Письмо РБ
№ 23-14/67 от 30.12.2011. Об организации системы управления рисками в банках
Банки
Структурные подразделения
Национального банка
Республики Беларусь
(по списку)
Организация системы управления рисками в банке является важным элементом корпоративного управления. С целью организации эффективной системы управления рисками банкам следует руководствоваться требованиями к локальным нормативным правовым актам (далее - ЛНПА) банка по управлению рисками, установленными Инструкцией о нормативах безопасного функционирования для банков и небанковских кредитно-финансовых организаций, утвержденной постановлением Правления Национального банка Республики Беларусь от 28 сентября 2006 г. N 137, рекомендательными письмами Национального банка об управлении отдельными рисками в банках и совершенствовании практики стресс-тестирования, а также приведенными ниже рекомендациями Национального банка. Помимо этого, банкам целесообразно учитывать международные стандарты и наилучшую международную практику, обобщенные в документах Базельского комитета по банковскому надзору, Европейской банковской организации EBA, а также стандарты качества по управлению рисками ISO 31000, GARP, COSO, Технический кодекс устоявшейся практики "Банковские технологии. Управление рисками в сфере информационных технологий".
Надлежащим образом организованной может признаваться система управления рисками, которая имеет всеобъемлющий характер, интегрирована в деятельность банка в целом, обеспечивает эффективное управление рисками и капиталом в целях поддержания финансовой надежности и стабильного функционирования банка, в том числе выполнение пруденциальных требований, и предусматривает следующие аспекты.
Органам управления банком следует принимать постоянное и действенное участие в организации и функционировании системы управления рисками и нести ответственность в рамках своих полномочий.
Совету директоров (наблюдательному совету), который несет ответственность за деятельность банка, следует обеспечивать общую организацию системы управления рисками, исключение конфликта интересов и условий его возникновения в деятельности банка между подразделениями (должностными лицами), генерирующими риски, и подразделениями (должностными лицами), осуществляющими контроль за этими рисками. Совет директоров (наблюдательный совет) утверждает стратегию управления основными рисками, присущими банку, а также определяет допустимый (безопасный) уровень рисков (толерантность к риску), отражающий стратегию ведения бизнеса, характер, масштабы, сложность видов деятельности банка, адекватный его финансовому положению и роли в банковском секторе страны.
При совете директоров (наблюдательном совете) целесообразно создать комитет по рискам, в функции которого в том числе входят общее руководство и обеспечение деятельности системы управления рисками. В соответствии с лучшей международной практикой такой комитет, как правило, возглавляет лицо, обладающее достаточной компетенцией в области управления рисками и являющееся независимым директором. В состав такого комитета могут входить как члены совета директоров (наблюдательного совета), так и иные лица, обладающие достаточной квалификацией и опытом в области управления рисками, в том числе должностное лицо, ответственное за управление рисками в банке.
Исполнительный орган банка организует систему управления рисками и обеспечивает выполнение банком целей и задач, установленных советом директоров (наблюдательным советом) в данной области. Исполнительный орган утверждает политику, методику и процедуры управления банковскими рисками, разработанные во исполнение стратегии, устанавливает порядок и периодичность предоставления органам управления банка управленческой отчетности (информации) по управлению рисками, обеспечивает их эффективное применение на практике.
При этом исполнительный орган несет ответственность за ограничение риск-аппетита руководителей подразделений и его поддержание на допустимом (безопасном) уровне, соответствующем стратегии банка. Безопасность допустимого уровня рисков определяется способностью банка без существенных потерь (убытков) управлять риском в рамках данного уровня, обеспечивая своевременное исполнение своих обязательств в полном объеме.
Исполнительный орган также несет ответственность за поддержание адекватного риск-профиля, под которым понимается сочетание показателей риска, основанных на собранной, проанализированной и классифицированной информации, характеризующее подверженность риску направлений деятельности с учетом стратегии, политики и приоритетов банка в отношении принимаемых рисков. Для наглядной оценки профиля рисков, которым подвержен банк, может применяться карта рисков, в которой отображаются риски с указанием вероятности их возникновения и уровня возможных потерь с использованием принятой в банке методики оценки.
Политика, методика и процедуры должны быть задокументированными, последовательными, иметь степень детализации, адекватную уровню и существенности принимаемых рисков, а также масштабам и сложности деятельности банка, применяться единообразно во всех его подразделениях. Они должны обеспечивать предоставление органам управления банком своевременных и достоверных сведений об уровне рисков в целом по банку и его риск-профиле для принятия в случае необходимости соответствующих корректирующих мер.
Стратегию, политику, методику и процедуры следует не реже чем один раз в год подвергать оценке на адекватность, в том числе с учетом существенных для банка изменений в его деятельности и состоянии, а также изменений на финансовом рынке. По результатам такой оценки уполномоченным органом должно приниматься обоснованное решение о внесении в данные документы корректировок с целью обеспечения их актуализации.
Организационную структуру системы управления рисками следует формировать с учетом организационно-функциональной структуры банка. В зависимости от масштабов деятельности банка, перечня и объемов осуществляемых им операций, а также сложности его организационной структуры могут применяться модели построения системы управления рисками с большей или меньшей степенью централизации.
В небольших банках с более простой структурой целесообразно использовать в максимальной степени централизованную модель управления, когда функциями управления рисками наделено специальное подразделение банка. В более крупных банках со сложной организационной структурой может быть оправданной большая степень децентрализации процессов управления рисками с созданием нескольких профильных подразделений и (или) назначением должностных лиц, управляющих наиболее существенными для банка видами рисков. При этом целесообразно также создавать централизованное подразделение по управлению рисками банка в целом с целью координации деятельности децентрализованных подразделений и обобщения информации о риск-профиле банка в целом.
Независимо от используемой модели организационная структура системы управления рисками, генерируемые ею информационные потоки, распределение областей ответственности и полномочий должностных лиц, порядок их осуществления, взаимодействие между подразделениями, подчиненность и подотчетность подразделений, осуществляющих управление рисками, порядок принятия решений должны быть организованы таким образом, чтобы исключить конфликт интересов между подразделениями (должностными лицами) банка, генерирующими риски, и теми, кто осуществляет контроль за рисками и несет ответственность за управление ими. Это достигается в первую очередь посредством освобождения подразделений (должностных лиц), осуществляющих управление рисками, от выполнения любых иных функций в банке. Кроме того, такая структура должна обеспечивать предоставление целостной и неискаженной картины о риск-профиле банка органам управления банка.
В этих целях банку следует назначить должностное лицо, ответственное за управление рисками в банке в целом, которое должно обладать достаточно широкими полномочиями, статусом и независимостью для эффективного выполнения возложенных на него обязанностей, что может быть достигнуто путем включения такого должностного лица в состав исполнительного органа банка и (или) подчинения непосредственно руководителю банка, а также подотчетности совету директоров (наблюдательному совету), что в том числе означает: его назначение и освобождение от должности советом директоров (наблюдательным советом); определение советом директоров (наблюдательным советом) условий оплаты его труда; регулярное рассмотрение советом директоров (наблюдательным советом) его отчетов. Такое лицо может также входить в состав комитета по рискам, создаваемого при совете директоров (наблюдательном совете) в целях обеспечения его членов наиболее полной и оперативной информацией о риск-профиле банка и состоянии системы управления рисками.
В зависимости от избранной банком модели построения системы управления рисками и степени ее централизации должностное лицо, ответственное за управление рисками в банке в целом, может непосредственно возглавлять структурное подразделение, осуществляющее управление рисками в банке, либо направлять деятельность такого подразделения и (или) подразделений (должностных лиц), осуществляющих управление отдельными видами рисков.
Банку следует обращать особое внимание на квалификацию, достаточность знаний и опыта работы, а также деловую репутацию должностных лиц, ответственных за управление рисками в банке, а также иных руководителей, участвующих в процессе управления рисками и контроле за ними (руководители филиалов, структурных подразделений, службы внутреннего контроля, внутреннего аудита). Для этого банку целесообразно установить квалификационные требования и требования к деловой репутации для таких должностных лиц и проводить оценку соответствия этим требованиям как кандидатов на указанные должности при назначении, так и лиц, их занимающих, с устанавливаемой банком периодичностью, достаточной для обеспечения поддержания их квалификации и деловой репутации на должном уровне.
Кроме того, банку следует принять меры по обеспечению процесса управления рисками необходимыми для этого информационными ресурсами, квалифицированными специалистами и программно-техническими средствами, включая автоматизированную систему управления рисками (далее - АСУР).
Важно, чтобы система управления рисками позволяла банку осуществлять следующие процедуры в отношении каждого риска, присущего его деятельности.
Выявление (идентификация) риска предполагает выявление основных источников (факторов) риска, которые вызвали (могут вызвать) потери и (или) дополнительные затраты. Для этого банку рекомендуется осуществлять классификацию рисков (их видов, категорий) и разработать методику идентификации существенных (несущественных) для банка видов рисков, позволяющую помимо прочего выявлять новые риски, возникающие в его деятельности, в том числе в связи с началом осуществления им новых видов операций (внедрением новых продуктов), выходом на новые рынки. Сложность инструментов и процедур, используемых для управления рисками, должна быть адекватна их существенности. При выявлении (идентификации) отдельных видов рисков необходимо также принимать во внимание влияние других рисков (например, корреляция кредитного и валютного рисков, риска ликвидности и репутационного риска), а также концентрацию рисков.
Измерение (оценка) риска предполагает определение величины риска. Банку необходимо предусмотреть в ЛНПА методы количественной оценки, используемые в отношении кредитного, рыночного, операционного рисков, в том числе в соответствии с требованиями Национального банка к расчету достаточности капитала.
Кроме того, по мере совершенствования процедур управления рисками для более четкого представления об их реальном уровне банку следует разработать и формализовать в ЛНПА собственные внутренние методы оценки рисков, например:
подход на основании внутренних рейтингов должника (кредитный риск);
коэффициентный анализ ликвидности баланса банка, гэп-анализ, анализ денежных потоков (риск ликвидности);
математические (статистические) модели (рыночные риски);
балльно-весовой метод, метод оценочных карт (операционный риск);
гэп-анализ, дюрация, имитационное моделирование, стандартизированный процентный шок (процентный риск банковского портфеля);
модели оценки VaR (для любого вида риска) в случае их использования для определения величины потерь в рамках отдельных рисков и (или) величины экономического капитала банка, необходимого для их покрытия.
Для рисков, количественную оценку которых осуществить сложно (например, репутационный, стратегический риски), банку следует использовать методы качественной (экспертной) оценки для формирования мотивированного суждения об уровне риска.
Мониторинг рисков осуществляется путем регулярного ведения и анализа баз данных о клиентах, должниках, контрагентах, банках-корреспондентах, эмитентах ценных бумаг, залоговых активах, рыночной стоимости активов, курсов валют, операционных инцидентах, данных о частоте и последствиях инцидентов, приводящих к реализации рисков, связанных с информационными технологиями, и иных данных, получаемых из внутренних и внешних источников информации.
Кроме того, необходимыми элементами мониторинга являются изучение показателей деятельности банка независимо от выбранного метода оценки риска; анализ системы ключевых индикаторов (показателей или параметров), индикаторов раннего предупреждения каждого риска, связанных с его уровнем и показывающих потенциальные источники риска; установление и соблюдение порогового значения (лимита) для каждого индикатора; изучение внутренних и внешних факторов, оказывающих влияние на уровень риска. Система сбора, обработки и анализа информации, используемой для мониторинга рисков, предполагает наличие адекватного программного обеспечения в рамках АСУР банка.
Для обеспечения полноты охвата рисков банка мониторинг следует осуществлять на всех уровнях - от рисков, возникающих при осуществлении конкретной операции, до риск-профиля банка в целом в постоянном режиме. Мониторинг также предполагает наличие системы информирования исполнительного органа банка, совета директоров (наблюдательного совета), обеспечивающей представление регулярных, своевременных, точных и содержательных отчетов о текущем уровне рисков, соответствии этого уровня лимитной политике и толерантности к риску, определенной стратегией банка, чтобы обеспечить возможность немедленного реагирования в целях предотвращения или минимизации потерь.
Ограничение (снижение) риска предполагает осуществление банком комплекса мер, направленных на снижение вероятности наступления событий, приводящих к потерям (вплоть до отказа от принятия риска или его передачи третьей стороне), или уменьшение величины потерь в случае их наступления. Основными методами (инструментами) снижения рисков являются соблюдение нормативов ограничения рисков, установленных Национальным банком, распределение полномочий, осуществление регулярного контроля, установление в ЛНПА банка и соблюдение лимитов и иных ограничений, а также четкая регламентация посредством ЛНПА и выполнение порядка предоставления банковских продуктов, включая соблюдение требования по наличию ЛНПА до начала предоставления новых продуктов; установление в ЛНПА дифференцированных требований по ограничению рисков в отношении различных видов операций (например, по кредитным операциям - в отношении инвестиционных кредитов, кредитов, предоставляемых вновь созданным предприятиям, при кредитовании невалютоокупаемых проектов); наличие в ЛНПА и соблюдение коллегиальности принятия решений по операциям, несущим для банка существенные риски.
Для снижения отдельных рисков также используются такие методы (инструменты), как стандартизация бизнес-процессов, разработка типовых форм договоров и иных документов, диверсификация ресурсной базы и портфелей активов по инструментам, срокам, контрагентам, отраслям экономики; регулярная выверка первичных документов и счетов по проводимым операциям и другим сделкам; внедрение порядка взаимозаменяемости сотрудников (в т.ч. ключевых); соблюдение иерархии доступа к информации и материальным активам; обеспечение непрерывности деятельности при совершении операций; применение залога и иных способов обеспечения исполнения обязательств; страхование (например, зданий, сооружений, сотрудников, носителей информации, самой информации, рисков, профессиональной ответственности), хеджирование, аутсорсинг, иные способы передачи рисков третьим лицам и другие инструменты.
Одним из важнейших инструментов ограничения рисков является введение и соблюдение ограничений (лимитов) на осуществление отдельных направлений деятельности, видов сделок, отдельных операций. В этих целях банку следует сформировать систему лимитов (лимитную политику) и формализовать в ЛНПА процедуру контроля за их использованием.
Лимиты потерь устанавливаются для всех подразделений банка, генерирующих риски, и основываются на оценках потребности в капитале для покрытия данного риска. В существующей практике лимиты могут основываться на таких методах измерения риска, как VaR или EaR, позволяющих дать количественную оценку принимаемому риску и величине возможных потерь от его реализации. Если потребность в капитале на покрытие потерь от каких-либо рисков (например, стратегического или репутационного) сложно определить методом количественной оценки, для установления лимитов могут использоваться экспертные оценки, а величина лимитов определяться, например, в виде объема осуществляемых операций (сделок) в зависимости от величины капитала и с учетом концентрации рисков.
Систему лимитов целесообразно сформировать в виде многоуровневой структуры, включающей: общий лимит риска по банку (исходя из уровня риска, определенного в стратегии); лимиты по видам существенных для банка рисков, по подразделениям банка, ответственным за принятие существенных для банка рисков, по видам деятельности (бизнес-линиям), портфелям, типам финансовых инструментов; лимиты на отдельных заемщиков (контрагентов), отдельные инструменты (как правило, в виде предельной величины объема операций (сделок). В рамках системы лимитов целесообразно определить, являются лимиты жесткими (абсолютные лимиты, которые нельзя превышать ни при каких обстоятельствах) или мягкими (для них необходимо четко обозначить обстоятельства, при которых допускается их краткосрочное превышение), а также определить уровень, при достижении которого банк начинает принимать меры по снижению величины позиции, подверженной риску.
Выбор вида лимитов и степень их детализации зависят от состава позиций банка, подверженных риску, а также характера и сложности осуществляемой банковской деятельности. Независимо от структуры система лимитов должна обеспечивать незамедлительное представление отчетов о превышении предварительно установленных уровней риска и принятие надлежащих мер со стороны руководства.
Поскольку контроль риска является неотъемлемой частью деятельности банка, банку следует разработать и формализовать в ЛНПА процедуры контроля, а также механизм их соблюдения, включая меры на случай нарушений. Такой порядок подразумевает осуществление:
предварительного контроля, в частности, путем подбора квалифицированных кадров; разработки четких, детальных и недвусмысленных должностных инструкций, исключающих возникновение конфликта интересов, порядков осуществления операций; предварительного анализа рискованности и эффективности проводимых операций; обеспечения банка необходимыми техническими средствами, оборудованием, информационными технологиями;
текущего контроля, в частности, путем проверки соблюдения требований законодательства Республики Беларусь, ЛНПА банка по управлению рисками, установленных процедур принятия решений, лимитов и иных ограничений, порядка визирования, проведения платежей, достоверности отражения банковских операций в бухгалтерском учете;
последующего контроля, в частности, путем проверки обоснованности и правильности совершения операций, соответствия документов установленным формам, соответствия выполняемых работниками функций должностным инструкциям;
сопоставления понесенных и планируемых (прогнозных, смоделированных) потерь, сопоставления плановых и фактических показателей деятельности;
проведения оценки рисков банка подразделением (уполномоченным работником) банка по управлению рисками, а также оценки службой внутреннего аудита эффективности управления рисками в банке.
Результаты контроля лимитов следует включать в управленческую отчетность по рискам, а информацию о результатах оценки рисков и контроля за соблюдением установленных лимитов своевременно представлять должностному лицу, ответственному за управление рисками в банке в целом, и органам управления банком. Данную информацию целесообразно использовать при осуществлении корректирующих мероприятий, например: снижение уровня принятого риска; пересмотр стратегии банка относительно допустимого (безопасного) уровня риска; снижение риск-аппетита подразделения банка; увеличение величины капитала путем дополнительного привлечения его источников.
В рамках управления рисками банку также следует осуществлять мероприятия, направленные на компенсацию возможных потерь в случае реализации рисков.
В этих целях должны формироваться специальные резервы на покрытие возможных убытков по активам и операциям, не отраженным на балансе, в соответствии с законодательством, помимо которых банк может создавать иные резервы (общие и специальные) в случаях и порядке, установленных ЛНПА. Кроме того, банк может применять иные методы компенсации потерь, например устанавливать дифференцированный в зависимости от уровня риска размер премии за риск и включать ее в стоимость банковских продуктов (услуг).
Для эффективного управления рисками банку необходимо на регулярной основе осуществлять анализ устойчивости банка к рискам, в том числе потенциального воздействия на финансовое состояние банка возможных шоковых ситуаций (стресс-тестирование) в соответствии с утвержденной программой.
В программе проведения стресс-тестов определяются цели и задачи стресс-тестирования, основные этапы работы и их предназначение, четко распределяются полномочия и порядок их осуществления, определяются достаточные технические, информационные и человеческие ресурсы для создания и развития инфраструктуры стресс-тестирования и работы с данными, устанавливаются адекватная периодичность проведения стресс-тестов, порядок рассмотрения их результатов и доведения до руководства.
Помимо этого, банку следует разработать порядок использования результатов, полученных в процессе управления рисками, анализа устойчивости банка и стресс-тестирования. Такой порядок предусматривает регулярное информирование руководства банка, принятие решений, в том числе по исключениям в отношении установленных принципов, процедур и ограничений, а также в процессе формирования обоснованных подходов к стратегическому планированию развития деятельности и, в частности, к планированию капитала, совершенствования стратегии, политик и процедур по управлению рисками.
Банку также необходимо разработать и поддерживать в актуальном состоянии планы действий в кризисных ситуациях, включая планы действий на случай непредвиденных обстоятельств и планы финансирования в кризисных ситуациях.
Планы действий на случай непредвиденных обстоятельств разрабатываются в целях обеспечения непрерывности деятельности банка в случае возникновения неблагоприятных (кризисных) ситуаций. В частности, в таких планах следует предусмотреть процедуры и организационные аспекты действий банка в непредвиденных обстоятельствах - например, распределение ответственности членов исполнительных органов банка; имена, номера телефонов, адреса и обязанности членов кризисной команды; порядок взаимодействия с органами, осуществляющими надзор за деятельностью банков, крупными клиентами, прессой, инвесторами; координацию на управленческом уровне, то есть механизм внутреннего обмена информацией между исполнительными органами банка и его ключевыми бизнес-линиями и внутренними подразделениями в случае возникновения кризиса.
Планы финансирования в кризисных ситуациях предусматривают организацию действий по преодолению серьезного нарушения способности банка осуществлять фондирование нескольких или всех видов своей деятельности своевременно и по приемлемой цене. Эти планы могут разрабатываться в виде свода политик, процедур и планов действий, в которых следует предусмотреть четкое описание мер для сохранения капитала, ликвидности и платежеспособности банка в стрессовых ситуациях; основные альтернативные сценарии - временное нарушение ликвидности при обычном проведении операций, когда финансирование банку требуется только на короткий срок; более долгосрочный кризис ликвидности - как системный, так и специфический для банка; сценарий, когда банк более не считается в целом экономически состоятельным. Также в планах следует указать конкретные источники кризисного финансирования и прогнозный объем ресурсов, который может быть получен из этих источников; установить порядок, сферы компетенции и иерархию принятия решений в случае проблем с ликвидностью; определить временные рамки принятия таких решений при различных допущениях и стрессах. Данные планы должны быть в необходимых объемах согласованы с планами действий на случай непредвиденных обстоятельств.
Руководству банка необходимо осуществлять контроль за исполнением планов, пересматривать и корректировать их с периодичностью, определенной политикой управления рисками, с учетом изменения рыночных условий.
Важнейшим элементом системы управления рисками является периодическая и независимая проверка ее эффективности, которая осуществляется службой внутреннего аудита банка и (или) независимыми экспертами. Подразделения банка, генерирующие основные объемы рисков банка, следует подвергать проверке на систематической основе. В ходе внутреннего аудита проверяется полнота применения и эффективность методологии оценки рисков и процедур управления рисками (методик, программ, правил, порядков и процедур совершения банковских операций и сделок), оценка рисков отражается в материалах проверок. Службе внутреннего аудита следует информировать совет директоров (наблюдательный совет) и исполнительный орган банка о состоянии системы управления рисками и системы внутреннего контроля, уровне рисков, обеспечении соблюдения законности и эффективности деятельности банка.
На основании суммарной оценки сложившегося уровня принятых рисков банка определяется его текущая потребность в капитале, минимальный уровень которого (нормативный капитал) определен Национальным банком. Если банк планирует развивать новые виды (направления) деятельности (продукты), осваивать новые для себя рынки или резко увеличивать объемы осуществляемых операций, что сопряжено с более высоким уровнем рисков, либо банк признает свою подверженность существенным рискам, для которых Национальным банком не предусмотрено обязательное покрытие капиталом (например, репутационный риск, рыночный риск ликвидности), либо избирает более консервативную (осторожную) стратегию деятельности, ему необходимо поддерживать капитал выше минимального нормативного уровня. Для оценки его совокупного объема банку необходимо разработать методику определения экономического капитала, включая как расчет потребности в капитале с использованием количественных инструментов измерения, так и выделение определенной суммы капитала для покрытия видов рисков на основании экспертной оценки.
Обращаем внимание, что при осуществлении Национальным банком надзора за деятельностью банков проводится оценка адекватности их систем управления рисками и капиталом. Наличие в банках локальных нормативных правовых актов по управлению рисками, разработанных с учетом требований, установленных нормативными правовыми актами Национального банка, а также рекомендаций, изложенных в настоящем письме, и иных рекомендаций по отдельным рискам и стресс-тестированию, международных стандартов и наилучшей международной практики; соблюдение утвержденных стратегии, политик и процедур, установление и поддержание допустимого (безопасного) уровня риска, использование количественных и качественных инструментов оценки рисков, расчет и поддержание экономического капитала на покрытие всех существенных рисков будут рассматриваться как факторы, улучшающие качество управления рисками, капиталом, внутреннего контроля и корпоративного управления банка.
Первый заместитель
Председателя Правления Н.В.Лузгин
Письма РБ – смежные документы:
- № 31-13/806 - 2011 год. Разрешение на покупку иностранной валюты
- № 16-2-4/571 - 2011 год. О направлении справочников
- № 10-15/165 - 2011 год. О применении законодательства
- № 02-3-04/7878 - 2011 год. Об определении стоимости проектных и изыскательских работ в текущих ценах
- № 31-13/803 - 2011 год. Разрешение на получение иностранной валюты при проведении валютных операций
Дополнительно:
- Письма (Перечень всех документов)
- «Об организации системы управления рисками в банках».doc