Направляємо для розгляду та надання у строк до 09.02.2004 пропозицій та зауважень до проекту Методичних вказівок щодо організації та функціонування систем ризик-менеджменту у банках України.

Національним банком України, для виконання положень проекту другої Базельської угоди про капітал, продовжується робота по розробці підходів та основних принципів для побудови в комерційних банках систем управління ризиками та системи нагляду на основі ризиків.

У додаток до Системи оцінки ризиків, яка розроблена, як методичні вказівки для фахівців банківського нагляду, Національним банком з урахуванням досвіду та найкращої практики побудови систем управління ризиками у провідних іноземних та вітчизняних банках, розроблено проект Методичних вказівок щодо організації та функціонування систем ризик-менеджменту у банках України.

Зазначені Методичні вказівки на першому етапі носитимуть рекомендаційний характер та розраховані на те, щоб допомогти банкам організувати діяльність систем управління ризиками. У подальшому планується частину рекомендацій визначити як мінімальні вимоги до систем управління ризиками у банках з відповідними заходами впливу до банків за їх недотримання.

При наданні пропозицій та зауважень прохання посилатися на вихідний реєстраційний номер даного документа та направляти інформацію на електронну скриньку 42MPBAN@U0H2.

Цей документ створено з метою викладення бачення Національного банку України щодо того, яким чином банки України мають підійти до організації та функціонування систем управління ризиками (ризик-менеджменту) з метою забезпечення їх комплексності та надійності.

Документ розроблено на підставі Законів України "Про банки і банківську діяльність" та "Про Національний банк України", а також з урахуванням провідних міжнародних документів, які регламентують принципи корпоративного управління та ризик-менеджменту в банках. При підготовці документа також враховані досвід і найкраща практика побудови та функціонування систем управління ризиками в провідних вітчизняних та іноземних банках.

Чітке дотримання методичних вказівок Національного банку має на меті забезпечення здійснення банком операцій в межах допустимих параметрів ризиків та у такий спосіб, який забезпечить захист інтересів вкладників і кредиторів. У цьому сенсі методичні вказівки можуть бути використані будь-якими банками із будь-яким профілем (величиною) ризику в його повсякденній роботі.

Національний банк особливо наполегливо рекомендує банкам зважати на ці методичні вказівки у разі прийняття банком свідомого рішення щодо збільшення параметрів ризику - розширення діяльності, орієнтації на роботу з особливими продуктами та послугами, групами контрагентів тощо, - а також у тому випадку, коли банк у результаті будь-яких подій опиняється в ситуації, яка характеризується високим профілем ризику.

Вказівки вироблені на основі найкращої світової та вітчизняної практики і досвіду щодо банківської діяльності взагалі та ризик-менеджменту зокрема. Тому їх врахування дозволить уникнути непродуманих рішень і помилок, а також більш ефективно використовувати ресурси банку. Відповідальність за врахування вказівок покладається на вищі органи банків - спостережну раду та правління.

Банкам України наполегливо рекомендується дотримуватися в своїй роботі принципів корпоративного управління, що викладені в Стандартах ОЕСР (додаток 1). Ці стандарти є універсальними для всіх видів діяльності і їх дотримання є виключно важливим для тих установ, що працюють із залученими коштами, будуючи свою роботу на засадах довіри, лояльності та дбайливого ставлення до клієнтів.

Національний банк України залишає за собою право вносити корективи в викладені в цьому документі вказівки та рекомендації у разі зміни ситуації на внутрішньому чи зовнішніх ринках, появи нових підходів та методик ризик-менеджменту, а також із переходом банківської системи до нових, більш складних банківських продуктів і послуг. Національний банк також планує в майбутньому запровадити деякі із викладених в цьому документі рекомендацій в якості обов'язкових мінімальних вимог до банків.

В цьому розділі розглядаються основні концепції управління ризиками (ризик-менеджменту) та встановлюються параметри, яких банки повинні намагатися досягти в своїй роботі.

Управління ризиками - це процес, за допомогою якого банк виявляє (ідентифікує) ризики, проводить оцінку їх величини, здійснює їхній моніторинг і контролює свої ризикові позиції, а також враховує взаємозв'язки між різними категоріями (видами) ризиків. Комплекс дій з ризик-менеджменту має на меті забезпечити досягнення наступних цілей:

- ризики мають бути зрозумілими та усвідомленими банком та його керівництвом;

- ризики мають знаходитись у межах рівнів толерантності, встановлених спостережною радою;

- рішення з прийняття ризику мають відповідати стратегічним завданням діяльності банку;

- рішення з прийняття ризику мають бути конкретними і чіткими;

- очікувана дохідність має компенсувати прийнятий ризик;

- розподіл капіталу має відповідати розмірам ризиків, на які наражається банк;

- стимули до досягнення високих результатів діяльності мають узгоджуватися з рівнем толерантності до ризику.

З точки зору ризик-менеджменту, банківська діяльність зводиться до прийняття ризику і отримання за це відповідної компенсації (економічної вигоди).

Мета управління ризиками - сприяти підвищенню вартості власного капіталу банку, одночасно забезпечуючи досягнення цілей багатьох зацікавлених сторін, а саме:

- клієнтів та контрагентів;

- керівництва;

- працівників;

- спостережної ради і акціонерів (власників);

- органів нагляду;

- рейтингових агентств, інвесторів та кредиторів;

- інших сторін.

Процес управління ризиками має охоплювати всі види діяльності банку, які впливають на параметри його ризику.

Управління ризиками передбачає прийняття рішень та вжиття заходів, спрямованих на мінімізацію, уникнення, пом'якшення ризиків, їх страхування, встановлення лімітів їх величини і безпосереднє прийняття ризику.

Управління ризиками повинно відбуватися на тому рівні організації, де ризик виникає, а також за допомогою функцій незалежної перевірки і контролю ризиків - на найвищих рівнях управління і на рівні спостережної ради.

В своїй діяльності банки повинні намагатися створити комплексну систему ризик-менеджменту, яка б забезпечувала надійний процес виявлення, оцінки, контролю та моніторингу всіх видів ризику на всіх рівнях організації, в тому числі з врахуванням взаємозв'язку між різними категоріями ризиків, а також вирішувала питання конфлікту завдань між необхідністю отримання доходу та мінімізації ризиків.

При розробленні і запровадженні комплексної системи управління ризиками банку спостережна рада і правління повинні здійснити такі дії:

- запровадити організаційну структуру і механізм контролю, що як мінімум задовольняють вимогам, викладеним у цьому документі;

- забезпечити прийняття ризиків відповідно до очікувань акціонерів (власників) банку, стратегічного плану банку та нормативних вимог, а також поширення в банку єдиного розуміння його корпоративної культури щодо ризиків;

- виділити необхідні ресурси на створення та підтримку ефективної, комплексної та збалансованої системи управління ризиками;

- відобразити у систематичній документальній формі організаційну структуру і механізм контролю і забезпечити відповідний доступ до цих документів;

- узгодити організаційну структуру та систему контролю бізнес-процесів банку з відповідними системами дочірніх структур та інших підконтрольних організацій таким чином, щоб не зашкодити контрольованій і стабільній діяльності самого банку;

- забезпечити уникнення конфлікту інтересів на всіх рівнях системи управління ризиками;

- здійснювати аналіз ризиків з урахуванням можливості виникнення екстремальних обставин (стрес-сценарії), на основі яких банк має визначати відповідні надзвичайні заходи, наприклад, у вигляді плану на випадок кризових обставин;

- запровадити процедури і заходи запобігання стресовим ситуаціям, які можуть виникнути через дію певних внутрішніх факторів;

- розробляти процедури і заходи моніторингу адекватної капіталізації банку;

- чітко сформулювати політику (положення) банку щодо контролю ризиків і ведення справ у відповідності з критеріями надійності банківських операцій;

- забезпечувати систематичне здійснення аналізу ризиків з метою ідентифікації, контролю, моніторингу і оцінки величини всіх ризиків;

- розробити і запровадити заходи внутрішнього контролю, які б забезпечували належне дотримання вимог законодавства і нормативно-правових актів, виконання договірних та інших зобов'язань, належне дотримання положень і процедур, правил і норм, встановлених цими положеннями, а також відповідної ділової поведінки;

- створити незалежну службу з управління ризиками, яка повинна мати відповідні повноваження, ресурси, досвід і корпоративний статус, щоб не мати будь-яких перешкод у доступі до необхідної інформації, у формуванні та поданні управлінських звітів за результатами своїх досліджень. Звіти мають доводитися до бізнес-підрозділів, керівництва та, за необхідності, до правління та спостережної ради банку;

- створити службу внутрішнього аудиту, незалежну від операційних підрозділів банку і відокремлену від заходів поточного внутрішнього контролю, які входять до складу певних компонентів тих чи інших бізнес-процесів; обсяг діяльності служби внутрішнього аудиту має охоплювати всі види діяльності і всі підрозділи банку.

Управління ризиками, як правило, не має на меті усунення ризику, а натомість спрямоване на забезпечення отримання банком відповідної винагороди за прийняття ризику. Виключення становлять деякі ризики, щодо яких не існує кореляції між їх рівнем та величиною винагороди банку (наприклад, в Системі оцінки ризиків Національного банку України, до таких ризиків відноситься юридичний ризик, ризик репутації, стратегічний ризик та операційно-технологічний ризик).

Багато ризиків, на які наражається банк, за своєю суттю властиві банківській діяльності і є істотною частиною посередницької функції перерозподілу грошових ресурсів, яку виконують банки (наприклад, кредитний ризик). Для таких ризиків банк прагне оптимізувати співвідношення "ризик/дохідність", максимізуючи дохідність для заданого рівня ризику або мінімізуючи ризик, необхідний для забезпечення бажаного рівня дохідності. Таким чином, в даному випадку проявляється концепція управління ризиком.

Інші ризики часто є тією ціною, яку необхідно сплатити за право займатися даним бізнесом, наприклад, юридичний ризик. Як правило, такі ризики банк прагне або змушений знизити до певного граничного рівня, намагаючись при цьому понести щонайменші витрати. В даному випадку проявляється концепція мінімізації ризику.

Ризики діяльності банку виникають на основі як внутрішніх (ендогенних), так і зовнішніх (екзогенних) факторів. Важливим є те, що значна частина зовнішніх факторів знаходиться поза межами контролю з боку банку, а відтак банк не може мати повної впевненості щодо результатів майбутніх подій та часу їх виникнення.

Реалізація зовнішнього фактору ризику, на який наражається банк, може поставити під загрозу безперервність його діяльності. Тому в процесі аналізу ризиків банк в обов'язковому порядку повинен враховувати можливість виникнення екстремальних обставин (стрес-сценарій). Таким чином, банк повинен розробити відповідні нагальні заходи у формі плану дій на випадок кризових обставин, який підлягає регулярному оновленню та тестуванню. Такі плани дій є невід'ємною складовою частиною механізмів контролю ризиків банку.

Банк також повинен забезпечити наявність процедур та заходів щодо попередження стресових ситуацій, викликаних внутрішніми причинами. Банк зобов'язаний здійснювати моніторинг ризиків задля забезпечення обгрунтованого та надійного взаємозв'язку між загальними параметрами його ризиків та фінансовими ресурсами і фінансовими результатами через відповідні механізми контролю.

Виходячи з цього, механізм контролю повинен включати, серед іншого, процедури і заходи щодо моніторингу адекватної капіталізації банку.

Методика кількісної оцінки ризиків повинна базуватися на критерії економічної вартості капіталу та необхідності підтримання капіталу на рівні, який є необхідним для компенсації ризику.

Діяльність з управління ризиками здійснюється через організаційну структуру. Організаційну структуру визначають культура організації, розмір і складність відповідних бізнес-операцій, види ризику, що приймається, і суттєвість можливих негативних наслідків. Таким чином, в різних банках методи управління ризиками можуть відрізнятися.

Організаційна структура і механізми контролю банку повинні відображати його завдання і стратегію щодо управління ризиками, а також включати процедури їхнього визначення, оцінки та перегляду.

Організаційна структура і механізми контролю повинні:

- забезпечувати безперервність діяльності банку в цілому;

- забезпечити виявлення (ідентифікацію), вимір та контроль ризиків;

- відповідати характеру, розміру, ступеню складності операцій банку, в тому числі враховувати особливості функціональної чи дивізійної побудови банку;

- враховувати усі бізнес-процеси і ризики;

- забезпечувати періодичний перегляд та уточнення обраної стратегії управління ризиками та механізмів її реалізації;

- самі підлягати періодичному уточненню та вдосконаленню, враховуючи зміни ситуації та середовища.

Банк має забезпечити чіткий розподіл функцій, обов'язків та повноважень з ризик-менеджменту, а також чітку схему відповідальності згідно з таким розподілом.

Розподіл функцій і повноважень повинен охоплювати всі організаційні рівні і підрозділи банку. Особливо велике значення надається розподілу функцій з управління ризиками між спостережною радою та правлінням банку. Загальну стратегію управління ризиками в банку визначає спостережна рада, а загальне керівництво управлінням ризиками здійснює правління.

Необхідно також приділяти належну увагу розподілу функцій і повноважень з ризик-менеджменту між операційними та контрольними службами, особливо коли йдеться про забезпечення оптимального виконання функцій внутрішньобанківського контролю.

Розподіл обов'язків і підпорядкованість підрозділів повинні бути задокументовані і доведені до відома виконавців таким чином, щоб весь персонал банку повністю розумів свої функції, обов'язки та повноваження, свою роль в організації і процесі здійснення контролю, а також свою підзвітність.

В світовій практиці розрізняють чотири взаємопов'язаних етапи ризик-менеджменту:

- ідентифікація (виявлення) ризику;

- кількісна оцінка (вимірювання) ризику;

- управління ризиком;

- моніторинг ризику.

Підрозділи фронт-офісу мають нести відповідальність за оперативне управління ризиками, що пов'язані з їх діяльністю, згідно встановлених рівнів толерантності до ризиків та лімітів, а також за результати (як позитивні, так і негативні) від прийняття цих ризиків. Така відповідальність має існувати незалежно від наявності в структурі банку підрозділу (служби), що безпосередньо виконує функції з управління ризиками.

Оцінка ризиків повинна здійснюватися та підтверджуватися незалежною службою - виконавчим органом з ризик-менеджменту, який має ресурси, повноваження та досвід, достатній для оцінки ризиків, тестування ефективності заходів з управління ризиками та надання рекомендацій щодо здійснення відповідних коригуючих дій.

Крім того, інші органи та підрозділи банку залучаються до процесу ризик-менеджменту в межах їх функцій та повноважень, згідно принципів корпоративного управління та методичних вказівок, що викладені в цьому документі.

Незалежно від розвиненості та складності своїх операцій, банки мають розрізняти очікувані і неочікувані збитки.

Очікувані збитки - це збитки, про які керівництво знає або повинно знати з достатньою впевненістю, що вони можуть мати місце (наприклад, очікуваний відсоток дефолтів за портфелем операцій з кредитними картками). Звичайно такі збитки в тій чи іншій формі передбачають створення резервів.

Неочікувані збитки - це збитки, пов'язані з не передбачуваними подіями (наприклад, системною кризою, міжнародною фінансовою кризою тощо). "Буфером" для поглинання неочікуваних збитків виступає капітал банку.

Банк повинен забезпечити систематичне здійснення аналізу ризиків, спрямованого на їх виявлення та оцінку їх величини. Метою аналізу має бути поглиблення розуміння суті ризиків, на які наражається банк, та визначення, чи узгоджуються вони з його завданнями, стратегією та політикою. Тому такий аналіз повинен здійснюватися постійно як на рівні установи в цілому, так і на рівні окремих підрозділів, та включати виявлення, вимірювання та оцінку всіх видів ризиків, в тому числі зв'язок між різними категоріями ризику.

Аналіз ризиків повинен охоплювати всі продукти, послуги та процеси банку і передбачати як якісну оцінку відповідних ризиків, так і, де можливо, оцінку їхніх кількісних параметрів. Керівництво банку повинно знати результати аналізу ризиків та враховувати їх в своїй роботі.

Аналіз ризиків - це безперервний процес, який відтак повинен враховувати:

- зміни внутрішніх та зовнішніх умов;

- нові продукти, послуги, процеси;

- плани на майбутнє.

В результаті аналізу ризиків можна дійти висновку, що ризики даного банку не відповідають - або перестали відповідати - обраним параметрам, або що обрані параметри ризиків не відповідають або перестали відповідати завданням та стратегії банку. Може також виявитися, що організаційна структура і механізми контролю банку не узгоджуються зі змінами в параметрах ризиків. Тому оцінка ризиків повинна супроводжуватися можливим переглядом завдань, обраної стратегії та розробленої організаційної структури та механізмів контролю.

Аналіз ризиків може виявити ризики, які не були виявлені раніше та/або які не можна мінімізувати за допомогою відповідних процедур та заходів контролю. В такому разі банк має прийняти рішення щодо прийнятності таких ризиків та доцільності подальшого здійснення того виду діяльності, на якому ці ризики грунтуються.

Аналіз ризиків повинен проводитись або перевірятись фахівцями, не залежними від виконання функцій пов'язаних з комерційною та/або фінансовою діяльністю - тобто прийняттям ризиків.

Для забезпечення належного виявлення, розуміння та управління ризиками у їх взаємодії між собою, вони не повинні розглядатися окремо один від одного. Аналіз, необхідний для виявлення та узагальнення ризиків, має проводитися на рівні, що дозволяє охопити банк у цілому, як на індивідуальній, так і на консолідованій основі.

Банк повинен забезпечити уникнення конфлікту інтересів. Аналіз ризиків повинен здійснюватися, а його результати повідомлятися зацікавленим сторонам без будь-якого впливу з боку керівників банку, відповідальних за той чи інший вид діяльності.

В цьому розділі розглядаються мінімальні вимоги та рекомендації щодо організаційної структури та методичного забезпечення банку в частині управління ризиками, а також мінімальні вимоги та рекомендації щодо основних аспектів функціонування підрозділів банку, задіяних в процесі ризик-менеджменту.

Процес ризик-менеджменту в банку повинен охоплювати всі його структурні щаблі та рівні - від вищого керівництва банку (спостережної ради та правління) до рівня, на якому безпосередньо приймається ризик.

Як мінімум, до процесу ризик-менеджменту повинні бути залучені такі структурні підрозділи банку:

- спостережна рада - в межах своїх функцій та відповідальності перед власниками банку;

- правління банку - в межах своїх повноважень та відповідальності перед спостережною радою банку, вкладниками/контрагентами та органами банківського нагляду;

- виконавчий орган з ризик-менеджменту - в межах своїх функцій щодо виявлення, кількісної оцінки, контролю та моніторингу ризику;

- бек-офіси - в межах своїх функцій контролю дотримання встановлених вимог;

- фронт-офіси - в межах своїх функцій прийняття на банк ризику в рамках доведених повноважень.

Функції всіх вищезгаданих структурних підрозділів повинні бути чітко визначені та задокументовані, а банк повинен зробити все належне для уникнення конфлікту інтересів між цими органами.

Виходячи з рівня розгалуженості структурної та філійної мережі кожного окремого банку, банкам рекомендується:

- створювати на рівні вищих колегіальних органів банку - спостережної ради та/або правління - окремі комітети, наприклад Комітет з ризик-менеджменту спостережної ради, - з метою оптимізації процесів загального нагляду за діяльністю банку в цьому аспекті;

- залучати незалежних експертів та інших спеціалістів для побудови системи внутрішнього контролю та оцінки її адекватності. Така рекомендація може бути виконана за допомогою залучення внутрішніх аудиторів банку в якості консультантів щодо побудови системи внутрішнього контролю, укладання угод про аутсорсинг консультаційних чи аудиторських послуг, а також через залучення зовнішніх аудиторів банку до тестування системи внутрішнього контролю;

- в залежності від обраної організаційної структури банку - функціональної чи дивізійної, а також обсягу та рівня складності операцій - здійснювати виділення підрозділів та проводити розподіл функцій між ними на рівні територіальних чи інших утворень (філій, відділень, департаментів, управлінь тощо).

В кожному банку має бути розроблена система нормативних актів щодо ризик-менеджменту. До переліку нормативних актів в обов'язковому порядку повинні входити:

- місія, цілі та завдання банку, а також стратегія його роботи щодо окремих видів ризиків, які затверджуються спостережною радою банку або її Комітетом з ризик-менеджменту. Разом ці внутрішньобанківські документи визначають толерантність банку до того чи іншого ризику окремо та до комплексу ризиків в цілому;

- бізнес-плани, положення, політики, процедури та інші регламентні документи, що розробляються та затверджуються правлінням банку в світлі стратегічних документів банку та вказують на реальні шляхи досягнення встановлених цілей і виконання передбачених процесів. Основною вимогою до цих документів є їх узгодженість між собою та із стратегічними документами банку;

- регламенті документи колегіальних, функціональних та територіальних підрозділів, посадові інструкції, ліміти та повноваження, які розробляються та доводяться до виконання відповідно до практики корпоративного управління в банку і мають на меті забезпечити безпосередню реалізацію банківської діяльності.

Банк має забезпечити своєчасну актуалізацію внутрішньої нормативної бази банку у разі зміни вимог законодавчого, регулятивного чи нормативного характеру, а також організаційної структури банку та рівня його толерантності до ризику. Банк також має забезпечити доведення внутрішньої нормативної бази банку до відома всіх відповідних виконавців, в тому числі через періодичне навчання та підвищення кваліфікації.

З метою піднесення ефективності процесу створення нормативної бази банку наполегливо рекомендується залучати членів спостережної ради банку до всіх етапів створення регламентних документів банку, принаймні тих з них, які мають затверджуватися на рівні спостережної ради.

Рекомендується, щоб стратегія банку затверджувалася спостережною радою та вміщувала принаймні такі аспекти:

- визначення рівня толерантності банку до ризиків;

- розмежування функцій і відповідальності спостережної ради і правління банку, профільних комітетів і підрозділів банку в процесі управління ризиками;

- встановлення єдиної методології ідентифікації і оцінки ризиків банку;

- встановлення ефективної системи підтримки прийняття управлінських рішень з урахуванням рівня ризиків, з яким працює банк;

- забезпечення проведення банківських операцій у відповідності до встановлених політик, процедур і регламентів;

- забезпечення життєздатності банку в кризових ситуаціях (в разі системної кризи або близького до системної кризи);

- оптимізація очікуваних прибутків та збитків та зниження рівня неочікуваних збитків.

Також рекомендується, щоб регламентні документи банку - політики, положення та процедури - які затверджуються правлінням банку, мали наступну структуру викладення:

- загальні положення та визначення ключових термінів. Цей розділ повинен містити посилання на основні нормативно-правові акти і документи, на підставі яких був розроблений документ, а також чітке визначення термінів, які вживаються в документі;

- цілі документа. Цілі повинні бути недвозначними і висловленими у формі переліку;

- межі застосування. В цьому розділі визначається коло питань, що входять до компетенції цього документа;

- карта ризиків. У даному розділі повинен бути приведений перелік і визначення ризиків банку, на які розповсюджується дана політика;

- положення політики. Даний розділ повинен містити детальний опис положень політики. В цьому розділі необхідно визначити принципи управління ризиками, розподіл повноважень і принципи взаємодії між учасниками процесу управління ризиками (правління і профільні комітети банку, підрозділу фронт- і бек-офісів), структура внутрішніх і зовнішніх лімітів, моделі оцінки і прогнозування ризиків;

- звітність. Цей розділ повинен містити ключові елементи процесу підготовки і надання звітності. Дотримання цих елементів повинне легко перевірятися, а вимоги до звітності повинні бути викладені у вигляді переліку з вказівкою періодичності їх подання (щоденні, щотижневі, щомісячні і т. д.). Форми звітів повинні бути приведені в додатках;

- системи підтримки. Даний розділ повинен визначати системи ІТ, які повинні використовуватися для менеджменту ризиків, і основні вимоги щодо розробки нових систем (автоматизована банківська система, спеціалізоване програмне забезпечення тощо);

- супровід політики. У цьому розділі необхідно вказати перелік підрозділів, які повинні супроводжувати політику і системи підтримки;

- заключні положення. У даному розділі повинні бути приведені терміни перегляду політики і визначений регламент внесення змін;

- додатки. У додатках має бути представлена детальна інформація щодо методик, регламентів, інструкцій, техніка оцінки ризиків, теоретичного обгрунтування моделей, процедур перевірки адекватності моделей, приклади звітів і т. п.

Спостережна рада банку призначається із числа його власників і повинна складатися мінімум із п'яти осіб, які мають бездоганну ділову репутацію. Члени спостережної ради банку, як мінімум, повинні:

- розуміти значні ризики, з якими працює або планує працювати банк;

- розуміти потреби банку у капіталі;

- аналізувати хід виконання планів щодо операційної та фінансової діяльності банку та вимагати від виконавчих органів пояснення розходжень між запланованими і фактичними рівнями;

- використовувати власне незалежне судження при здійсненні загального нагляду за операціями банку, діяти незалежно від правління в інтересах власників банку та його стабільної і довготривалої роботи;

- оцінювати на регулярній основі ефективність і обережність дій правління щодо управління операціями банку і ризиками, на які наражається банк.

Кількість членів спостережної ради має відповідати розмірам та потребам банку.

В залежності від рівня складності та обсягів операцій банку, а також переліку ризиків, з якими банк працює або планує працювати, рекомендується, щоб:

- принаймні троє членів спостережної ради мали досвід роботи в банківській сфері на керівних посадах;

- спостережна рада формувала із числа своїх членів Комітет з ризик-менеджменту, на який повинні покладатися функції, визначені в статті 15 даного документа;

- члени Комітету з ризик-менеджменту спостережної ради:

- мали достатнє розуміння процесів ризик-менеджменту, в тому числі методів та прийомів виявлення і кількісної оцінки ризиків;

- розуміли всі ризики, з якими банк працює або планує працювати;

- передбачали та планували потреби банку у капіталі виходячи з його поточного та очікуваного профілю ризику;

- Комітет з ризик-менеджменту спостережної ради проводить регулярні наради з метою загального спрямування процесу управління ризиками, в тому числі із заслуховуванням рекомендацій внутрішніх та зовнішніх аудиторів, а також наглядових органів в частині вдосконалення цього процесу;

- Комітет з ризик-менеджменту спостережної ради принаймні двічі на рік звітував перед спостережною радою, а також мав повноваження скликати позачергові збори спостережної ради у разі виникнення потреби.

Спостережна рада банку, виходячи із своїх функцій та загальновизнаних принципів корпоративного управління, має визначати основні контури організаційної структури банку з метою забезпечення виконання всіх етапів процесу ризик-менеджменту: виявлення (ідентифікації), оцінки, контролю та моніторингу ризиків. Для виконання цього завдання спостережена рада має:

- визначити основні контури організаційної структури банку, в тому числі кількість, обов'язки і повноваження комітетів спостережної ради та правління, а також порядок їх підпорядкування та підзвітності;

- забезпечити чітке відокремлення в організаційній структурі банку системи управління ризиками від системи внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту);

- забезпечити наявність необхідних заходів адміністративного та іншого контролю, які б гарантували виконання підрозділами ризик-менеджменту та внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту) своїх завдань неупереджено та незалежно один від одного та від основної діяльності банку, в тому числі через призначення керівників цих функціональних підрозділів;

- на регулярній основі проводити, в тому числі через Комітет з ризик-менеджменту спостережної ради, перегляд та оцінку адекватності системи внутрішнього контролю, внутрішнього аудиту та ризик-менеджменту, а також вносити відповідні корективи у разі потреби.

З метою більш повного дотримання принципів надійного корпоративного управління та забезпечення стабільності роботи банку, рекомендується, щоб спостережна рада банку додатково здійснювала такі заходи:

- погоджувала організаційну структуру банку, деталізовану принаймні до рівня основних виконавчих, функціональних та територіальних підрозділів;

- погоджувала призначення та звільнення керівників окремих найбільш важливих виконавчих, функціональних чи територіальних підрозділів банку;

- вела кадровий резерв банку (планувала наступництво керівного складу банку);

- визначала основні принципи функціонування систем внутрішнього аудиту та ризик-менеджменту;

- на регулярній основі вимагала від внутрішнього та зовнішнього аудиту винесення рекомендацій щодо вдосконалення систем внутрішнього контролю та ризик-менеджменту;

- вимагала від правління банку вжиття заходів щодо реалізації отриманих рекомендацій стосовно покращання систем внутрішнього контролю, а також контролювала хід їх виконання.

Спостережна рада банку як вищий постійний орган банку, який представляє інтереси його власників, несе відповідальність за визначення стратегії роботи банку в цілому. На виконання цього завдання спостережна рада має проводити принаймні наступну роботу:

- розробляти місію, цілі та завдання банку;

- визначати і затверджувати стратегію діяльності банку і його бізнес-плани за значними операціями, також проводити періодичну (як мінімум щорічну) оцінку адекватності стратегії діяльності банку напрямам та темпам його розвитку та вносити необхідні зміни і корективи;

- чітко визначати рівень толерантності банку до ризику ("апетит до ризику") через прийняття та періодичний (як мінімум, раз на рік) перегляд відповідних регламентних документів;

- розробити та затвердити належну політику управління капіталом з урахуванням значних операцій банку, у тому числі положення щодо кількості та якості капіталу, необхідного для забезпечення поточних і запланованих операцій банку, а також періодично (принаймні раз на рік) переглядати її;

- розробити і затвердити необхідні стратегії і положення стосовно контролю діяльності банку та періодично (як мінімум, щорічно) розглядати їх впровадження і вживати заходів щодо створення і підтримання ефективної системи внутрішнього нагляду (внутрішнього аудиту та внутрішнього контролю) і системи управління ризиками у відповідності з організаційною структурою та цілями діяльності банку.

З метою оптимізації процесів банку та забезпечення їх стабільності спостережна рада банку має додатково вживати такі заходи щодо забезпечення визначення стратегії роботи банку:

- забезпечити, щоб всі політики, положення та інші регламенті документи банку, які визначають його "апетит до ризику", були виваженими, обережними та відповідали поточній ситуації в банку та в економіці;

- понад мінімально необхідну частоту перегляду регламентних документів - раз у рік - здійснювати більш частий їх перегляд та актуалізацію у разі виникнення потреб з метою забезпечення їх адекватності поточній та очікуваній діяльності банку, його економічному оточенню, ресурсам та досягнутим результатам;

- передбачити в регламентних документах банку щодо ризиків чіткий взаємозв'язок між рівнем ризику, на який готовий йти банк, та мінімальним рівнем необхідної дохідності, а також між рівнем ризику банку та рівнем його капіталу (процедури алокації капіталу);

- здійснювати регулярні заходи щодо отримання підтвердження наявності в банку безперервного, адекватного та ефективного процесу управління ризиками та капіталом.

Спостережна рада банку має дбати про відсутність в банку конфлікту інтересів, який може зашкодити його надійній роботі та подальшому існуванню. Для цього спостережна рада, як мінімум, має:

- забезпечити уникнення будь-якого конфлікту (а також його видимості) між приватними інтересами своїх членів і членів правління і комерційними інтересами банку, або конфлікту між іншими посадами, які можуть обіймати члени спостережної ради і правління, і комерційними інтересами банку;

- встановити норми ведення діяльності і етичної поведінки для членів спостережної ради, правління і персоналу банку, а також отримувати на регулярній основі достатні підтвердження того, що банк має постійний, належний та ефективний процес забезпечення дотримання цих норм.

Оскільки реалізація конфлікту інтересів є серйозним порушенням системи внутрішнього контролю, що може поставити під загрозу не тільки ефективність роботи банку, але і його існування взагалі, рекомендується:

- запровадити вимоги до працівників банку, в тому числі керівників, щодо самостійного повідомлення про наявність конфлікту інтересів;

- включати питання виявлення конфлікту інтересів до програми перевірок службою внутрішнього аудиту;

- направляти звіти про результати виявлення конфлікту інтересів до спостережної ради з метою вжиття заходів щодо їх уникнення.

Наведені в цій статті функції входять до компетенції спостережної ради. Відповідно до рекомендації статті 11, з метою забезпечення ефективності виконання цих функцій, банкам рекомендується створити Комітет з ризик-менеджменту спостережної ради. У разі, якщо спостережна рада прийме рішення не створювати цей Комітет, то визначені в цій статті рекомендації мають застосовуватися до всієї спостережної ради банку.

У разі створення в банку Комітету з ризик-менеджменту спостережної ради, до його складу мають входити принаймні три члени спостережної ради. Обов'язки Комітету мають визначатися спостережною радою. Як мінімум, Комітет виконує такі завдання:

- готує рішення спостережної ради щодо організаційної структури банку в частині:

- забезпечення виділення підрозділів, які задіяні до процесу ризик-менеджменту (згідно статті 9);

- забезпечення відокремлення функцій внутрішнього нагляду (внутрішнього контролю та внутрішнього аудиту) від функції ризик-менеджменту (згідно статті 12);

- контролює підготовку внутрішньої нормативної бази банку щодо ризик-менеджменту (згідно статті 10);

- готує рішення спостережної ради щодо визначення стратегії банку в частині ризик-менеджменту (згідно статті 13);

- здійснює контроль за уникненням конфлікту інтересів в банку (згідно статті 14).

Банкам наполегливо рекомендується включити до переліку функцій Комітету з ризик-менеджменту спостережної ради наступні питання:

- отримання достовірної та точної інформації стосовно:

- рішень правління банку;

- ризикової позиції банку в усіх визначених сферах ризику;

- результатів моделювання, стрес-тестів і бек-тестування, а також відповідних висновків;

- співвідношення ризику/винагороди для всіх продуктів, послуг і операційних функцій;

- розгляд всіх звітів, підготовлених виконавчим органом з ризик-менеджменту, підрозділом внутрішнього аудиту, зовнішніми аудиторами та органами банківського нагляду;

- здійснення моніторингу даних щодо позицій і ціноутворення; рівнів ризику та порушень лімітів;

- щоквартальне звітування перед повним складом спостережної ради про:

- свою діяльність за попередні три місяці;

- стан ризикової позиції банку за продуктами, послугами і операційними функціями;

- факти недотримання положень та встановлених лімітів, а також надає рекомендації щодо удосконалення процесу управління ризиками банку.

Правління банку як вищий виконавчий орган банку, що підзвітний спостережній раді банку, має взаємодіяти із спостережною радою з питань ризик-менеджменту, виходячи із загальноприйнятих принципів корпоративного управління та ієрархії процесів управління ризиками. Така взаємодія має, як мінімум, складатися із двох складових - звітування та подання рекомендацій.

У частині звітування перед спостережною радою (або Комітетом з ризик-менеджменту спостережної ради) правління банку повинно принаймні:

- визначати значимість виявлених (ідентифікованих) ризиків та, у разі потреби, належним чином своєчасно звітувати перед спостережною радою щодо таких ризиків;

- надавати спостережній раді своєчасні, змістовні, точні і повні звіти щодо реалізації стратегії діяльності банку і його бізнес-планів за значними операціями і щодо фактичних операційних та фінансових результатів банку у порівнянні з прогнозними результатами;

- надавати спостережній раді своєчасні, змістовні, точні і повні звіти щодо управління значними ризиками і щодо процедур та засобів контролю для управління цими ризиками;

- забезпечувати уникнення будь-якого конфлікту (або його видимості) між приватними інтересами своїх членів і комерційними інтересами банку або конфлікту між іншими посадами, які можуть обіймати члени правління, і комерційними інтересами банку, а також своєчасно повідомляти спостережну раду у разі виникнення такого конфлікту.

У частині винесення рекомендацій спостережній раді (або Комітету з ризик-менеджменту спостережної ради) правління банку, як мінімум, повинно:

- розробляти і подавати спостережній раді на розгляд і затвердження завдання, стратегію діяльності і бізнес-плани банку (за значними операціями), а також зміни до них, в яких в обов'язковому порядку мають враховуватися економічне оточення банку, його фінансовий стан і ризики, на які він наражається або наражатиметься при проведенні своїх поточних і запланованих операцій;

- розробляти та подавати на розгляд та затвердження спостережною радою внутрішні нормативні документи щодо ризик-менеджменту, а також зміни до них, в межах своєї компетенції (згідно статті 17);

- розробляти та подавати на розгляд та затвердження спостережною радою плани дій на випадок кризових ситуацій.

Додатково наполегливо рекомендується щоб правління банку:

- принаймні раз на рік здійснювало перегляд вироблених завдань, стратегії діяльності та бізнес-планів банку з метою визначення їх відповідності поточним реаліям, а також виносило рекомендації спостережній раді щодо внесення необхідних змін та корегувань в ці документи;

- рекомендувати спостережній раді внести зміни до внутрішніх нормативних документів у разі виникнення потреб, тобто частіше за рекомендований щорічних строк;

- звітувало перед спостережною радою або Комітетом з ризик-менеджменту спостережної ради за всіма ризиками, з якими працює чи планує працювати банк, в тому числі в розрізі нових продуктів та послуг, нових сегментів ринку чи нових напрямів діяльності;

- у разі потреби, надавало спостережній раді консультації та роз'яснення в частині процесів та методів управління ризиками;

- здійснювало процес звітування у форматі офіційних зустрічей або нарад із залученням всіх членів спостережної ради, на додаток до офіційних письмових звітів.

Правління банку є вищим виконавчим органом банку, який несе відповідальність за безпосередню організацію та реалізацію процесу ризик-менеджменту в банку, тобто за забезпечення виявлення (ідентифікації), оцінки, контролю та управління ризиками, враховуючи взаємозв'язок між його різними категоріями (видами). Для реалізації цього завдання правління банку має як мінімум:

- розуміти всі без виключення ризики, з якими банк працює або планує працювати, а також взаємозв'язок між різними категоріями (видами) ризиків;

- включити до внутрішніх нормативних документів банку власне бачення класифікації ризиків та їх визначень (карту ризику), та періодично (не рідше одного разу на рік) здійснювати перегляд цих документів з метою їх актуалізації;

- розробити та затвердити внутрішні регламенті документи банку щодо управління окремими ризиками (як мінімум - всіма значними для даного банку ризиками), в тому щодо їх прийняття, обмеження, уникнення, страхування та хеджування, а також забезпечити постійну адекватність і ефективність цих документів через внесення до них відповідних змін та доповнень у відповідь на зміни зовнішніх або внутрішніх факторів;

- розробити та затвердити внутрішні банківські положення та процедури щодо кількісної оцінки ризиків. Періодично (не рідше одного разу на рік) здійснювати перегляд цих процедур та положень з метою їх актуалізації та врахування останніх методичних та програмних розробок в практиці ризик-менеджменту;

- встановлювати і застосовувати належні й ефективні процедури і засоби контролю для управління ризиками, на який наражається банк, здійснювати моніторинг дотримання цих процедур і засобів контролю, а також забезпечувати їх постійну адекватність та ефективність шляхом перегляду та внесення необхідних змін;

- забезпечувати доведення до відома відповідних працівників банку планів на випадок кризових обставин з метою поінформування їх про можливі додаткові обов'язки та порядок дії у ситуаціях, що можуть виникнути.

Виходячи із кращої світової та вітчизняної практики організації процесу ризик-менеджменту, додатково рекомендується:

- залучати до процесу розробки внутрішньої нормативної бази щодо класифікації ризиків та їх кількісної оцінки відповідних висококваліфікованих працівників виконавчих органів з ризик-менеджменту, а також зовнішніх експертів;

- залучати до процесу розробки процедур та заходів контролю та моніторингу управління ризиками, в якості консультантів, висококваліфікованих працівників підрозділу з внутрішнього аудиту банку, а також зовнішніх експертів;

- сформулювати план на випадок кризових обставин у вигляді збірника рекомендацій та забезпечити наявність цього збірника у відповідних працівників банку, в тому числі своєчасну заміну старих його варіантів на нові;

- забезпечити постійне підвищення кваліфікації керівного складу та працівників банку щодо ризик-менеджменту.

Одним із найголовніших завдань правління банку є формування тактики роботи щодо ризик-менеджменту в світлі затверджених спостережною радою місії, цілей та завдань банку, а також його стратегії поводження із різноманітними ризиками. При виконанні цього завдання правління, як мінімум, має:

- проводити оперативний контроль за роботою виконавчого органу з ризик-менеджменту, а також бути обізнаним у справах інших колегіальних органів банку, які у той чи інший спосіб залучені до процесу прийняття чи контролю ризиків (наприклад, кредитного комітету, комітету з активів та пасивів тощо);

- здійснити формалізований процес ідентифікації ризиків у продуктах, послугах, функціональних та організаційних підрозділах банку. Періодично (не рідше одного разу на рік) здійснювати перегляд продуктів та підрозділів банку з метою виявлення нових або додаткових ризиків;

- брати активну участь у процесі розробки продуктів та послуг банку, в тому числі в процесі визначення їх вартості для контрагентів (ціни продуктів та послуг), з метою забезпечення дотримання оптимального співвідношення між їх ризикованістю та доходом банку;

- у рамках вимог законодавства, нормативно-правових актів та внутрішніх регламентних документів самого банку, здійснювати планування діяльності банку та контролювати досягнення запланованих показників діяльності;

- оцінювати на сукупній основі різні види ризику банку, із якими він працює або планує працювати, в розрізі окремих контрагентів, груп контрагентів, галузей (видів діяльності) та географічних регіонів тощо.

У процесі здійснення функції контролю та управління ризиками правління банку може делегувати частину своїх функцій, повноважень та безпосереднього керування ризиками профільним колегіальним виконавчим органам банку (комітету з управління активами та пасивами, кредитному комітету, тарифному комітету тощо).

Оскільки ефективність роботи банку щодо виконання стратегічних завдань великою мірою залежить від того, наскільки вдалою виявиться обрана тактика реалізації цих завдань, а також від того, наскільки повно вона врахує всі фактори впливу і наскільки добре буде доведена до відома виконавців, банкам наполегливо рекомендується таке:

- забезпечити входження членів правління банку в усі без винятку виконавчі колегіальні органи, які у той чи інший спосіб залучені до прийняття ризику чи його контролю. Участь членів правління в роботі таких органів має бути активною і спрямованою на забезпечення виконання встановлених цілей та стратегічних завдань банку. Члени правління мають регулярно звітувати перед повним складом правління, а у разі потреби - перед спостережною радою - щодо роботи виконавчих колегіальних органів банку;

- під час виявлення (ідентифікації) ризиків, з якими працює або планує працювати банк, враховувати ризики, які проявляються як в самому банку, так і в його дочірніх структурах або інших установах, що входять до складу консолідованої банківської групи. Потрібно також здійснювати комплексну кількісну оцінку таких ризиків, в тому числі із застосуванням сценаріїв та припущень.

Виконавчий орган банку з ризик-менеджменту - це операційний (тобто не функціональний) підрозділ банку, в якому зосереджені функції реалізації процесу управління ризиками конкретного банку. Основною вимогою до цього підрозділу є його повна незалежність (структурна та фінансова) від підрозділів банку, які приймають ризик (фронт-офісів) та підрозділів, які реєструють факт прийняття ризику та контролюють його величину (бек-офісів). Крім цього, керівник виконавчого органу з ризик-менеджменту повинен мати достатньо високий статус в банку задля забезпечення його незалежності від керівників інших операційних чи функціональних підрозділів.

Рекомендується, щоб керівник виконавчого органу з ризик-менеджменту був членом правління банку, а також його профільних комітетів, та мав право вето на рішення цих органів у тому разі, якщо вони призведуть до здійснення ризикових операцій, що можуть становити загрозу інтересам вкладників та інших кредиторів банку або завдати шкоди належному веденню банківської діяльності. Сам виконавчий орган з ризик-менеджменту має підпорядковуватися безпосередньо голові правління (керівнику вищого виконавчого органу банку) з метою забезпечення його функціональної незалежності.

Вкрай важливим є забезпечення уникнення будь-якого конфлікту інтересів між виконавчим органом з ризик-менеджменту та іншими підрозділами банку - фронт-офісами та бек-офісами, а також комплектація цього підрозділу відповідними висококваліфікованими кадрами. З цією метою банкам наполегливо рекомендується:

- у процесі планування фінансових показників діяльності банку виділяти в бюджеті (кошторисі) банку витрати на утримання та забезпечення виконавчого органу з ризик-менеджменту окремо від витрат на утримання та забезпечення інших підрозділів банку;

- встановити такий механізм оплати праці працівників виконавчого органу з ризик-менеджменту, який би не мав жодної залежності від рівня ризику, який приймає на себе банк, або у будь-який інший спосіб не стимулював би до порушення незалежності;

- забезпечувати постійне підвищення кваліфікації працівників підрозділу.

Виконавчий орган з ризик-менеджменту є окремим структурним підрозділом банку може носити будь-яку назву: департамент, управління, відділ тощо. Виходячи із принципу превалювання сутності над формою, цей орган оцінюється не за своєю назвою, а за своїми функціями.

До функцій виконавчого органу з ризик-менеджменту, як мінімум, входить:

- забезпечення проведення кількісної оцінки або формалізованого аналізу на основі визначених показників тих ризиків, з якими банк працює або планує працювати;

- розробка та подання на затвердження правлінням банку методики оцінки ризиків. Така методика має забезпечувати можливість зіставлення різних ризиків, а також величини одного ризику в часі;

- розробка інфраструктури для отримання даних від інших систем, створення системи для автоматизованого ведення та обробки бази даних щодо ризиків, а також для забезпечення безперервного моніторингу і оцінки різних ризиків;

- розробка та актуалізація засобів аналізу ризиків і методик для нових та діючих моделей, в тому числі їх бек-тестування;

- накопичення спостережень (історичних даних) для порівняльного аналізу;

- здійснення моніторингу даних щодо позицій та цін; здійснення моніторингу ризикових позицій; ідентифікація і моніторинг порушення лімітів; аналіз можливих сценаріїв; підготовка загального опису ризикових позицій і звітування про них правлінню (або у разі потреби - спостережній раді банку або її Комітету з ризик-менеджменту);

- забезпечення координації з іншими підрозділами і сферами діяльності банку;

- на основі проведеного аналізу величини ризиків банку та всіх факторів, які можуть призводити до її зниження (страхування, хеджування тощо), а також рівня розвитку систем управління конкретними ризиками банку, винесення рекомендацій правлінню щодо подальшої тактики роботи з цими ризиками, в тому числі за допомогою встановлення лімітів та інших обмежень, аж до заборони проведення операції;

- подання рекомендації спостережній раді і правлінню щодо необхідних вимог до капіталу з метою покриття неочікуваних збитків і збитків, пов'язаних з ризиками, виявленими (ідентифікованими) і виміряними кількісно з використанням методики найгіршого сценарію;

- надання допомоги спостережній раді і правлінню у розробці і впровадженні політики, положень і процедур з управління ризиками.

При виконанні покладених на виконавчий орган з ризик-менеджменту функцій рекомендується таке:

- надавати вищим керівним органам банку рекомендації щодо використання капіталу банку, розподілу (алокації) капіталу поміж структурними підрозділами та щодо розподілу капіталу за видами ризиків (наприклад, кредитним, ринковим, операційним тощо);

- при забезпеченні кількісної оцінки та аналізу ризиків, мають визначатися процеси моделювання для нових фінансових продуктів та проводитися їх випробування;

- виконавчий орган з ризик-менеджменту є найбільш логічним підрозділом для здійснення функції ведення нормативної бази документів стосовно положень з ризик-менеджменту і забезпечення доступу до них для відповідного персоналу;

- при наданні методичної підтримки правлінню та спостережній раді (Комітету з ризик-менеджменту спостережної ради) банку в частині забезпечення повного циклу ризик-менеджменту, виконавчий орган з ризик-менеджменту має враховувати наступне:

- організацію і обсяг діяльності служби управління ризиками;

- методи управління ризиками;

- обсяг обов'язків і відповідальності стосовно функції управління ризиками спостережної ради, Комітету з управління ризиками спостережної ради, правління та профільних колегіальних виконавчих органів банку;

- стратегії управління ризиками з урахуванням балансу між різними ризиками і капіталом банку;

- методи встановлення лімітів ризику і процедури усунення порушень лімітів ризику;

- процес і спосіб інформування і звітування перед спостережною радою, Комітетом з управління ризиками, правлінням та іншими зацікавленими сторонами;

- обов'язкові затвердження і підтвердження, які мають надаватися за певних обставин.

Служба внутрішнього аудиту - це функціональний підрозділ, який здійснює нагляд за дотриманням системи внутрішнього контролю в банку, а також виносить судження щодо її достатності та ефективності.

Згідно вимог законодавства України та найкращої світової практики корпоративного управління, служба внутрішнього аудиту підпорядковується спостереженій раді банку (або Аудиторському комітету спостережної ради) та не допускає будь-якого втручання в свою роботу з боку будь-яких виконавчих органів банку.

Служба внутрішнього аудиту не бере безпосередньої участі в процесі ризик-менеджменту, її роль зводиться до оцінки адекватності систем управління ризиками потребам банку. Виходячи з цього, найголовнішим є забезпечення її незалежності від будь-яких інших виконавчих органів, які залучені до цього процесу ризик-менеджменту. Для цього служба внутрішнього аудиту банку має відповідати всім вимогам, які висуваються до незалежності виконавчого органу з ризик-менеджменту банку і викладені в статті 19.

Додаткові рекомендації щодо забезпечення незалежності служби внутрішнього аудиту банку аналогічні додатковим рекомендаціям щодо забезпечення незалежності виконавчого органу з ризик-менеджменту, що викладені в статті 19. На додаток до них рекомендується, щоб служба внутрішнього аудиту підтримувала тісні стосунки із зовнішніми аудиторами банку та службою банківського нагляду з метою забезпечення своєчасного виявлення та усунення можливих проблем або недоліків в процесі ризик-менеджменту банку.

Як мінімум, служба внутрішнього аудиту банку має:

- здійснювати аудит процесів та процедур банку з ризик-менеджменту аналогічно аудиту будь-якої іншої функції банку. При цьому аудиторську діяльність слід здійснювати відповідно до стандартів внутрішнього аудиту, викладених у чинному законодавстві щодо внутрішнього аудиту. Якщо такі стандарти не передбачені в чинному законодавстві або якщо вони не є достатньо чіткими у контексті даного положення (документа), до уваги мають братися відповідні Стандарти професійної практики внутрішнього аудиту Інституту внутрішніх аудиторів;

- оцінювати достатність та ефективність систем внутрішнього контролю банку в частині ризик-менеджменту та виносити рекомендації спостережній раді щодо їх вдосконалення;

- сприяти забезпеченню результативності і ефективності операцій, достовірності, повноти і своєчасності фінансової й управлінської інформації, а також повної відповідності діяльності банку чинним законам і нормативно-правовим актам.

Виходячи із специфічності діяльності банку з управління ризиками та необхідності наявності глибоких професійних знань в сфері ризик-менеджменту для її оцінки, банкам рекомендується, у разі потреби, розглядати можливість здійснення внутрішнього аудиту ризик-менеджменту із залученням третіх осіб (тобто на умовах аутсорсингу).

4. Рекомендації до системи управління окремими видами ризиків

В цьому розділі розглядаються рекомендації щодо управління наступними категоріями ризиків:

Вищенаведена класифікація повністю узгоджується з класифікацією ризиків за Методичними вказівками з інспектування банків "Системою оцінки ризиків", що дозволяє суб'єктам банківської системи мати чіткі і прозорі орієнтири відносно побудови системи управління ризиками в банках, а також внутрішнього і зовнішнього аналізу ефективності її роботи.

Національний банк України усвідомлює, що наведена класифікація не є вичерпною і що кожний банк може доповнювати її власним баченням категорій ризиків. У цьому випадку банк має розробити власну нормативну базу щодо управління додатково визначеними категоріями ризиків, у тому числі із урахуванням кращої світової та вітчизняної практики, зокрема Базельського комітету з банківського нагляду, а також Стандартів корпоративного управління, що наведені в додатку.

Кредитний ризик - це наявний або потенційний ризик для надходжень та капіталу, який виникає через неспроможність сторони, що взяла на себе зобов'язання, виконати умови будь-якої фінансової угоди із банківською установою або в інший спосіб виконати взяті на себе зобов'язання.

Кредитний ризик присутній в усіх видах діяльності, де результат залежить від діяльності контрагента, емітента або позичальника. Він виникає кожного разу, коли банк надає кошти, бере зобов'язання про їх надання, інвестує кошти або іншим чином ризикує ними відповідно до умов реальних чи умовних угод незалежно від того, де відображається операція - на балансі чи поза балансом.

При оцінці кредитного ризику доцільно розділяти індивідуальний та портфельний кредитний ризик.

Джерелом індивідуального кредитного ризику виступає окремий, конкретний контрагент банку - позичальник, боржник, емітент цінних паперів. Оцінка індивідуального кредитного ризику передбачає оцінку кредитоспроможності такого окремого контрагента, тобто його індивідуальну спроможність своєчасно та в повному обсязі розрахуватися за прийнятими зобов'язаннями.

Портфельний кредитний ризик проявляється у зменшенні вартості активів банку (іншій, аніж внаслідок зміни ринкової процентної ставки). Джерелом портфельного кредитного ризику виступає сукупна заборгованість банку за операціями, яким притаманний кредитний ризик, - кредитний портфель, портфель цінних паперів, портфель дебіторської заборгованості тощо. Оцінка портфельного кредитного ризику передбачає оцінку концентрації та диверсифікації активів банку.

Міжнародному кредитуванню, крім кредитного ризику, притаманний ризик країни, який виникає через особливості економіки, соціального ладу та політичного устрою країни позичальника. Ризик країни особливо помітний при кредитуванні іноземних урядів або їхніх установ, оскільки таке кредитування зазвичай незабезпечене. Проте цей ризик повинен завжди враховуватися у кредитній та інвестиційній діяльності - не має значення, в якому секторі - державному чи приватному.

Існує також компонент ризику країни, відомий як трансферний ризик, який виникає в тому випадку, коли заборгованість позичальника не номінована в національній валюті. Незважаючи на фінансовий стан позичальника, валюта заборгованості може просто виявитися недоступною для нього.

Система управління кредитним ризиком банку складається із регламентних документів - політик, положень, процедур, процесів тощо, - які затверджуються спостережною радою або правлінням банку відповідно до обраної ним форми корпоративного управління, з урахуванням розміру банку та складності його операцій.

Система управління кредитним ризиком має включати, як мінімум, такі компоненти:

- політику та положення щодо управління кредитним ризиком, які мають бути розглянуті та затверджені спостережною радою або правлінням банку, відповідно до принципів корпоративного управління. Такі політика та положення повинні підлягати періодичному перегляду, як це передбачено статтею 10 цього документа;

- Положення щодо кредитування, які враховують як балансові, так і позабалансові операції банку, а саме:

- регламентують типи і умови кредитів, які надаватиме установа;

- враховують характер ринків та галузей, яким надаватимуться кредити;

- передбачають розгляд до взяття зобов'язання про надання кредиту: загального фінансового стану позичальника, характеру та вартості застави, характеру позичальника та його готовності погасити кредит згідно з угодою, а також фінансової відповідальності гаранта;

- адекватно враховують концентрацію кредитного ризику і пов'язаних із ним потенційних ризиків;

- інші питання, що пов'язані із кредитуванням, зокрема, порядок та процедуру визначення процентної ставки за кредитом та необхідної застави.

- положення щодо лімітів ризику на одного контрагента, групу взаємопов'язаних контрагентів, за галузями або секторами економіки, за географічними регіонами або іншими кредитними операціями, які можна розглядати в сукупності (експозиціями); ці положення мають враховувати всі компоненти кредитного ризику, як балансові, так і позабалансові, на які наражається установа, а також можливий вплив інших категорій ризиків;

- чітко визначену і продуману систему повноважень з прийняття рішень щодо ухвалення кредитних операцій;

- комплексну систему оцінки кредитного ризику;

- належну інформаційну базу, яка:

- дозволяє керівництву приймати обгрунтовані кредитні рішення і оцінювати ризик на постійній основі;

- надає інформацію про розмір, призначення та джерело заборгованості, а також дозволяє оцінити здатність позичальника своєчасно її погасити;

- забезпечує можливість застосування відповідних правових санкцій проти позичальника;

- надає можливість здійснювати адекватне адміністрування і моніторинг кредиту;

- дозволяє підтримувати зберігання і обробку даних за попередні періоди.

- процес ідентифікації кредитів, якість яких погіршується, та належної роботи із проблемними активами, яка включає наступне:

- процес безперервного управління кредитними експозиціями (операціями в їхній сукупності), що вимагають посиленої уваги;

- періодичні перевірки якості активів для ідентифікації проблемних активів;

- методику ідентифікації, оцінки, обліку кредитів, чия якість погіршується, та створення під них відповідних резервів;

- порівняння загальних сум проблемних активів з капіталом;

- оцінку потенційних збитків за проблемними активами і формування резервів, достатніх для поглинання таких збитків;

- підготовку та подання періодичних звітів керівництву і спостережній раді із достатньою інформацією для оцінки рівня ризику.

Ці звіти мають включати наступне, але не обмежуватись цим:

- перелік кредитів у розрізі класифікації за ризиком;

- аналіз проблемних кредитів;

- оцінку напрямку ризику у кредитному портфелі;

- інформацію про проблемні кредити за кредитними інспекторами, філіями, галузями, видами забезпечення тощо;

- аналіз змін рівня резервів банку на основі рівня і тенденцій змін проблемних активів і загальної суми кредитів;

- аналіз концентрації кредитів за клієнтами, пов'язаними з ними особами, галузями економіки і регіонами;

- функцію незалежних перевірок кредитної діяльності, чиїм призначенням є аналіз якості як окремих кредитів, так і кредитного портфеля(ів) у цілому. Результати цього аналізу мають надаватися правлінню і спостережній раді на регулярній основі.

Крім того, для більш ефективного управління кредитним ризиком рекомендується:

- створити, запровадити в експлуатацію та постійно актуалізовувати систему внутрішніх кредитних рейтингів;

- на основі реальних спостережень принаймні щоквартально обчислювати матрицю ймовірностей міграції кредитних рейтингів та оцінювати на основі такої матриці величину необхідних резервів під кредитні збитки у наступних періодах;

- проводити бек-тестування міграції внутрішніх кредитних рейтингів на реальних даних за максимально можливий період часу.

Банкам також наполегливо рекомендується враховувати найкращий світовий досвід щодо управління кредитним ризиком, який, зокрема, викладений в документі Базельського комітету з банківського нагляду "Принципи управління кредитним ризиком" (N 75 вересень 2000 року).

Ризик ліквідності визначається як наявний або потенційний ризик для надходжень та капіталу, який виникає через неспроможність банку виконати свої зобов'язання у належні строки, не зазнавши при цьому неприйнятних втрат. Ризик ліквідності виникає через нездатність управляти незапланованими відтоками коштів, змінами джерел фінансування та/або виконувати позабалансові зобов'язання.

Виділяють також ризик ліквідності ринку, який визначається як наявний або потенційний ризик для надходжень та капіталу, який виникає через нездатність банку швидко закрити розриви своїх позицій за поточними ринковими ставками, не зазнавши при цьому неприйнятних витрат. Ризик ліквідності ринку виникає через нездатність визначати або враховувати зміни ринкових умов, які впливають на спроможність залучати кошти в необхідних обсягах та за прийнятними ставками та/або реалізовувати активи швидко і з мінімальними втратами вартості.

Система управління ризиком ліквідності складається із регламентних документів - політик, положень, процедур, процесів тощо, - які затверджуються спостережною радою або правлінням банку відповідно до обраної ним форми корпоративного управління, з урахуванням розміру банку та складності його операцій.

Система управління ризиком ліквідності включає, як мінімум, наступні компоненти:

- політика і положення з управління ліквідністю і активами/зобов'язаннями, в тому числі положення щодо джерел ліквідності, котрі мають підтримуватись банком. Ці документи мають бути розглянуті та затверджені спостережною радою або правлінням банку відповідно до принципів корпоративного управління;

- адекватні та ефективні процедури і засоби контролю щодо управління ризиком ліквідності, які підлягають перегляду на регулярній основі з метою забезпечення їх актуальності;

- процес визначення потреб у поточній та майбутній ліквідності та фінансуванні, необхідних банку для проведення своїх операцій;

- регулярний процес ідентифікації і звітування про концентрації зобов'язань за клієнтами і пов'язаними з ними особами за всіма валютами;

- набір форм звітності для спостережної ради, правління або профільних колегіальних органів банку щодо позиції ліквідності та необхідності у фінансуванні;

- план на випадок кризових обставин щодо ліквідності та фінансування і запровадження порядку регулярного уточнення цього плану.

Крім того, для підвищення ефективності управління ризиком ліквідності банк вибирає для себе прийнятні компоненти системи управління ризиком ліквідності з нижче наведених або використовує інші досконалі підходи:

- розробку і подання спостережній раді або правлінню на розгляд і затвердження положення щодо джерел ліквідності, які розглядаються у розрізі їх видів, рівнів ліквідності, строків до погашення та валют.

- визначення потреби у ліквідності та фінансуванні банку оцінюються з урахуванням операцій, що проводяться через його дочірні структури, а також з урахуванням стану та потреб у ліквідності групи, до якої входить банк.

- впровадження системи моніторингу, що базується на методі єдиного фондового пулу або на ідентифікації розривів ліквідності за активами та зобов'язаннями у національній та в іноземній валютах, строк погашення яких настає протягом відповідних майбутніх періодів часу, та на інших сучасних методах, наприклад, симуляції грошових потоків;

- розроблення методики аналізу сезонних тенденцій потоків коштів на період у майбутньому, достатній для потреб банку.

Банкам також наполегливо рекомендується враховувати найкращий світовий досвід управління ліквідністю, який, зокрема, викладений в документі Базельського комітету з банківського нагляду "Надійна практика управління ліквідністю в банківських організаціях" (N 69 лютий 2000 року).