестуванні. Шокова величина/шокова зміна має відповідати двом критеріям: бути суттєвою та ймовірною;

49) юридичний ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання запланованих доходів унаслідок неочікуваного застосування норм законодавства через можливість їх неоднозначного тлумачення або унаслідок визнання недійсними умов договору у зв'язку з їх невідповідністю вимогам законодавства України.

Інші терміни, які вживаються в цьому Положенні, використовуються в значеннях, визначених Законом України "Про банки і банківську діяльність", іншими законами України та нормативно-правовими актами Національного банку України (далі - Національний банк).

4. Банк/банківська група (далі - банк) у своїх внутрішньобанківських/внутрішньогрупових документах (далі - внутрішньобанківські документи) мають право встановлювати більш поглиблений підхід до побудови та функціонування системи управління ризиками, адекватний особливостям його діяльності, характеру і обсягам банківських та інших фінансових послуг, дотримуючись мінімальних вимог, визначених у цьому Положенні, та враховуючи рекомендації Базельського комітету з банківського нагляду щодо управління ризиками.

5. Банк створює систему управління ризиками, адекватну його розміру, бізнес-моделі, масштабу діяльності, видам, складності операцій банку, яка забезпечує виявлення, вимірювання (оцінку), моніторинг, звітування, контроль та пом'якшення всіх суттєвих ризиків банку з метою визначення банком величини капіталу, необхідного для покриття всіх суттєвих ризиків, притаманних його діяльності (внутрішнього капіталу).

6. Органи управління відповідальної особи банківської групи несуть відповідальність за ефективність системи управління ризиками в банківській групі.

7. Ефективність, комплексність та адекватність створеної банком системи управління ризиками є предметом оцінки уповноваженими працівниками Національного банку, які здійснюють банківський нагляд у формі інспекційних перевірок та безвиїзного нагляду (далі - уповноважені працівники Національного банку), щодо:

1) відповідності затверджених радою банку стратегії управління ризиками та декларації схильності до ризиків банку його бізнес-моделі та ризикам, які банк спроможний утримувати для досягнення бізнес-цілей;

2) відповідності профілю ризику банку затвердженому радою банку рівню ризик-апетиту;

3) повноти та ефективності впровадження внутрішньобанківських документів;

4) створення та дотримання високої культури управління ризиками, уключаючи забезпечення обізнаності та залучення членів ради банку та членів правління банку, а також інших працівників банку до управління ризиками [періодичності засідань ради банку, інших колегіальних органів за участю головного ризик-менеджера/працівників підрозділу з управління ризиками, головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс), документування таких засідань], навчання працівників банку з питань управління ризиками;

5) відповідності внутрішньобанківських документів щодо управління ризиками вимогам цього Положення;

6) наявності у головного ризик-менеджера, головного комплаєнс-менеджера належного статусу та відповідної кваліфікації для виконання покладених на них функцій;

7) виконання банком інших вимог, установлених цим Положенням.

8. Оцінка ефективності, комплексності та адекватності, створеної банком системи управління ризиками здійснюється уповноваженими працівниками Національного банку шляхом: аналізу діяльності банку, внутрішньобанківських документів, результатів самооцінювання з боку банку; перевірки процесів, операцій, інструментів з управління ризиками; проведення інтерв'ю з керівниками банку та іншими працівниками банку; оцінки взаємодії ради банку і частоти проведення зустрічей із головним ризик-менеджером та головним комплаєнс-менеджером.

9. Наявність фактів недотримання вимог щодо впровадження й функціонування ефективної системи управління ризиками, порушень норм цього Положення є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку/відповідальної особи банківської групи заходів впливу в порядку, установленому Положенням про застосування Національним банком України заходів впливу, затвердженим постановою Правління Національного банку України від 17 серпня 2012 року № 346, зареєстрованим у Міністерстві юстиції України 17 вересня 2012 року за № 159/21902 (зі змінами) (далі - Положення № 346).

10. Банк створює комплексну, адекватну та ефективну систему управління ризиками, яка відповідає таким принципам:

1) ефективність - забезпечення об'єктивної оцінки розміру ризиків банку та повноти заходів щодо управління ризиками з оптимальним використанням фінансових ресурсів, персоналу та інформаційних систем щодо управління ризиками банку;

2) своєчасність - забезпечення своєчасного (на ранній стадії) виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення всіх видів ризиків на всіх організаційних рівнях;

3) структурованість - чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма структурними підрозділами та працівниками банку, та їх відповідальності згідно з таким розподілом;

4) розмежування обов'язків (відокремлення функції контролю від здійснення операцій банку) - уникнення ситуації, за якої одна й та сама особа здійснює операції банку та виконує функції контролю;

5) усебічність та комплексність - охоплення всіх видів діяльності банку на всіх організаційних рівнях та в усіх його структурних підрозділах, оцінка взаємного впливу ризиків;

6) пропорційність - відповідність системи управління ризиками бізнес-моделі банку, його системній важливості, а також рівню складності операцій, що здійснюються банком;

7) незалежність - свобода від обставин, що становлять загрозу для неупередженого виконання головним ризик-менеджером, головним комплаєнс-менеджером, підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс) своїх функцій;

8) конфіденційність - обмеження доступу до інформації, яка має бути захищеною від несанкціонованого ознайомлення;

9) прозорість - оприлюднення банком інформації щодо системи управління ризиками та профілю ризику.

11. Банк здійснює комплексну оцінку щонайменше таких суттєвих видів ризиків:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкового ризику;

5) операційного ризику;

6) комплаєнс-ризику;

7) інших суттєвих видів ризиків, на які банк наражається під час своєї діяльності.

Банк самостійно встановлює фактори, показники та поріг суттєвості інших видів ризиків на підставі обґрунтованих висновків та визначає порядок виявлення таких ризиків у методиці виявлення суттєвих ризиків.

12. Банк оцінює ризики за інструментами, що містяться як в торговій, так і в банківській книгах. Перелік видів ризиків, які банк має оцінювати залежно від книги, у якій міститься інструмент, наведений у карті ризиків торгової та банківської книг (додаток 1).

13. Банк створює систему управління ризиками, яка щонайменше охоплює види ризиків, наведені в пункті 11 глави 2 розділу I цього Положення.

14. Банк під час оцінки всіх видів ризиків ураховує ризик концентрації.

Банк розглядає ризик концентрації як концентрацію своїх активів та зобов'язань у розрізі:

1) одного боржника/контрагента та групи пов'язаних контрагентів;

2) бізнес-ліній і продуктів;

3) видів економічної діяльності (галузевої концентрації) та географічних регіонів;

4) пов'язаних із контрагентами осіб, чиї фінансові результати залежать від одного виду діяльності чи основного продукту;

5) класів боржників/контрагентів, що визначаються відповідно до вимог Положення № 351;

6) видів забезпечення виконання боржниками та контрагентами своїх зобов'язань;

7) видів валют.

Банк має право розглядати ризик концентрації в інших розрізах додатково до встановлених у пункті 14 глави 2 розділу I цього Положення.

15. Банк створює систему управління ризиками, яка забезпечує аналіз ризиків на постійній основі з метою прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків та зменшення пов'язаних із ними втрат (збитків).

16. Банк організовує систему управління ризиками, яка ґрунтується на розподілі обов'язків між підрозділами банку із застосуванням моделі трьох ліній захисту:

1) перша лінія - на рівні бізнес-підрозділів банку, включаючи трейдинг-деск, та підрозділів підтримки діяльності банку. Ці підрозділи приймають ризики та несуть відповідальність за них, здійснюють поточне управління ризиками і подають звіти щодо поточного управління такими ризиками;

2) друга лінія - на рівні підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс);

3) третя лінія - на рівні підрозділу внутрішнього аудиту щодо перевірки та оцінки ефективності функціонування системи управління ризиками.

17. Система управління ризиками банку щонайменше має передбачати:

1) організаційну структуру, яка чітко визначає обов'язки, повноваження та відповідальність осіб щодо управління ризиками;

2) культуру управління ризиками та кодекс поведінки (етики);

3) внутрішньобанківські документи з питань управління ризиками;

4) інформаційну систему щодо управління ризиками та звітування;

5) інструменти для ефективного управління ризиками.

18. Відповідальна особа банківської групи забезпечує функціонування комплексної, адекватної та ефективної системи управління ризиками в банківській групі, що передбачає:

1) наявність внутрішньогрупових документів щодо управління ризиками, включаючи чіткий розподіл функцій, обов'язків та повноважень з управління ризиками в банківській групі;

2) забезпечення інтегрованого процесу виявлення, оцінки, контролю та моніторингу всіх суттєвих видів ризиків учасників банківській групи з урахуванням вимог, установлених відповідними державними органами, що здійснюють регулювання ринків фінансових послуг, щодо управління ризиками в таких учасниках банківської групи на індивідуальній основі.";

18-1. Відповідальна особа банківської групи має право організовувати систему управління ризиками в банківській групі без урахування учасників банківської групи, звітність яких вона має право не враховувати під час складання консолідованої звітності банківської групи/субконсолідованої звітності підгрупи банківської групи згідно з вимогами Положення про порядок регулювання діяльності банківських груп, затвердженого постановою Правління Національного банку України від 20 червня 2012 року № 254, зареєстрованого в Міністерстві юстиції України 12 липня 2012 року за № 1178/21490 (зі змінами).

19. Банк оприлюднює інформацію щодо управління ризиками відповідно до вимог Інструкції про порядок складання та оприлюднення фінансової звітності банків України, затвердженої постановою Правління Національного банку України від 24 жовтня 2011 року № 373, зареєстрованої в Міністерстві юстиції України 10 листопада 2011 року за № 1288/20026 (зі змінами).

20. Банк створює організаційну структуру системи управління ризиками, яка забезпечує чіткий розподіл функцій, обов'язків і повноважень з управління ризиками між усіма суб'єктами системи управління ризиками, а також між працівниками банку, та передбачає їх відповідальність згідно з таким розподілом.

Банк під час визначення організаційної структури системи управління ризиками враховує необхідність забезпечення взаємозаміни працівників з метою уникнення негативного впливу на ефективність функціонування системи управління ризиками в разі тимчасової відсутності працівника або його звільнення.

21. Банк забезпечує наявність належної кількості кваліфікованих і досвідчених працівників виходячи з потреб організаційної структури системи управління ризиками, напрямів діяльності (бізнес-ліній) та профілю ризику банку.

Банк не має права передавати функції щодо управління ризиками банку на аутсорсинг, крім випадків, передбачених цим Положенням.

22. Банк визначає функції, обов'язки, повноваження та відповідальність осіб у посадових інструкціях, у яких мають передбачатися функціональні обов'язки кожного працівника банку щодо участі в управлінні ризиками, що включають забезпечення належного звітування щодо управління ризиками.

23. Банк визначає механізми та відповідальних осіб за належне забезпечення обміном інформацією між окремими структурними підрозділами банку для ефективної взаємодії (співпраці) на всіх організаційних рівнях.

24. Суб'єктами системи управління ризиками банку є:

1) рада банку;

2) комітет ради банку з управління ризиками (за наявності);

3) правління банку;

4) кредитний комітет правління банку;

5) комітет правління банку з управління активами та пасивами;

6) інші колегіальні органи банку;

7) підрозділ внутрішнього аудиту;

8) головний ризик-менеджер та підрозділ з управління ризиками;

9) головний комплаєнс-менеджер та підрозділ контролю за дотриманням норм (комплаєнс);

10) бізнес-підрозділи та підрозділи підтримки (перша лінія захисту).

25. Рада банку має право створювати інші комітети з числа її членів для попереднього вивчення і підготовки до розгляду на засіданні ради банку питань, що належать до її компетенції.

Комітет ради банку є постійно діючим консультативно-дорадчим органом.

Рада банку залишається відповідальною за загальне управління ризиками та забезпечує контроль за виконанням комітетами їх функцій.

26. Правління банку має право створювати інші комітети банку, делегувавши їм частину своїх функцій з управління ризиками. У цьому разі правління банку залишається відповідальним за виконання делегованих ним функцій.

27. Комітети/інші колегіальні органи здійснюють свою діяльність на підставі положення або іншого документа, у якому зазначаються їх обов'язки, сфера діяльності та робочі процедури. Такі процедури включають подання комітетами/колегіальними органами звітів про свою діяльність раді/правлінню банку залежно від підпорядкування.

Комітети/колегіальні органи повинні складати протоколи або інші документи щодо проведених засідань, у яких зазначати порядок денний засідань, стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з результатами поіменного голосування та особливими думками (за наявності). Банк надає таку документацію уповноваженим працівникам Національного банку на їх вимогу разом з іншими документами та матеріалами, на підставі яких приймались рішення.

28. Рада банку несе повну відповідальність за створення комплексної, адекватної та ефективної системи управління ризиками, на які наражається банк у своїй діяльності. Для забезпечення належного управління ризиками рада банку повинна:

1) визначати та контролювати дотримання корпоративних цінностей банку, які базуються на здійсненні бізнесу на законних та етичних принципах, та постійно підтримувати високу культуру управління ризиками;

2) приділяти достатню кількість часу, зусиль і ресурсів для участі в управлінні ризиками банку та контролю за комплексністю, адекватністю та ефективністю системи управління ризиками;

3) створити та підтримувати на належному рівні організаційну структуру, інформаційну систему щодо управління ризиками та внутрішній контроль, що забезпечують ефективне управління ризиками;

4) забезпечувати, щоб політика винагороди в банку відповідала та сприяла ефективному управлінню ризиками, не стимулюючи прийняття надмірного рівня ризику;

5) установлювати випадки накладення заборони (вето) головним ризик-менеджером, головним комплаєнс-менеджером на рішення правління банку, комітетів/колегіальних органів правління банку;

6) сприяти створенню регулярних та прозорих механізмів комунікації в банку.

29. Рада банку для реалізації своїх завдань виконує такі функції:

1) забезпечує функціонування та контроль за ефективністю системи управління ризиками;

2) затверджує внутрішньобанківські документи з питань управління ризиками, перелік яких визначено в додатку 2 до цього Положення, та здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);

3) затверджує перелік лімітів (обмежень) щодо кожного виду ризику та процедуру ескалації порушень лімітів ризиків;

4) ухвалює рішення щодо запровадження значних змін у діяльності банку;

6) затверджує план відновлення діяльності (Recovery Plan) та забезпечує виконання функцій щодо відновлення діяльності банку;

7) призначає та звільняє головного ризик-менеджера, головного комплаєнс-менеджера;

7-1) затверджує фінансове забезпечення (бюджет) підрозділів з управління ризиками, контролю за дотриманням норм (комплаєнс), установлює розмір винагороди головному ризик-менеджеру, головному комплаєнс-менеджеру та здійснює контроль за їх виконанням/дотриманням;

8) визначає характер, формат та обсяги інформації про ризики, розглядає управлінську звітність про ризики та, якщо профіль ризику банку не відповідає затвердженому ризик-апетиту невідкладно приймає рішення щодо застосування адекватних заходів для пом'якшення ризиків;

9) уживає заходів щодо запобігання конфліктам інтересів у банку, сприяє їх врегулюванню та повідомляє Національний банк про конфлікти інтересів, що виникають у банку.

Рада банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 29 глави 4 розділу I цього Положення, які не суперечать вимогам цього Положення.

30. Рада банку забезпечує належний рівень документування обговорень та прийнятих рішень, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк подає таку документацію уповноваженим працівникам Національного банку на їх вимогу.

31. Рада банку з метою підвищення ефективності управління ризиками має право створити комітет ради банку з управління ризиками (далі - комітет з управління ризиками). Рада банку зобов'язана створити комітет ради банку з управління ризиками у випадках, передбачених законодавством України.

32. Рада банку створює постійно діючий підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) і забезпечує незалежне виконання функцій з управління ризиками шляхом:

1) підпорядкування підрозділу з управління ризиками головному ризик-менеджеру, головного ризик-менеджера - раді банку, підпорядкування підрозділу контролю за дотриманням норм (комплаєнс) головному комплаєнс-менеджеру, головного комплаєнс-менеджера - раді банку;

2) звітування головного ризик-менеджера та головного комплаєнс-менеджера перед радою банку;

3) надання головному ризик-менеджеру/підрозділу з управління ризиками, головному комплаєнс-менеджеру/підрозділу контролю за дотриманням норм (комплаєнс) прямої та необмеженої можливості обговорення питань щодо ризиків безпосередньо з радою банку без необхідності (обов'язку) інформування про це членів правління банку;

4) організаційного та функціонального відокремлення головного ризик-менеджера/підрозділу з управління ризиками та головного комплаєнс-менеджера/підрозділу контролю за дотриманням норм (комплаєнс) від підрозділів (керівників підрозділів) першої та третьої ліній захисту;

5) забезпечення достатньої чисельності працівників цих підрозділів і рівня їх кваліфікації для досягнення цілей і завдань, поставлених перед ними;

6) урахування в бюджеті банку достатнього розміру фінансового забезпечення/винагороди головного ризик-менеджера/працівників підрозділу з управління ризиками та головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс). Винагорода головного ризик-менеджера, головного комплаєнс-менеджера та працівників цих підрозділів не повинна залежати від результатів роботи бізнес-підрозділів, які є об'єктом їх контролю, та має сприяти комплектуванню цих підрозділів кваліфікованими працівниками відповідного профілю. Змінна частина винагороди головного ризик-менеджера, головного комплаєнс-менеджера та працівників цих підрозділів має переважно базуватися на досягнутих результатах їх діяльності;

7) гарантування доступу головного ризик-менеджера/працівників підрозділу з управління ризиками та головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс) до інформації, необхідної для їх ефективної роботи. Керівники та персонал банку мають сприяти в наданні такої інформації;

8) недопущення головного ризик-менеджера/працівників підрозділу з управління ризиками та головного комплаєнс-менеджера/працівників підрозділу контролю за дотриманням норм (комплаєнс) до здійснення функцій контролю за тими операціями, за які вони раніше безпосередньо несли відповідальність або стосовно яких раніше ухвалювали рішення на першій лінії захисту, з метою запобігання конфлікту інтересів.

33. Комітет з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції:

1) надає рекомендації, консультації, пропозиції раді банку з питань управління ризиками для прийняття нею рішень;

2) здійснює моніторинг за дотриманням банком установленого сукупного рівня ризик-апетиту та рівня ризик-апетиту щодо кожного з видів ризику;

3) здійснює моніторинг впровадження стратегії та політики управління ризиками;

4) здійснює контроль за виконанням головним ризик-менеджером, головним комплаєнс-менеджером, підрозділами з управління ризиками та контролю за дотриманням норм (комплаєнс), покладених на них функцій;

5) бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення;

6) контролює стан виконання заходів щодо оперативного усунення недоліків у функціонуванні системи управління ризиками, виконання рекомендацій і зауважень підрозділу внутрішнього аудиту, зовнішніх аудиторів, Національного банку та інших контролюючих органів;

7) здійснює контроль за тим, щоб ціноутворення/установлення тарифів на банківські продукти враховувало бізнес-модель банку та стратегію управління ризиками. Якщо ціни/тарифи не покривають ризики банку, то комітет з управління ризиками розробляє заходи та подає їх на розгляд раді банку;

8) подає раді банку не рідше одного разу на квартал звіти про виконання покладених на нього функцій;

9) забезпечує виконання інших функцій та повноважень з питань управління ризиками, визначених радою банку.

Рада банку сама виконує функції комітету з управління ризиками, якщо вона не створила відповідний комітет.

33-1. Комітет з управління ризиками має право:

1) отримувати доступ до всієї інформації і даних, необхідних для виконання покладених на нього функцій;

2) одержувати звіти, повідомлення та висновки від головного ризик-менеджера та головного комплаєнс-менеджера стосовно профілю ризику банку, лімітів ризику, культури управління ризиками в банку, допущених банком порушень, інших питань, необхідних для виконання комітетом своїх функцій.

34. Голова комітету з управління ризиками невідкладно ініціює скликання позачергового засідання ради банку в разі значного збільшення ризиків банку та необхідності прийняття рішень щодо вжиття необхідних попереджувальних заходів.

35. Правління банку забезпечує виконання завдань, рішень ради банку щодо впровадження системи управління ризиками, уключаючи стратегію та політику управління ризиками, культуру управління ризиками, процедури, методи та інші заходи ефективного управління ризиками. Правління банку визнає та виконує вимоги щодо незалежного виконання обов'язків головним ризик-менеджером, головним комплаєнс-менеджером, підрозділами управління ризиками і контролю за дотриманням норм (комплаєнс) і не втручається у виконання ними своїх обов'язків.

36. Правління банку для реалізації своїх завдань виконує такі функції щодо управління ризиками:

1) забезпечує розроблення та затверджує внутрішньобанківські документи згідно з додатком 2 до цього Положення;

2) забезпечує підготовку та надання раді банку управлінської звітності про ризики, на які наражається банк, яка включає інформацію щодо нових видів продуктів чи значних змін у діяльності банку;

3) забезпечує підготовку та надання раді банку пропозицій щодо необхідності внесення змін до стратегії та політики управління ризиками;

4) забезпечує контроль за доведенням до відома відповідних структурних підрозділів і працівників банку інформації про внесені зміни до стратегії та політики управління ризиками, інших внутрішньобанківських документів з питань управління ризиками;

5) розробляє заходи щодо оперативного усунення недоліків у функціонуванні системи управління ризиками, виконання рекомендацій та зауважень за результатами оцінки ризиків, перевірок підрозділу внутрішнього аудиту, зовнішніх аудиторів і наглядових органів;

6) затверджує значення лімітів щодо кожного виду ризиків згідно з визначеним радою банку переліком лімітів (обмежень);

7) забезпечує адміністративну підтримку виконання головним ризик-менеджером, головним комплаєнс-менеджером, підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс) покладених на них функцій (забезпечує організацію їх робочого процесу, видає розпорядчі документи для реалізації рішень ради банку).

Правління банку має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 36 глави 6 розділу I цього Положення, які не суперечать вимогам цього Положення.

37. Підрозділ з управління ризиками з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції з управління ризиками:

1) забезпечує своєчасне виявлення, вимірювання, моніторинг, контроль, пом'якшення та звітування щодо суттєвих ризиків;

2) бере участь у розробленні стратегії управління проблемними активами й оперативного плану та здійснює моніторинг за їх реалізацією;

3) забезпечує моніторинг та попередження порушень показників ризик-апетиту та лімітів ризику, контролює наближення показників ризиків до ризик-апетиту та лімітів ризику та ініціює вжиття заходів для попередження їх порушень;

4) готує звіти щодо ризиків;

5) здійснює постійний аналіз ризиків, на які наражається банк під час своєї діяльності, з метою підготовки пропозицій з прийняття своєчасних та адекватних управлінських рішень щодо пом'якшення ризиків;

5-1) здійснює контроль за оцінкою майна відповідно до підпунктів 2-4 пункту 177 глави 21 цього Положення;

6) розробляє та підтримує в актуальному стані методики, інструменти та моделі, що використовуються банком для аналізу впливу різних факторів ризиків на фінансовий стан, капітал та ліквідність банку;

7) здійснює оцінку кредитного ризику;

8) здійснює стрес-тестування;

9) обчислює профіль ризику банку;

10) готує висновки щодо ризиків, які притаманні новим продуктам та значним змінам у діяльності банку, до моменту їх впровадження для прийняття управлінських рішень;

11) готує висновки щодо ризиків, які притаманні як новим кредитам, так і змінам за діючими кредитами, для прийняття управлінських рішень щодо надання нових кредитів чи внесення змін до діючих кредитних договорів;

12) розробляє, впроваджує та здійснює моніторинг системи раннього реагування;

13) готує висновки для прийняття управлінських рішень щодо врегулювання заборгованості боржників/контрагентів;

14) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Підрозділ з управління ризиками має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 37 глави 7 розділу I цього Положення, та які не суперечать вимогам цього Положення.

37-1. Головний ризик-менеджер несе відповідальність за виконання функцій підрозділом з управління ризиками.

37-2. Головний ризик-менеджер виконує такі функції:

1) подає звіти щодо ризиків раді банку, комітету з управління ризиками та правлінню банку з урахуванням вимог цього Положення;

2) інформує раду банку, комітет з управління ризиками, правління банку про надмірні ризики, на які може наражатись банк;

3) забезпечує координацію роботи з питань управління ризиками між структурними підрозділами банку;

4) надає пропозиції раді банку та правлінню банку щодо необхідних заходів для пом'якшення впливу ризиків (у розрізі кожного виду) на фінансовий стан, капітал та ліквідність банку, уключаючи ініціювання встановлення лімітів ризиків та/або перегляду їх значень;

5) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Головний ризик-менеджер має право виконувати інші функції додатково до визначених у пункті 37-2 глави 7 розділу I цього Положення та які не суперечать вимогам цього Положення.

38. Головний ризик-менеджер має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, та накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення встановленого ризик-апетиту та/або затверджених лімітів ризику, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку або комітет з управління ризиками про такі рішення.

39. Головний ризик-менеджер повинен мати освіту, яка забезпечує належне виконання ним посадових обов'язків, та досвід роботи не менше п'яти років в банківській системі в сфері управління ризиками.

40. Підрозділ контролю за дотриманням норм (комплаєнс) з метою забезпечення ефективності функціонування системи управління ризиками виконує такі функції з управління комплаєнс-ризиком:

1) забезпечує організацію контролю за дотриманням банком норм законодавства, внутрішньобанківських документів та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

2) забезпечує моніторинг змін у законодавстві та відповідних стандартах професійних об'єднань, дія яких поширюється на банк, та здійснює оцінку впливу таких змін на процеси та процедури, запроваджені в банку, а також забезпечує контроль за імплементацією відповідних змін у внутрішньобанківські документи;

3) забезпечує контроль за комплаєнс-ризиком, що виникає у взаємовідносинах банку з клієнтами та контрагентами, з метою запобігання участі та/або використання банку в незаконних операціях;

4) забезпечує управління ризиками, пов'язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури банку, прозорість реалізації процесів банку та в разі виявлення будь-яких фактів, що свідчать про наявність конфлікту інтересів у банку, інформує головного комплаєнс-менеджера;

5) забезпечує організацію контролю за дотриманням банком норм щодо своєчасності та достовірності фінансової та статистичної звітності;

5-1) здійснює на регулярній основі контроль за відсутністю конфлікту інтересів між керівниками банку та суб'єктом оціночної діяльності;

6) забезпечує організацію контролю за захистом персональних даних відповідно до законодавства України;

7) надає роз'яснення, консультації керівникам банку на їх запити з питань контролю за дотриманням банком законодавства України та відповідних стандартів професійних об'єднань, дія яких поширюється на банк;

8) забезпечує проведення навчання та обізнаність працівників банку щодо дотримання норм законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, культури управління ризиками, ураховуючи кодекс поведінки (етики);

10) забезпечує функціонування системи управління ризиками шляхом здійснення своєчасного виявлення, вимірювання, моніторингу, контролю, звітування і надання рекомендацій щодо пом'якшення комплаєнс-ризику;

11) забезпечує організацію контролю за відповідністю процесів щодо управління проблемними активами законодавству України та внутрішньобанківським документам;

12) забезпечує контроль за дотриманням банком норм щодо визначення переліку пов'язаних з банком осіб для забезпечення цілісності та повноти процесу ідентифікації пов'язаних з банком осіб і контролю за операціями з ними;

14) готує висновки щодо комплаєнс-ризику, який притаманний новим продуктам та значним змінам у діяльності банку, до моменту їх упровадження для прийняття своєчасних та адекватних управлінських рішень;

15) готує висновки стосовно комплаєнс-ризику для ухвалення кредитних рішень щодо кредитів пов'язаним із банком особам;

16) здійснює контроль за відповідністю системи компенсацій та відшкодування, що запроваджена в банку, а також процедур притягнення до дисциплінарної відповідальності працівників банку, вимогам законодавства України;

17) готує звіти щодо комплаєнс-ризику;

18) обчислює профіль комплаєнс-ризику;

19) розробляє, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення та контролює їх дотримання;

20) бере участь у дослідженні подій внутрішнього та зовнішнього шахрайства.

Підрозділ контролю за дотриманням норм (комплаєнс) має право виконувати інші функції з управління ризиками додатково до встановлених у пункті 40 глави 8 розділу I цього Положення, та які не суперечать вимогам цього Положення.

40-1. Головний комплаєнс-менеджер несе відповідальність за виконання підрозділом контролю за дотриманням норм (комплаєнс) покладених на цей підрозділ функцій.

40-2. Головний комплаєнс-менеджер виконує такі функції:

1) подає звіти щодо комплаєнс-ризику раді банку, комітету з управління ризиками та правлінню банку з урахуванням вимог цього Положення;

2) забезпечує координацію роботи з питань управління комплаєнс-ризиком між структурними підрозділами банку;

3) інформує раду банку, комітет з управління ризиками, правління банку про надмірні ризики, на які може наражатися банк;

4) повідомляє Національний банк про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та конфлікти інтересів, що виникли в банку, якщо радою банку не були застосовані заходи, що забезпечили їх усунення. Інформація про підтверджені факти неприйнятної поведінки в банку/порушення в діяльності банку та про конфлікти інтересів, що виникли в банку, надається структурному підрозділу Національного банку, що здійснює безвиїзний нагляд за банками;

5) забезпечує розроблення, бере участь у розробленні внутрішньобанківських документів згідно з додатком 2 до цього Положення.

Головний комплаєнс-менеджер має право виконувати інші функції додатково до визначених у пункті 40-2 глави 8 розділу I цього Положення та які не суперечать вимогам цього Положення.

41. Головний комплаєнс-менеджер несе відповідальність за діяльність цього підрозділу, має право бути присутнім на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, і накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення вимог законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, конфлікту інтересів, а також в інших випадках, установлених радою банку, та невідкладно інформує раду банку та/або комітет з управління ризиками про такі рішення.

42. Головний комплаєнс-менеджер повинен мати повну вищу освіту в галузі економіки, менеджменту (управління) або права, досвід роботи не менше трьох років в банківській системі в сфері контролю за дотриманням норм (комплаєнс) або управління ризиками (у тому числі з питань фінансового моніторингу), внутрішнього аудиту, юридичного супроводження діяльності банку.

43. Банк має право покладати на головного комплаєнс-менеджера функції відповідального працівника банку за проведення фінансового моніторингу за дотримання вимог пункту 32 глави 4 розділу I цього Положення.

44. Банк визначає процедуру взаємодії між підрозділом контролю за дотриманням норм (комплаєнс) і підрозділом з управління ризиками, а також між іншими підрозділами банку в частині управління операційним ризиком.

45. Банк створює та веде базу внутрішніх подій комплаєнс-ризику, здійснює аналіз накопиченої в ній інформації. Якщо банк веде базу внутрішніх подій комплаєнс-ризику окремо від бази внутрішніх подій операційного ризику, то він забезпечує реєстрацію в базі внутрішніх подій операційного ризику всіх подій комплаєнс-ризику, які підпадають під визначені банком критерії звітування щодо внутрішніх подій операційного ризику.

46. Рада банку, комітет з управління ризиками та правління банку з метою дотримання як керівниками банку, так і іншими працівниками банку культури управління ризиками створюють необхідну атмосферу (tone at the top) шляхом:

1) визначення та дотримання корпоративних цінностей, а також здійснення нагляду за дотриманням таких цінностей;

2) забезпечення розуміння як керівниками банку, так і іншими працівниками банку їх ролі під час управління ризиками з метою досягнення цілей діяльності банку, а також відповідальності за порушення встановленого рівня ризик-апетиту;

3) просування обізнаності щодо ризиків шляхом забезпечення систематичного інформування всіх підрозділів банку про стратегію, політику, процедури з управління ризиками та заохочення до вільного обміну інформацією і критичної оцінки прийняття ризиків банком;

4) отримання підтверджень, що керівники та інші працівники банку, проінформовані про дисциплінарні санкції або інші дії, які застосовуватимуться до них у разі неприйнятної поведінки/порушення в діяльності банку.

47. Комітет з управління ризиками, головний комплаєнс-менеджер та підрозділ контролю за дотриманням норм (комплаєнс) з метою дотримання керівниками банку та іншими працівниками банку корпоративних цінностей співпрацюють у розробленні та здійсненні контролю за дотриманням:

1) кодексу поведінки (етики);

2) політики запобігання конфліктам інтересів;

3) механізму конфіденційного повідомлення про неприйнятну поведінку в банку/порушення в діяльності банку, який передбачає забезпечення захисту заявників (whistleblowing policy mechanism);

4) порядку дослідження випадків неприйнятної поведінки в банку/порушень у діяльності банку.

48. Кодекс поведінки (етики) має чітко визначати:

1) загальнообов'язкові норми поведінки для керівників та інших працівників банку, а також відповідальність за порушення цих норм;

2) заборону на здійснення незаконної діяльності:

подання недостовірної фінансової та статистичної звітності;

посадовий злочин, економічний злочин (шахрайство);

порушення санкцій;

легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення;

неконкурентна практика;

2-1) заборону щодо надання послуг чи консультацій клієнтам та контрагентам, спрямованих на уникнення ними чи їх контрагентами сплати податків або виконання встановлених законодавством України або договірними умовами інших зобов'язань;

3) вимоги щодо дотримання культури управління ризиками;

4) заходи із запобігання порушенню прав споживачів;

5) порядок дій керівників та інших працівників банку для запобігання завданню шкоди майну банку;

6) заборону на використання службового становища керівниками банку та іншими працівниками банку з метою отримання несправедливих персональних переваг або надання таких переваг третім особам;

7) заходи із запобігання корупційним діям та хабарництву;

8) гарантії рівності відносин між банком та його клієнтами, працівниками, постачальниками та конкурентами;

9) обмеження щодо дарування та отримання подарунків;

10) принципи оброблення, зберігання та розповсюдження конфіденційної та інсайдерської інформації.

Кодекс поведінки може визначати інші норми, політику чи обмеження додатково до встановлених у пункті 48 глави 9 розділу I цього Положення.

49. Процедура запобігання корупційним діям та хабарництву має забезпечувати:

1) механізм контролю за дотриманням керівниками банку та іншими працівниками банку вимог законодавства з питань запобігання та протидії корупції під час виконання ними функціональних обов'язків;

2) механізм запобігання зловживанням з боку керівників банку та інших працівників банку під час взаємодії з органами державної влади, контролюючими органами та їх посадовими особами, посадовими особами клієнтів та контрагентів;

3) процедури контролю за здійсненням представницьких витрат та наданням/одержанням подарунків керівниками та іншими працівниками банку під час виконання ними посадових обов'язків.

50. Політика запобігання конфліктам інтересів має містити:

1) обов'язки членів ради банку щодо запобігання діяльності, що може спричиняти конфлікти інтересів або можливість виникнення конфліктів інтересів;

2) характерні для банку приклади конфліктів інтересів у членів колегіальних органів банку, ураховуючи членів ради банку, під час виконання ними своїх обов'язків (карта конфліктів інтересів);

3) обов'язки членів колегіальних органів банку та всіх працівників банку оперативно повідомляти про обставини, що можуть спричинити або вже спричинили конфлікт інтересів;

4) обов'язки членів колегіальних органів банку щодо утримання від голосування з будь-якого питання, яке може спричинити конфлікт інтересів або зашкодити об'єктивному ставленню чи належному виконанню таким членом обов'язків перед банком;

5) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту.

Політика запобігання конфліктам інтересів може містити інші обов'язки, процедури додатково до встановлених у пункті 50 глави 9 розділу I цього Положення.

51. Політика запобігання конфліктам інтересів має забезпечувати контроль за своєчасним виявленням, запобіганням та врегулюванням конфлікту інтересів, пов'язаного з:

1) вчиненням дій або прийняттям рішень керівниками банку, членами колегіальних органів та іншими працівниками банку на користь пов'язаних з ними осіб;

2) використанням інсайдерської інформації керівниками банку та іншими працівниками банку;

3) діловою та публічною діяльністю керівників банку та інших працівників банку за межами банку;

4) сторонньою господарською діяльністю керівників банку та інших працівників банку;

5) прямим підпорядкуванням близьких осіб;

6) неправомірним прийняттям подарунків чи даруванням подарунків керівниками банку та іншими працівниками банку.

52. Контроль за своєчасним виявленням, урегулюванням та запобіганням конфліктам інтересів має передбачати:

1) визначення поняття, терміну конфлікту інтересів та основних форм прояву такого конфлікту під час виконання посадових обов'язків керівниками банку та іншими працівниками банку;

2) функціонування процесу попередження конфліктів інтересів, ураховуючи застосування інформаційних бар'єрів для захисту інформації, отриманої керівниками банку та іншими працівниками банку під час виконання посадових обов'язків від неналежного використання в межах або поза межами банку;

3) наявність механізму моніторингу потенційного або реального конфлікту інтересів у керівників банку та інших працівників банку;

4) дієву процедуру реагування на виявлений конфлікт інтересів із застосуванням заходів для врегулювання та мінімізації негативного впливу такого конфлікту;

5) відповідальність за невиконання вимог інформування щодо потенційного або реального конфлікту інтересів керівниками та іншими працівниками банку.

53. Корпоративні цінності банку мають визначати критичну важливість вчасного, відвертого обговорення неприйнятної поведінки або інших порушень у банку та їх ескалації шляхом:

1) інформування всіх працівників банку про механізм, відповідно до якого вони можуть анонімно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

1-1) надання працівниками банку анонімної інформації до підрозділу контролю за дотриманням норм (комплаєнс) щодо неприйнятної поведінки або інших порушень в діяльності банку;

2) заохочення та надання можливості повідомляти раду банку конфіденційно та без ризику покарання про обґрунтовані занепокоєння щодо неприйнятної поведінки в банку/порушення в діяльності банку;

3) здійснення контролю за дотриманням механізму, відповідно до якого працівники банку можуть конфіденційно повідомляти про неприйнятну поведінку в банку/порушення в діяльності банку;

4) здійснення нагляду за дотриманням порядку дослідження неприйнятної поведінки в банку/порушень у діяльності банку.

Порядок дослідження неприйнятної поведінки в банку/порушень у діяльності банку має визначати повноваження структурних підрозділів банку щодо дослідження того чи іншого виду неприйнятної поведінки в банку/порушень у діяльності банку.

54. Банк має право передати на аутсорсинг функцію отримання повідомлень від працівників з метою дотримання конфіденційності повідомлень про неприйнятну поведінку в банку/порушення в діяльності банку.

55. Банк проводить регулярне (не рідше одного разу на рік для діючих працівників та під час прийняття на роботу нових працівників) навчання працівників банку з питань культури управління ризиками та дотримання кодексу поведінки (етики).

56. Банк розробляє внутрішньобанківські документи з питань управління ризиками, мінімальний перелік яких визначений у додатку 2 до цього Положення, з урахуванням вимог цього Положення, а також вимог законодавства України, документів Базельського комітету з банківського нагляду та міжнародних документів, які регламентують принципи корпоративного управління та управління ризиками в банках.

57. Банк розробляє за кожним видом ризику внутрішньобанківські документи у формі положень, порядків, процедур або іншій формі, які документально закріплюють процес управління ризиками, регламентують інші питання з управління кожним з видів ризиків та враховують вимоги цього Положення.

58. Банк має право об'єднувати окремі внутрішньобанківські документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.

59. Внутрішньобанківські документи з питань управління ризиками мають відповідати стратегії та бізнес-плану банку, декларації схильності до ризиків, бути оформленими, затвердженими, послідовними та мати достатній рівень деталізації.

60. Банк своєчасно переглядає та оновлює (актуалізує) внутрішньобанківські документи з питань управління ризиками з урахуванням змін у законодавстві, відповідних стандартах професійних об'єднань, дія яких поширюється на банк.

61. Внутрішньобанківські документи з питань управління ризиками мають визначати порядок взаємодії між усіма організаційними рівнями банку, включаючи рівень керівників банку.

61-1. Банк передбачає у внутрішньобанківських документах з питань управління ризиками процедури управління та забезпечення контролю ризиків, пов’язаних із припиненням дії індикаторів грошового та валютного ринків.

62. Неподання для ознайомлення уповноваженим працівникам Національного банку на їх вимогу під час здійснення банківського нагляду внутрішньобанківських документів щодо побудови та функціонування системи управління ризиками, а також те, що в банку немає таких документів, є підставою для негативних висновків щодо організації системи управління ризиками банку, а також застосування до банку заходів впливу в порядку, установленому Положенням № 346.

63. Декларація схильності до ризиків повинна обов'язково визначати:

1) сукупний рівень ризик-апетиту та види ризиків, які банк має намір приймати та утримувати для досягнення бізнес-цілей. Сукупний рівень ризик-апетиту має відповідати бізнес-моделі банку. Банк має право не включати ризик ліквідності до сукупного рівня ризик-апетиту;

2) максимальний рівень допустимого для банку ризику (Risk Capacity), виходячи із розміру наявних ресурсів (капіталу та потреб у ліквідності) та з урахуванням необхідності дотримання вимог Національного банку, зобов'язань перед інвесторами, вкладниками, іншими кредиторами та акціонерами;

3) кількісні та якісні показники ризик-апетиту, які враховують такі аспекти, як достатність капіталу, ліквідність, операційна прибутковість та вартість ризику. Банк має встановити показники ризик-апетиту щодо забезпечення банком дотримання встановлених нормативів достатності регулятивного капіталу та ліквідності;

4) рівень ризик-апетиту щодо кожного з видів ризику (індивідуальний рівень), який має стати основою для встановлення лімітів, а також мінімальний перелік кількісних та якісних показників ризик-апетиту щодо кожного з видів ризику;

5) підходи та перелік припущень, що були використані банком під час визначення показників ризик-апетиту, наведених у підпунктах 1-4 пункту 63 глави 10 розділу I цього Положення;

6) види ризиків, яких банк має уникати;

7) внутрішні та зовнішні чинники та обмеження, що впливають на прийняття банком ризиків.

Зміст декларації схильності до ризиків має доводитися до відома працівників банку, які приймають ризики та несуть відповідальність за них. Декларація схильності до ризиків повинна бути легкою для її розуміння та моніторингу дотримання.

64. Ризик-апетит до кожного з видів ризику є комбінацією кількісних показників, перелік яких залежить від виду ризику та таких загальних якісних вимог:

1) повноти внутрішньобанківських документів з управління ризиками, які відповідають бізнес-моделі банку;

2) наявності опису процесів банку, що визначають ключові точки, в яких банк може наражатися на суттєві ризики;

3) достатнього рівня кваліфікації персоналу банку, що забезпечують виконання процесів з управління ризиками;

4) достатності та належного функціонування інформаційних систем банку щодо управління ризиками, необхідних для підтримки процесів;

5) наявності в інформаційних системах щодо управління ризиками банку повних та якісних даних, що забезпечують належну оцінку величини ризиків;

6) наявності контролю за дотриманням норм (комплаєнс), кодексу поведінки (етики), запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення.

65. Рада банку під час визначення стратегії та складання бізнес-плану банку враховує величину ризик-апетиту, зазначену в декларації схильності до ризиків. Рада банку також ураховує визначений рівень ризик-апетиту в разі прийняття рішення щодо збільшення обсягів активів у результаті розширення діючих видів діяльності, запровадження нових продуктів та значних змін у діяльності банку.

66. Стратегія/стратегії управління ризиками повинна містити:

1) основні цілі управління ризиками;

2) перелік суттєвих ризиків із зазначенням видів операцій, які генерують ці ризики;

3) принципи та підходи щодо визначення прийнятного співвідношення дохідності та ризиків;

4) загальні принципи управління ризиками.

Рада банку затверджує та регулярно (не рідше одного разу на рік) переглядає стратегію/стратегії управління ризиками.

74. Банк розробляє план відновлення діяльності відповідно до вимог Положення про плани відновлення діяльності банків України та банківських груп, затвердженого постановою Правління Національного банку України від 18 липня 2019 року № 95.

75. Банк розробляє внутрішньобанківський документ щодо програми навчання та підвищення кваліфікації працівників банку з питань управління ризиками, який включає такі напрями:

1) вимоги законодавства України, нормативно-правових актів Національного банку, документів Базельського комітету з банківського нагляду з питань управління ризиками;

2) вимоги внутрішньобанківських документів з питань управління ризиками;

3) практичні заняття щодо реалізації внутрішньобанківських документів з питань управління ризиками;

4) забезпечення безперервної діяльності та фінансування в кризових ситуаціях;

5) вивчення сучасного досвіду, включаючи міжнародний, щодо управління ризиками;

6) порядок організації процесу управління ризиками та підходи до управління окремими видами ризиків.

76. Банк забезпечує належну оцінку ризиків за новими продуктами та значними змінами в діяльності банку до початку їх упровадження.

77. Новими продуктами є:

1) новий вид діяльності або новий вид фінансових послуг, визначених статтею 47 Закону України "Про банки і банківську діяльність" та статтею 4 Закону України "Про фінансові послуги та державне регулювання ринків фінансових послуг";

2) вихід на новий ринок з наявними видами діяльності або видами фінансових послуг;

3) унесення змін до наявних видів діяльності або видів фінансових послуг, що вимагають змін IT-ресурсів та/або процедур, внутрішньобанківських документів, порядку взаємодії працівників (підрозділів) банку, необхідних для їх реалізації та супроводження;

4) унесення істотних змін до умов надання послуг, включаючи цінові.

78. Значними змінами в діяльності банку є:

1) набуття у власність активів та/або зобов'язань інших учасників ринку у значному обсязі;

2) продаж/передавання активів у значному обсязі;

3) створення філії, дочірньої компанії, іншої юридичної особи або внесення істотних змін до організаційної структури банку;

4) реорганізація банку;

4-1) зміна бізнес-моделі управління фінансовими активами та/або зміна(и) в міжнародних стандартах фінансової звітності та/або істотна(і) зміна(и) в організаційній структурі банку, включаючи припинення діяльності трейдинг-деск, що призводять до виключення/включення інструменту з/до торгової книги;

5) інші зміни в діяльності банку, які вимагають використання/залучення ресурсів у значних обсягах або пов'язані з ризиками, обсяги яких важко оцінити.

79. Значним обсягом операції з набуття у власність активів та/або зобов'язань, продажу/передавання активів, використання/залучення ресурсів, є операція, в якій ринкова вартість активів/зобов'язань/ресурсів перевищує 10 відсотків балансової вартості активів банку за даними останньої річної фінансової звітності. Банк має право встановити інший розмір перевищення ринкової вартості активів/зобов'язань/ресурсів над балансовою вартістю активів банку під час визначення обсягу як значного, але не вищий ніж 10 відсотків.

80. Банк має право створити комітет правління з питань нових продуктів та значних змін у діяльності банку, що забезпечує виконання визначених правлінням банку функцій та повноважень щодо впровадження нових продуктів та значних змін у діяльності банку.

81. Рада банку затверджує політику запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містить:

1) підхід до визначення істотності змін щодо умов надання послуг;

2) підхід до визначення істотності змін щодо організаційної структури банку, включаючи створення та припинення діяльності трейдинг-деск;

3) підхід до визначення значних обсягів набуття у власність активів та/або зобов'язань інших учасників ринку та продажу/передавання активів, використання/залучення ресурсів;

3-1) підхід до визначення інструментів, на які поширюються вимоги підпункту 4-1 пункту 78 глави 11 розділу I цього Положення;

4) підхід до визначення операцій, пов'язаних із ризиками, обсяги яких важко оцінити;

5) вимоги до процедури запровадження нових продуктів та значних змін у діяльності банку, включаючи визначення органу, який уповноважений ухвалювати такі рішення;

6) перелік обов'язкових підрозділів банку та/або відповідальних осіб, які мають залучатися до процесу підготовки документів для ухвалення рішення щодо нових продуктів і значних змін у діяльності банку;

7) вимоги щодо моніторингу ризиків, пов'язаних з упровадженням нових продуктів і значних змін у діяльності банку.

82. Банк розробляє процедури запровадження нових продуктів і значних змін у діяльності банку, що обов'язково містять:

1) процедури ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

2) перелік документів, на підставі яких ухвалюється рішення;

3) порядок взаємодії підрозділів банку та опис процесів з підготовки документів для ухвалення рішення щодо нових продуктів та значних змін у діяльності банку;

4) процедури моніторингу впровадження нових продуктів та значних змін у діяльності банку.

83. Банк запроваджує значні зміни в діяльності банку після прийняття рішення про надання згоди радою банку, а у випадках, встановлених законодавством України, - загальними зборами акціонерного товариства чи акціонерами.

84. Документи банку для ухвалення рішення щодо нового продукту або значної зміни в діяльності банку повинні обов'язково містити:

1) опис нового продукту/значної зміни в діяльності банку, аналіз їх відповідності стратегії банку, цільових клієнтів, які мають ним користуватися, а також основних цілей запровадження такого продукту/зміни в діяльності банку та результати маркетингового дослідження;

2) висновки підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс) у межах їх функціональних обов'язків, які повинні обов'язково включати:

оцінку ризиків нового продукту/значної зміни в діяльності банку щодо того, чи перебуває новий продукт/значна зміна в діяльності банку в межах затвердженого банком ризик-апетиту та чи їх запровадження не призведе до порушень банком вимог законодавства, ринкових стандартів, правил добросовісної конкуренції;

рекомендації щодо методів управління виявленими ризиками (прийняття, передавання, пом'якшення чи уникнення ризиків);

розрахунок та пропозиції щодо величини лімітів ризиків, пов'язаних із новим продуктом/значною зміною в діяльності банку;

оцінку зміни профілю ризику банку, що може стати наслідком запровадження нового продукту/значної зміни в діяльності банку;

3) висновки інших підрозділів банку, на які покладені банком функції щодо визначення економічної доцільності та можливості запровадження і належної підтримки нового продукту/значної зміни в діяльності банку;

4) підходи до ціноутворення/установлення тарифів на новий продукт/значну зміну в діяльності банку;

5) аналіз прогнозованих доходів і втрат від запровадження нового продукту/значної зміни в діяльності банку;

6) типовий договір щодо нового продукту/значної зміни в діяльності банку та їх бухгалтерську модель обліку.

85. Ухвалення рішення щодо запровадження нового продукту/значної зміни в діяльності банку має ґрунтуватися на висновках підрозділів банку та виключати вплив акціонерів, керівників банку або третіх осіб, які не відповідають інтересам банку.

86. Банк проводить розроблення, налаштування та тестування готовності інформаційних систем щодо управління ризиками, а також навчання персоналу банку до початку впровадження нового продукту/значної зміни в діяльності банку та за потреби змінює строки впровадження до моменту забезпечення готовності.

87. Банк установлює ліміти (обмеження) для суттєвих ризиків, що піддаються кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо:

1) кредитного ризику;

2) ризику ліквідності;

3) процентного ризику банківської книги;

4) ринкового ризику;

5) інших суттєвих видів ризиків, на які може наражатися банк у своїй діяльності.

Банк також установлює ліміти для управління різними джерелами концентрації ризиків.

88. Банк установлює значення лімітів ризиків як у відсотках до регулятивного капіталу банку, так і до загального розміру активів, загальної суми зобов'язань. Банк має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків в абсолютних значеннях та/або у відсотках до інших показників банку.

89. Банк залежно від характеру діяльності та його бізнес-моделі має право встановлювати окремі значення лімітів для учасників банківської групи, бізнес-ліній, портфелів, типів інструментів або окремих інструментів.

90. Банк у своїй політиці щодо управління ризиками визначає порядок установлення значень лімітів ризиків та контролю за їх дотриманням.

91. Банк переглядає значення лімітів ризиків у разі змін ринкових умов або стратегії банку, але не рідше ніж раз на рік. Перегляд здійснюється на підставі пропозицій бізнес-підрозділів банку та підрозділу з управління ризиками.

92. Банк розробляє процедуру ескалації порушень лімітів ризиків: форму та порядок інформування про порушення цих лімітів ради банку, комітету з управління ризиками, правління банку та його комітетів.

93. Підрозділ з управління ризиками здійснює контроль за дотриманням лімітів ризиків. Підрозділ з управління ризиками/головний ризик-менеджер у порядку, визначеному процедурою банку щодо ескалації порушень лімітів ризиків, не пізніше наступного робочого дня після виявлення порушення ліміту ризику, крім порушення ліміту, викликаного зміною курсів валют та яке не перевищує 5% від встановленого ліміту, інформує раду банку, комітет з управління ризиками, правління банку та його комітети в межах їх компетенції щодо такого порушення. Підрозділ з управління ризиками/головний ризик-менеджер у строки та в порядку, визначених процедурою банку щодо ескалації порушень лімітів ризиків, надає раді банку, комітету з управління ризиками, правлінню банку та його комітетам інформацію про причини порушення лімітів та пропозиції щодо заходів для усунення порушення лімітів.

94. Рада банку має право делегувати колегіальним органам банку повноваження щодо погодження на здійснення операцій банку, що призводять до перевищення лімітів ризиків (авторизованих перевищень). У такому разі рада банку затверджує процедуру контролю за використанням цих повноважень. Така процедура повинна обов'язково містити:

1) види ризиків, щодо яких дозволяються авторизовані перевищення;

2) максимальний обсяг авторизованого перевищення;

3) вимоги до документування рішення щодо авторизованого перевищення;

4) порядок інформування ради банку щодо авторизованих перевищень.

95. Банк накопичує інформацію щодо авторизованих перевищень та порушень лімітів ризиків.

96. Рада банку проводить позачерговий перегляд значень лімітів, якщо авторизовані перевищення або порушення лімітів ризиків є частими або постійними. Результатом такого перегляду можуть бути:

1) перегляд значень діючих лімітів;

2) перегляд делегованих повноважень щодо авторизованих перевищень;

3) залишення значень лімітів без змін та затвердження плану заходів щодо запобігання їх подальшому перевищенню/порушенню.

97. Банк створює надійну інформаційну систему щодо управління ризиками та звітування, яка забезпечує агрегування даних щодо ризиків банку, оперативне та достовірне вимірювання ризиків як на рівні окремого банку, так і на рівні банківської групи як в звичайних, так і в стресових ситуаціях.

98. Банк розробляє процедури обробки даних щодо ризиків, політику конфіденційності та збереження такої інформації, а також доступу до неї.

99. Банк під час розроблення плану забезпечення безперервної діяльності оцінює спроможність інформаційних систем щодо управління ризиками та визначає процедури, що мають забезпечувати агрегування даних щодо ризиків у стресових ситуаціях відповідно до вимог, визначених у пункті 100 глави 13 розділу I цього Положення.

100. Банк розробляє процедури агрегування даних щодо ризиків, що забезпечують виконання таких принципів:

1) точність і цілісність.

Банк підтримує обґрунтоване співвідношення у застосуванні автоматизованих та ручних процесів агрегування даних щодо ризиків. Банк застосовує ручні процеси в ситуаціях, що потребують судження банку. В інших випадках банк максимально автоматизує процедури обробки даних з метою уникнення помилок. Банк складає опис агрегування даних щодо ризиків як щодо автоматизованих, так і щодо ручних процесів. Опис має містити пояснення щодо застосування ручних процесів, а судження має містити обґрунтування щодо його застосування.

Банк використовує надійні процедури агрегування даних щодо ризиків та забезпечує:

використання чітких процедур контролю за точністю даних про ризики;

розроблення політики та процедур використання програмного забезпечення працівниками банку в разі застосування банком ручних процесів та автоматизованих додатків та баз даних;

вивірку даних про ризики з даними бухгалтерського обліку;

наявність єдиного надійного джерела інформації за кожним видом ризику;

доступ до даних про ризики працівникам підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) з метою формування якісної та достовірної звітності про ризики;

2) повноту даних.

Банк здійснює агрегування даних щодо ризиків за усіма учасниками банківської групи. Дані про ризики мають групуватися за бізнес-лініями, видами активів та зобов'язань банку, галузевою та географічною концентрацією, показниками, що дасть змогу виявляти ризики та складати звіти;

3) своєчасність.

Банк своєчасно формує агреговані та актуалізовані дані щодо ризиків з одночасним дотриманням принципів точності і цілісності, повноти даних та адаптивності. Конкретні терміни формування даних щодо ризиків залежать від затвердженої періодичності надання звітів щодо ризиків, а в разі виникнення стресових ситуацій формування даних щодо ризиків здійснюється банком у найкоротші строки;

4) адаптивність, що означає:

наявність достатньо гнучких процедур, що дасть змогу агрегувати дані щодо ризиків згідно з установленими вимогами;

наявність можливостей модифікації процедур агрегування даних щодо ризиків з метою задоволення потреб користувачів, що дає змогу отримати інформацію з достатнім рівнем деталізації;

наявність можливостей унесення змін до процедур агрегування даних про ризики у зв'язку зі зміною законодавства.

101. Ефективне управління ризиками передбачає, що управлінська звітність про ризики містить точну, повну, своєчасну інформацію про ризики, надана раді банку, колегіальним органам, правлінню банку та іншим користувачам, які приймають рішення, та забезпечує повне розуміння ними ситуації щодо рівня ризиків банку для прийняття своєчасних та адекватних рішень.

102. Уповноважені підрозділи банку складають управлінську звітність про ризики, яка має бути:

1) точною, вивіреною та достовірно відображати рівень прийнятого банком ризику.

Банк включає в управлінську звітність про ризики інформацію про відкриті провадження у справах, у яких банк та/або керівник банку, та/або власник істотної участі в банку є відповідачем, а також про прийняті судами рішення не на їх користь, що можуть призвести до суттєвих наслідків для банку. Такими наслідками є виникнення збитків/санкцій та/або додаткових втрат чи недоотримання запланованих доходів, та/або втрати репутації, що окремо або в сукупності може спричинити порушення банком пруденційних нормативів капіталу та/або ліквідності, установлених Національним банком.

Банк з метою забезпечення належного аналізу та оцінки ризиків, прийняття своєчасних та адекватних управлінських рішень щодо мінімізації ризиків здійснює аналіз інформації, що міститься в державних реєстрах, інформаційних системах банку та органів державної влади, засобах масової інформації, інших відкритих джерелах.

Банк визначає у своїх внутрішньобанківських документах порядок виявлення, моніторингу такої інформації та забезпечує своєчасний контроль, вимірювання (оцінювання) збитків/санкцій, додаткових втрат або недоотримання запланованих доходів, використовуючи як власний досвід, так і досвід інших банків (за наявності);

2) комплексною.

Управлінська звітність про ризики має охоплювати всі суттєві види ризиків банку, містити інформацію про концентрацію ризиків, дотримання встановленого розміру ризик-апетиту та значень лімітів ризику, а також надавати перспективну оцінку ризиків з урахуванням впливу майбутніх операцій, а не тільки поточну та історичну;

3) чіткою та інформативною.

Управлінська звітність про ризики має надавати чітку та однозначну інформацію та бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень.

Рада банку є головним користувачем управлінської звітності про ризики та несе відповідальність за розроблення вимог до такої звітності, формує запити та забезпечує отримання інформації, необхідної для виконання своїх функцій. Рада банку вимагає пояснень від керівників банку, головного ризик-менеджера, головного комплаєнс-менеджера, якщо звітність про ризики не відповідає затвердженим нею вимогам щодо управлінської звітності про ризики та вживає адекватних заходів.

Правління банку є ключовим користувачем управлінської звітності про ризики і також несе відповідальність за розроблення вимог до такої звітності, забезпечує запити та отримання інформації, необхідної для виконання своїх функцій.

Банк повинен мати технічні можливості для формування нестандартної звітності про ризики:

під час стресових ситуацій;

у разі зміни потреб щодо необхідної управлінської інформації;

у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів;

4) періодичною.

Рада банку, колегіальні органи, правління банку та інші користувачі управлінської звітності про ризики встановлюють періодичність складання та надання управлінської звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Така періодичність має бути не рідшою ніж установлена цим Положенням;

5) поширеною серед користувачів управлінської звітності про ризики із забезпеченням конфіденційності.

103. Банк використовує ефективні моделі та інструменти для оцінки (вимірювання) ризиків, як тих, що підлягають кількісному виміру в повній мірі, так і тих, що підлягають кількісному виміру в меншій мірі, уключаючи ризик репутації, стратегічний ризик. Банк має право використовувати тільки інструменти оцінки ризиків для тих ризиків, що підлягають кількісному виміру в меншій мірі.

104. Банк під час обрання моделей та інструментів оцінки ризиків ураховує:

1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;

2) бізнес-потреби;

3) припущення, що є основою для моделей та інструментів;

4) наявність коректних та повних вхідних даних;

5) можливості інформаційної системи банку щодо управління ризиками;

6) досвід та кваліфікацію персоналу.

105. Процес побудови моделі включає такі послідовні етапи:

1) визначення основних характеристик об'єкта оцінки та припущень для моделі;

2) підготовка вхідних даних для моделі, перевірка їх якості (коректності та повноти) і достатності;

3) побудова моделі;

4) тестування моделі, уключаючи її прогностичну здатність та коректність її результатів;

5) опис моделі;

6) затвердження моделі;

7) упровадження моделі;

8) наступна регулярна валідація моделі.

106. Банк використовує моделі та інструменти оцінки ризиків, які побудовані на коректних та повних вхідних даних.

107. Банк запроваджує порядок відбору вхідних даних для їх використання під час оцінки ризиків. Вхідні дані повинні:

1) відповідати ринковим значенням;

2) бути повними та коректними;

3) отримуватися з незалежних джерел або від підрозділів банку, діяльність яких не залежить від результатів оцінки ризиків.

108. Банк забезпечує своєчасну актуалізацію вхідних даних, що використовуються для розрахунку величини ризиків, в інформаційних системах щодо управління ризиками.

109. Опис моделі (документування) має включати:

1) опис методу використаного для моделювання та вид використаної моделі;

2) характеристики основних припущень та принципів, що лежать в основі моделі;

3) переваги та недоліки моделі, причини вибору саме цієї моделі;

4) опис вхідних даних для моделі та вимоги до них;

5) опис процесу використання моделі;

6) оцінку прогностичної здатності моделі;

7) правила внесення змін до моделі;

8) розподіл обов'язків та відповідальності за створення, упровадження, валідацію (перегляд ефективності) моделі та внесення змін до неї.

110. Банк регулярно (не рідше ніж раз на рік) здійснює валідацію моделей та інструментів оцінки ризиків, розроблених з використанням математичного/статистичного/ економетричного моделювання шляхом:

1) оцінки адекватності основних припущень моделі/інструменту та її/його внутрішньої логіки;

2) бек-тестування, здійсненого шляхом порівняння фактичних даних з результатами, отриманими за допомогою моделі/інструменту. Банк має право не здійснювати бек-тестування за умови формування судження щодо недостатності історичних даних;

3) порівняння результатів, отриманих за допомогою обраної банком моделі, з результатами інших внутрішніх та/або зовнішніх моделей (за наявності таких).

110-1. Банк здійснює валідацію моделей/інструментів, розроблених як банком, так і зовнішніми організаціями.

Банк не здійснює валідацію моделей/інструментів, що мають широке міжнародне застосування (також метод аналізу дюрацій, GAP-аналіз), за умови, що вони є стандартизованими, а інформація про їх складові, переваги та недоліки є загальнодоступною та не може бути змінена банком в результаті їх валідації згідно з вимогами глави 14 розділу I цього Положення.

Банк не здійснює валідацію моделей/інструментів оцінки ризиків, розроблених Національним банком, складові яких ґрунтуються на накопичених Національним банком узагальнених статистичних даних з усієї банківської системи України і використовуються банками для розрахунку мінімальних регуляторних вимог.

Банк здійснює валідацію моделей/інструментів, що передбачають варіативність результатів їх застосування (серед іншого обрана банком модель VaR).

111. Результатом валідації моделі/інструменту оцінки ризиків може бути:

1) підтвердження адекватності моделі/інструменту оцінки ризиків та продовження її/його подальшого використання без змін;

2) продовження використання моделі/інструменту оцінки ризиків, але з коригуванням окремих її/його параметрів;

3) заміна діючої моделі/інструменту оцінки ризиків через її/його неефективність на нові.

112. Валідація моделі/інструменту оцінки ризиків має бути незалежною від побудови моделі або вибору інструменту та її/його використання. Валідація має здійснюватися окремим підрозділом банку (іншим, ніж підрозділ, який побудував та/або використовує модель або інструмент) або зовнішньою організацією, уключно з передаванням функції валідації моделей/інструментів такій організації на аутсорсинг з урахуванням вимог цього Положення щодо побудови моделі або вибору інструменту. Побудова моделі може здійснюватись аутсорсером за умови дотримання банком вимог щодо незалежності валідації такої моделі.

113. Головний ризик-менеджер забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць моделей та інструментів оцінки ризиків, припущень та обмежень, притаманних моделям, з метою їх урахування під час розгляду результатів оцінки ризиків та прийняття своєчасних та адекватних управлінських рішень.

114. Банк регулярно, з періодичністю, визначеною цим Положенням, здійснює стрес-тестування з метою оцінки ризиків та визначення своєї спроможності протистояти потрясінням та загрозам, на які банк наражається під час своєї діяльності, або які можуть виникнути в майбутньому.

115. Банк забезпечує за потреби здійснення/проведення оперативного (позачергового) стрес-тестування, періодичність здійснення якого відповідає динаміці змін за окремими видами активів і зобов'язань банку, а також тенденціям змін в економічному і фінансовому середовищі.

116. Банк розробляє єдиний внутрішньобанківський документ або окремі розділи щодо стрес-тестування у відповідних документах щодо кожного з видів ризиків про порядок здійснення/проведення стрес-тестування (програма проведення стрес-тестування), який визначає:

1) методологію та моделі, що використовуються для здійснення стрес-тестування;

2) періодичність здійснення різних типів стрес-тестування;

3) перелік, функції та порядок взаємодії учасників процесу здійснення стрес-тестування, їх повноваження і відповідальність з чітким визначенням структури підпорядкування;

4) перелік видів ризиків, за якими здійснюється стрес-тестування;

5) перелік факторів ризиків, що використовуються під час здійснення стрес-тестування;

6) перелік припущень, що використовуються під час здійснення стрес-тестування;

7) інформаційну систему щодо управління ризиками, за допомогою якої банк здійснює стрес-тестування;

8) порядок розгляду результатів здійснення стрес-тестування та доведення їх змісту до відома ради банку, комітету з управління ризиками та правління банку з метою прийняття своєчасних та адекватних управлінських рішень щодо зниження рівня ризиків.

117. Програма проведення стрес-тестування має забезпечувати:

1) визначення розміру збитків банку в цілому та в розрізі видів операцій у разі реалізації екстремальних, однак реалістичних стрес-сценаріїв, а також оцінку потенційних можливостей банку покрити такі збитки;

2) оцінку впливу реалізації стрес-сценаріїв на дотримання банком граничних значень нормативів та лімітів валютної позиції, установлених Національним банком;

3) порівняння отриманих результатів з установленим рівнем ризик-апетиту;

4) визначення ступеня залежності величини ризиків від окремих факторів ризику, які пом'якшують або посилюють їх дію.

118. Банк забезпечує здійснення стрес-тестування, що охоплює всі види діяльності банку, балансові та позабалансові позиції з урахуванням особливостей його операцій.

119. Банк забезпечує здійснення стрес-тестування щонайменше за такими видами ризиків:

1) кредитний ризик;

2) ризик ліквідності;

3) процентний ризик банківської книги;

4) ринковий ризик;

5) операційний ризик.

Банк здійснює стрес-тестування щодо цих ризиків з урахуванням ризику концентрації.

120. Банк з урахуванням специфіки своєї діяльності та розміру впливу цих ризиків на всі напрями діяльності банку визначає перелік інших видів ризиків, за якими здійснює стрес-тестування.

121. Банк визначає методи проведення стрес-тестування, включаючи параметри/припущення для стрес-сценаріїв, які мають включати кількісні та якісні показники, та враховувати профіль ризику банку і основні напрями його діяльності.

122. Банк визначає методи проведення стрес-тестування щодо кожного із суттєвих видів ризику самостійно з урахуванням власного досвіду. Банк залежно від ситуації використовує хоча б один із таких методів:

1) аналіз чутливості портфеля активів до зміни факторів ризиків, який полягає в моделюванні наслідків зміни одного фактора ризику або групи тісно взаємопов'язаних факторів ризику, але незмінних інших факторів ризику;

2) сценарний аналіз, який полягає в моделюванні наслідків одночасної зміни декількох факторів ризиків, що ґрунтується як на історичних, так і гіпотетичних подіях. Метод дає змогу оцінити потенційний вплив одночасного настання низки факторів ризику на діяльність банку в разі настання виняткової (екстремальної), але разом з тим імовірної події. Під час розроблення сценаріїв банк використовує фактори ризиків з максимально негативним впливом, що можуть призвести до подій, унаслідок виникнення яких банк може зазнати найбільших втрат, та опрацьовує варіанти найгіршого розвитку подій;

3) реверсивне стрес-тестування, яке полягає в пошуку такої комбінації значень факторів ризиків та визначенні такого сценарію, за яким банк отримає заздалегідь визначений негативний результат (порушення нормативів капіталу та/або інших нормативів, установлених Національним банком, втрату ліквідності, настання неплатоспроможності, інших негативних наслідків для банку). Пошук може здійснюватися як експертним методом, так і за допомогою статистичного моделювання.

123. Банк для проведення стрес-тестування визначає основні (базові) фактори ризиків, які можуть впливати на його діяльність і фінансовий стан, а саме: макроекономічні та мікроекономічні показники.

124. Банк серед макроекономічних показників може визначати такі:

1) розмір внутрішнього валового продукту;

2) облікову ставку Національного банку;

3) офіційний курс гривні до іноземних валют;

4) індекс споживчих цін та цін виробників;

5) рівень безробіття;

6) середню заробітну плату;

7) ціни на ключові товари, що експортуються з України (сталь, залізну руду, пшеницю, кукурудзу, соняшникову олію) та імпортуються до України (природний газ, нафту);

8) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

125. Банк серед мікроекономічних показників може визначати такі:

1) можливість доступу банку до зовнішніх джерел фінансування;

2) ринкову позицію банку;

3) структуру його балансу;

4) якість активів;

5) галузеву концентрацію;

6) інші показники, які можуть впливати на діяльність і фінансовий стан банку.

126. Банк запроваджує адекватний та чіткий механізм трансформації факторів ризику, що застосовуються під час здійснення стрес-тестування, у відповідні внутрішні критерії банку, що використовуються для оцінки величини ризику (PD, LGD, зниження вартості інструментів та позицій).

127. Банк забезпечує рівень інформації та технологічну інфраструктуру, яка є достатньо гнучкою для розміщення різних і можливо змінних стрес-тестів на достатньому рівні деталізації.

128. Банк для забезпечення ефективності проведення стрес-тестування здійснює регулярний і систематичний (не рідше одного разу на рік) перегляд/удосконалення методів та стрес-сценаріїв.

129. Банк здійснює документування результатів стрес-тестування за кожним із стрес-сценаріїв з урахуванням аналізу впливу якості даних, які використовувалися для здійснення стрес-тестування.

130. Банк забезпечує належне використання результатів стрес-тестування всіма структурними підрозділами банку, залученими до виконання функцій з управлінням ризиками.

131. Головний ризик-менеджер забезпечує своєчасне доведення до ради банку, комітету з управління ризиками та правління банку висновків про результати стрес-тестування, які обов'язково мають містити оцінку впливу можливої реалізації стрес-сценаріїв на діяльність банку для розроблення та вжиття заходів щодо зменшення впливу потенційних ризиків та уникнення/мінімізації фінансових втрат.

132. Головний ризик-менеджер забезпечує належну обізнаність ради банку, комітету з управління ризиками щодо сильних та слабких місць методів та стрес-сценаріїв, що використовуються під час здійснення стрес-тестування, з метою їх врахування під час розгляду його результатів та прийняття своєчасних та адекватних управлінських рішень.

133. Банк використовує результати здійснення стрес-тестування під час розроблення/перегляду/коригування стратегії та бізнес-плану банку, стратегії, політики та процедур управління ризиками, планів відновлення діяльності, забезпечення безперервної діяльності та фінансування в кризових ситуаціях.

134. Банк створює ефективну систему управління кредитним ризиком, що забезпечує виявлення, вимірювання, моніторинг, звітування, контроль і пом'якшення кредитного ризику як на індивідуальній, так і на портфельній основі.

135. Кредитний ризик уключає також такі ризики:

1) ризик країни;

2) трансфертний ризик;

3) ризик контрагента:

4) ризик інвестицій у дочірні компанії.

136. Банк визначає такі кількісні показники ризик-апетиту до кредитного ризику:

1) максимальне зростання обсягу портфеля кредитів у відсотках до його величини на початок року;

2) максимальний обсяг заборгованості за одним боржником/групою пов'язаних контрагентів у відсотках до загального обсягу портфеля кредитів та регулятивного капіталу банку;

3) максимальний обсяг галузевої та географічної концентрації портфеля кредитів у відсотках до загального обсягу портфеля кредитів (конкретний перелік видів економічної діяльності та/або географічних регіонів визначається банком на рівні деталізації відповідно до його бізнес-моделі);

4) максимальний обсяг портфеля кредитів за кредитними продуктами у відсотках (конкретний перелік продуктів визначається банком відповідно до його бізнес-моделі) до загального обсягу портфеля кредитів;

5) граничний обсяг непрацюючих активів у відсотках до відповідного виду активів або продуктів.

Банк має право визначати інші кількісні показники ризик-апетиту до кредитного ризику додатково до встановлених у пункті 136 глави 16 розділу II цього Положення.

137. Підрозділ з управління ризиками створює та використовує систему внутрішньої оцінки кредитного ризику, порівнює результати цієї оцінки з величиною кредитного ризику, розрахованою відповідно до вимог Положення № 351, та аналізує причини відхилення.

138. Банк вимірює ризик концентрації, щонайменше в розрізі:

1) величини заборгованості за боржниками та групами пов'язаних контрагентів;

2) строків до погашення кредитів;

3) кредитних продуктів;

4) географічних регіонів;

5) видів економічної діяльності;

6) видів забезпечення за кредитами.

139. Банк розробляє та періодично (не рідше одного разу на рік) переглядає кредитну політику, політику, порядок та процедури управління кредитним ризиком з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту банку до цього ризику.

140. Банк формує і запроваджує кредитну політику з урахуванням таких зовнішніх і внутрішніх факторів:

1) ринкова позиція банку;

2) макроекономічне середовище;

3) внутрішнє операційне середовище, уключаючи персонал;

4) наявні технології, інформаційні системи щодо управління ризиками.

141. Банк доводить кредитну політику, політику, порядки та процедури управління кредитним ризиком до працівників банку, які беруть участь у процесі видачі/придбання та супроводження кредитів відповідно до функціональних обов'язків, і які повинні чітко розуміти підхід банку до цього процесу та нести відповідальність за виконання політики, порядків і процедур.

142. Кредитна політика банку повинна обов'язково містити:

1) визначення цільових ринків кредитування та їх загальні характеристики;

2) перелік цільових напрямів кредитування в розрізі видів економічної діяльності, географічних регіонів, видів валюти;

3) загальні критерії прийнятності кредитування;

4) принципи управління ризиком концентрації;

5) загальні умови, на яких мають надаватися кредити: цінові умови, строковість, обсяги, види забезпечення та рівень забезпечення (покриття) заборгованості;

6) порядок ухвалення кредитних рішень;

7) процедуру делегування повноважень щодо ухвалення кредитних рішень.

143. Політика управління кредитним ризиком повинна обов'язково містити:

1) мету, завдання та принципи управління кредитним ризиком;

2) організаційну структуру процесу управління кредитним ризиком з урахуванням розподілу функціональних обов'язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;

3) перелік лімітів для контролю за рівнем кредитного ризику та порядок їх установлення;

4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику;

5) підходи щодо кредитного адміністрування та моніторингу;

6) підходи щодо перегляду кредитів, уключаючи кредити, надані пов'язаним з банком особам;

7) підходи щодо завчасного (на ранньому етапі) виявлення та управління непрацюючими активами;

9) підходи щодо здійснення стрес-тестування кредитного ризику;

10) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо кредитного ризику, порядок та періодичність/терміни їх надання суб'єктам системи управління ризиками.

144. Банк має право об'єднувати кредитну політику та політику управління кредитним ризиком в один внутрішньобанківський документ.

145. Порядок та процедури управління кредитним ризиком повинні обов'язково містити:

1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення кредитного ризику, уключаючи інструменти/індикатори, що використовуються;

2) перелік документів, що має надати потенційний боржник для розгляду кредитної заявки;

3) порядок розгляду кредитної заявки, підстави для ухвалення рішень щодо надання кредитів, уключаючи надання споживчих кредитів пов'язаним з банком особам, кредитів пов'язаним контрагентам;

4) порядок роботи зі споживачем до і під час надання споживчого кредиту, уключаючи розкриття інформації про реальну вартість кредитів;

5) вимоги до оцінки майна, що отримується банком в заставу або забезпечення за кредитами на підставі права довірчої власності (далі - застава/заставлене майно) та оцінювачів, порядок оцінки майна, якщо оцінювачем є працівник банку;

6) процедури кредитного адміністрування та моніторингу;

7) порядок формування резервів під очікувані кредитні збитки за фінансовими активами відповідно до Міжнародних стандартів фінансової звітності (далі - МСФЗ);

8) порядок перегляду кредитів, уключаючи порядок перегляду кредитів, наданих пов'язаним особам;

11) порядок обміну інформацією між учасниками процесу управління кредитним ризиком, уключаючи види, форми і терміни подання інформації;

12) програму проведення стрес-тестування кредитного ризику;

13) порядок складання та перевірки достовірності статистичної звітності щодо кредитного ризику, що надається до Національного банку.

146. Банк використовує визначені критерії прийнятності кредитування, які визначають, хто має право на отримання кредиту і в якому розмірі, які види кредиту доступні і на які строки, а також на яких умовах надаються такі кредити.

Банк установлює критерії прийнятності кредитування, які не повинні прилаштовуватися до вимог та потреб пов'язаних з банком осіб.

147. Банк, ухвалюючи рішення щодо надання кредиту здійснює аналіз інформації та проводить всебічну оцінку ризиків. Банк під час схвалення кредитного рішення враховує такі фактори:

1) мету отримання кредиту та джерела його погашення;

2) кредитну історію і поточну платоспроможність боржника, виходячи з фінансових тенденцій попередніх періодів та прогнозів руху грошових коштів за різними сценаріями;

3) життєздатність бізнес-моделі боржника - юридичної особи, фізичної особи - суб'єкта господарювання, а також наявність у нього достатньої компетенції та ресурсів для її реалізації;

4) поведінкові моделі боржників фізичних осіб;

5) практичний досвід здійснення боржником господарської діяльності, стан галузі економіки, у якій здійснює свою діяльність боржник, та його позицію в ній, ринків збуту продукції/послуг, що виробляється/надається боржником, конкурентоспроможність боржника;

6) прийнятність та достатність забезпечення, можливість його реалізації;

7) додаткові умови кредитного договору, що забезпечують обмеження збільшення в майбутньому кредитного ризику;

8) прогнозні дані щодо необхідної суми формування резервів під очікувані кредитні збитки та величини кредитного ризику на момент видачі кредиту;

9) репутацію боржника та його здатність/готовність нести юридичну відповідальність та співпрацювати з банком з усіх питань, що можуть виникати протягом періоду користування кредитом;

10) структуру групи пов'язаних контрагентів та кредитну історію і поточну платоспроможність цих контрагентів. Для цього банк має розробити механізм виявлення ситуацій, коли доцільно класифікувати боржників як групу пов'язаних контрагентів і як окремого боржника;

11) рішення осіб, які відповідають за управління юридичною особою та здійснюють контроль за її діяльністю, щодо отримання кредиту, їх повноваження на прийняття такого рішення;

12) надійність та достатність юридичної позиції банку щодо умов кредитного договору та договорів забезпечення/застави для забезпечення належної співпраці з боржниками/контрагентами/заставодавцями.

148. Банк установлює значення лімітів кредитного ризику щонайменше щодо:

1) повноважень колегіального органу банку щодо ухвалення кредитних рішень як для портфеля кредитів у цілому, так і для одного боржника або групи пов'язаних контрагентів;

2) окремих боржників, а також груп пов'язаних контрагентів;

3) ризику концентрації (максимального обсягу заборгованості):

на одного боржника або групу пов'язаних контрагентів;

на боржників, що мають спільний вид економічної діяльності;

на боржників одного географічного регіону (регіон, у якому здійснює діяльність або проживає боржник, який може відрізнятися від регіону його реєстрації);

4) ризику контрагента в розрізі кожного з них;

5) максимального обсягу майна, яке банк може набути у власність у рахунок погашення боргу боржників.

149. Банк забезпечує належне управління процесом надання кредитів з метою запобігання перевищенню внутрішніх лімітів кредитного ризику, нормативів кредитного ризику, установлених Національним банком.

150. Банк створює та застосовує механізми внутрішнього контролю та інші механізми, що забезпечують своєчасне інформування керівників банку про відхилення від політики, процедур та порушення встановлених лімітів ризиків для прийняття своєчасних та адекватних управлінських рішень.

151. Банк установлює та впроваджує чіткий процес ухвалення кредитних рішень, уключаючи автоматичне ухвалення кредитних рішень, як для надання нових кредитів, так і для внесення змін до умов за діючими/наявними кредитами.

Банк має право автоматизувати процес автоматичного ухвалення кредитних рішень за стандартизованими кредитними продуктами або здійснювати автоматичне ухвалення кредитних рішень без автоматизації відповідно до алгоритму, описаного у внутрішньобанківських документах.

152. Банк визначає перелік документів та інформації, необхідних для ухвалення кредитних рішень як щодо нових кредитів, так і зміни умов за діючими/наявними кредитами. Для кредитних рішень, ухвалення яких не є автоматичним, цей перелік повинен обов'язково містити:

1) заявку кредитного підрозділу з визначенням структури та умов кредитування, висновком щодо здатності боржника забезпечити належне обслуговування та повернення кредиту, а також описом та обґрунтуванням кредитного рішення, що пропонується для ухвалення;

2) висновок підрозділу з управління ризиками;

3) висновок підрозділу контролю за дотриманням норм (комплаєнс) для ухвалення кредитних рішень щодо кредитів пов'язаним з банком особам;

4) висновок юридичного підрозділу (якщо внутрішньобанківськими документами передбачається такий висновок).

153. Банк за кожним кредитним рішенням формує документацію із паперових та/або електронних документів відповідно до вимог, визначених цим Положенням.

Банк під час формування документації із електронних документів використовує електронні документи, які відповідають вимогам Законів України " Про електронні довірчі послуги ", "Про електронні документи та електронний документообіг", "Про споживче кредитування" та нормативно-правових актів Національного банку щодо застосування електронного підпису в банківський системі або створені з використанням державних реєстрів, що є у вільному доступі.

Банк у разі формування документації щодо ухвалення кредитного рішення з електронних документів повинен забезпечити виконання вимог законодавства України щодо виготовлення паперових примірників таких електронних документів.

154. Кредитне рішення повинно обов'язково містити:

1) суму кредиту/ліміту та термін повернення (графік погашення) кредиту;

2) процентну ставку/маржу (у разі змінюваної ставки), комісію за користування кредитом та терміни сплати процентів/комісій;

3) зобов'язання боржника, які він має виконати для отримання кредиту (за потреби);

4) вимоги щодо застави/забезпечення за кредитом (за потреби);

5) умови, яких повинен дотримуватися боржник протягом дії кредитного договору.

154-1. Кредитне рішення, ухвалення якого не є автоматичним, крім інформації, зазначеної в пункті 154 глави 18 розділу II цього Положення, повинно містити:

1) список осіб, які брали участь у прийнятті рішення, їх повноваження та особисту позицію кожної особи;

2) строк дії кредитного рішення (строк, протягом якого банк має право укласти договір та видати кредит/надати гарантію/надати аваль/відкрити акредитив, а в разі кредитної лінії - строк, протягом якого банк має право укласти угоду, яка створює зобов'язання банку з кредитування).

154-2. Банк має право включати в кредитне рішення інформацію шляхом посилання на внутрішньобанківський документ/типовий договір, у якому зазначена така інформація, якщо він затверджений відповідним колегіальним органом банку.

155. Кредитне рішення має базуватися на висновках підрозділів, визначених в пункті 152 глави 18 розділу II цього Положення, та виключати суб'єктивне судження, що базується на факторі впливу акціонерів, керівників банку або третіх осіб з метою схвалення рішень щодо видачі кредитів на умовах, що можуть зашкодити або шкодять інтересам банку.

Висновки підрозділів у разі використання банком процесу автоматичного ухвалення кредитних рішень, визначених у пункті 152 глави 18 розділу II цього Положення, повинні бути враховані під час побудови, тестування і валідації моделі та затвердження умов відповідного кредитного продукту.

156. Банк надає кредити пов'язаним з банком особам на умовах, які не відрізняються від умов надання таких видів кредитів іншим особам.

157. Члени ради банку або колегіальних органів, які мають право ухвалювати кредитне рішення, не можуть бути залученими до схвалення рішення щодо видачі кредитів особам, пов'язаним з ними.

158. Банк надає кредит пов'язаній з банком особі, загальна сума боргу якої перед банком перевищує/перевищуватиме 1% регулятивного капіталу банку для фізичної особи або 3% регулятивного капіталу банку для юридичної особи, після ухвалення радою банку прийнятого правлінням банку або іншим колегіальним органом правління банку рішення про надання такого кредиту.

159. Банк створює підрозділ(и), що виконує(ють) функції кредитного адміністрування, що у взаємодії з кредитним підрозділом, забезпечує належне супроводження кредиту протягом його видачі та моніторингу, уключаючи:

1) моніторинг кредитної справи боржника;

2) надання дозволу на перерахування коштів згідно з кредитним договором, що надається тільки після отримання та перевірки повноти пакета документів, отримання забезпечення та виконання інших умов, необхідних для надання кредиту (якщо це передбачено кредитним договором), крім випадків, коли система автоматично здійснює верифікацію та реалізацію прийнятого рішення, відповідно до алгоритму дій, затвердженого колегіальним органом банку;

3) контроль установлених значень лімітів;

4) моніторинг виконання умов кредитного договору щодо погашення відсотків та основної суми боргу;

5) моніторинг дотримання боржником інших умов кредитного договору;

6) моніторинг своєчасного перегляду наявності та стану збереження забезпечення, а також переоцінки його ринкової (справедливої) вартості.

160. Підрозділ кредитного адміністрування для уникнення конфлікту інтересів повинен:

1) бути незалежним від підрозділів, що здійснюють активні банківські операції;

2) отримувати винагороду, що не залежить від таких показників, як обсяг кредитів та обсяг прибутку, отриманого банком у короткостроковому періоді.

161. Банк забезпечує формування кредитної документації (справи) боржника відповідно до вимог Положення № 351.

Кредитна справа боржника має включати всю інформацію, необхідну для належної оцінки кредитного ризику, уключаючи оцінку поточного фінансового стану боржника на індивідуальній основі, а також контроль за виконанням умов, передбачених у кредитному рішенні та зазначені в кредитному договорі.

162. Банк забезпечує належне зберігання кредитної справи боржника, що мінімізує ризик її знищення або псування в результаті обставин непереборної сили (форс-мажор), а також дій працівників банку або третіх осіб. Переміщення, додавання або тимчасове вилучення документів має бути задокументованим та проводитися виключно особами, які мають такі повноваження. Банк забезпечує періодичний внутрішній контроль за повнотою кредитної справи боржника.

163. Банк здійснює на постійній основі моніторинг портфеля кредитів на рівні кожної активної операції/групи фінансових активів, уключаючи достатність сформованих банком резервів під очікувані кредитні збитки та величини кредитного ризику відповідно до вимог Положення № 351.

164. Банк розробляє та впроваджує комплексні процедури та інформаційні системи щодо управління ризиками для моніторингу портфеля кредитів на рівні кожної активної операції/групи фінансових активів. Банк у цих процедурах визначає підходи до раннього виявлення у боржників/контрагентів ознак потенційної проблемності, заходи щодо запобігання збільшенню кредитного ризику та перелік управлінської звітності.

165. Банк запроваджує ефективну систему кредитного моніторингу на рівні кожної активної операції/групи фінансових активів, яка включає такі заходи:

1) оцінку поточного фінансового стану боржника для кредитів, що оцінюються на індивідуальній основі;

2) моніторинг виконання умов кредитного договору щодо погашення відсотків та основної суми боргу;

3) моніторинг дотримання боржником інших умов кредитного договору;

4) моніторинг своєчасного перегляду наявності та стану збереження забезпечення, а також його ринкової (справедливої) вартості;

5) впровадження та функціонування системи раннього реагування відповідно до вимог Положення № 97;

6) своєчасне інформування керівників банку стосовно виявлених проблем з метою вжиття заходів для запобігання збільшенню кредитного ризику.

166. Банк створює систему моніторингу якості кредитів на груповій основі, яка відповідає характеру, масштабу та структурі портфеля кредитів банку.

167. Банк здійснює моніторинг портфеля кредитів, під час якого забезпечує оцінку таких показників:

1) якості портфеля кредитів залежно від кількості днів прострочення боргу в розрізі:

боржників або групи пов'язаних контрагентів;

боржників, що мають спільний вид економічної діяльності;

боржників одного географічного регіону;

кредитних продуктів;

2) структури застави/забезпечення за кредитами;

3) повноти сформованих банком резервів під очікувані кредитні збитки відповідно до вимог МСФЗ та величини кредитного ризику відповідно до вимог Положення № 351.

Банк має право здійснювати моніторинг портфеля кредитів, що забезпечує оцінку інших показників додатково до встановлених у пункті 167 глави 19 розділу II цього Положення.

168. Банк проводить перегляд кредитів (credit review) не пізніше ніж через один рік з дати видачі кредиту та в подальшому - не рідше ніж один раз на рік.

169. Метою перегляду кредитів є:

1) перевірка правильності оцінки фінансового стану боржника, коефіцієнтів ймовірності дефолту (PD) та втрат у разі дефолту боржника/контрагента (LGD), ринкової (справедливої) вартості забезпечення, розміру резервів під очікувані кредитні збитки та величини кредитного ризику;

2) визначення плану подальших дій банку щодо боржника.

170. Банк використовує результати перегляду кредитів для удосконалення процедур надання, моніторингу кредитів та контролю за дотриманням цих процедур.

171. Предметом перегляду кредитів є кредити, за якими обсяг боргу щодо одного боржника (без урахування суми сформованих резервів під очікувані кредитні збитки) станом на дату перегляду становить:

1) більше двадцяти розмірів мінімальної заробітної плати, установленої законодавством України - для боржника - пов'язаної з банком особи;

2) більше 1 % загального обсягу портфеля кредитів банку (без урахування сум сформованих резервів під очікувані кредитні збитки) - для інших кредитів.

172. Банк визначає процедуру перегляду кредитів, що включає:

1) перелік, функції та порядок взаємодії учасників процесу перегляду кредитів, їх повноваження і відповідальність;

2) періодичність перегляду;

3) вимоги до переоцінки застави в рамках перегляду;

4) оцінку можливих змін у здатності боржника обслуговувати кредит;

5) вимоги до документування результатів перегляду;

6) вимоги до рекомендацій або дій, що можуть бути результатом перегляду;

7) вимоги щодо термінів та формату надання звітів про результати перегляду кредитів раді банку.

173. Перегляд кредитів проводиться колегіальним органом банку згідно з рівнем розподілу повноважень, що діють на момент перегляду кредитів.

174. Колегіальний орган банку здійснює перегляд кредитів з урахуванням актуальних висновків, а саме:

1) висновку кредитного підрозділу з пропозиціями відносно подальших дій щодо боржника;

2) висновку підрозділу з управління ризиками, що містить детальну оцінку ризиків боржника та динаміки їх зміни порівняно з датою видачі/останнього перегляду;

3) висновку щодо фінансового стану боржника, зовнішнього середовища, у якому він працює, та стану виконання ним зобов'язань за кредитним договором.

Колегіальний орган банку має право здійснювати перегляд кредитів з урахуванням інших актуальних висновків додатково до визначених у пункті 174 глави 20 розділу II цього Положення.

175. Колегіальний орган банку за результатами перегляду кредиту у разі обґрунтованої доцільності розробляє заходи щодо сприяння підвищенню або запобігання зниженню кредитної якості боржника.

176. Банк забезпечує контроль за оцінкою майна, яке банк отримав/має намір отримати в заставу, майна, яке банк набув/має намір набути у власність у рахунок погашення заборгованості боржника/контрагента (далі - майно).

177. Контроль за оцінкою майна передбачає:

1) здійснення на регулярній основі контролю за відсутністю конфлікту інтересів між керівниками банку та суб'єктом оціночної діяльності (далі - зовнішній оцінювач);

2) здійснення контролю за заміною (ротацією) оцінювача після двох послідовних оцінок ним одного і того самого майна;

3) здійснення на регулярній основі верифікації вартості майна;

4) здійснення бек-тестування вартості майна (порівняння вартості кожного проданого майна з вартістю його останньої оцінки після кожного такого продажу).