Лист : Про застосування норм Положення N 64

НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ

ЛИСТ
12.09.2018 N 22-0006/49411

Незалежній асоціації банків України
Асоціації українських банків
Банкам України

Про застосування норм Положення N 64

Національний банк України за результатами розгляду листів Незалежної Асоціації Банків України та банків щодо застосування окремих норм Положення про організацію системи управління ризиками в банках України та банківських групах, затвердженого постановою Правління Національного банку України від 11.06.2018 N 64 (далі - Положення N 64), повідомляє таке.

I. Щодо організаційної структури системи управління ризиками

Питання 1. Яке місце в організаційній структурі банку повинні займати підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс)?

Питання 2. Чи необхідно об'єднати в один структурний підрозділ банку структурні підрозділи, що забезпечують виконання функцій з управління ризиками у разі наявності в структурі Банку декількох підрозділів з управління ризиками? Чи може бути CRO керівником декількох структурних підрозділів?

Відповідно до пункту 16 глави 2 розділу I Положення N 64 банк організовує систему управління ризиками, яка ґрунтується на розподілі обов'язків між підрозділами банку із застосуванням моделі трьох ліній захисту, в якій підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) знаходяться на другій лінії.

Згідно з пунктом 32 глави 4 розділу I Положення N 64 підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) з метою забезпечення їх незалежності мають бути, зокрема:

організаційно та функціонально відокремлені від першої та третьої ліній захисту;

підзвітними та підпорядкованими раді банку.

Відповідно до підпункту 26 пункту 3 глави 1 розділу I Положення N 64 підрозділ з управління ризиками - це структурний підрозділ банку, до складу якого можуть входити один або кілька підрозділів, що забезпечують виконання функцій з управління ризиками, визначених законодавством України, цим Положенням.

Таким чином, керівник підрозділу з управління ризиками (далі - CRO) може бути керівником одного підрозділу (якщо організаційною структурою банку передбачено один підрозділ, що забезпечує виконання функцій з управління ризиками, визначених главою 7 Положення N 64) або структурного підрозділу, до складу якого входять декілька підрозділів (якщо організаційною структурою банку передбачено декілька підрозділів, що забезпечують виконання функцій з управління ризиками, визначених главою 7 Положення N 64).

Питання 3. Чи може CRO суміщати посади в тому ж банку, зокрема одночасно працювати за посадою фінансового директора банку?

Пунктом 10 глави 2 розділу I Положення N 64 визначено, що система управління ризиками банку має бути комплексною, адекватною, ефективною та відповідати визначеним принципам, зокрема, принципам незалежності та розмежування обов'язків (відокремлення функції контролю від здійснення операцій банку).

Пунктом 32 глави 4 розділу I Положення N 64 визначено, що для забезпечення дотримання банком принципу незалежності підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) - друга лінія захисту, мають бути організаційно та функціонально відокремлені від підрозділів (керівників підрозділів) першої та третьої ліній захисту.

Отже, покладання на CRO таких функцій, поєднання яких з функціями керівника підрозділу з управління ризиками може призвести до порушення принципів незалежності та розмежування обов'язків, у тому числі функцій фінансового директора, протирічить нормам Положення N 64.

Питання 4. Чи може член правління - заступник голови правління банку бути CRO або CCO?

Положення N 64 не встановлює заборони, щоб CRO або CCO водночас був членом правління чи заступником голови правління банку, за умови забезпечення відповідності системи управління ризиками банку принципам, визначеним у пункті 10 глави 2 розділу I Положення N 64, та дотримання критеріїв незалежності, встановлених у пункті 32 глави 4 розділу I Положення N 64, за яких працівник, який виконує функції CRO/CCO:

несе відповідальність за діяльність підрозділу з управління ризиками / підрозділу контролю за дотриманням норм (комплаєнс);

не має конфлікту інтересів під час виконання своїх обов'язків як CRO/CCO;

відповідає іншим вимогам Положення N 64 до CRO/CCO.

Оцінка відповідності системи управління ризиками банку принципам, визначеним у пункті 10 глави 2 розділу I Положення N 64, дотримання критеріїв незалежності та інших вимог Положення N 64 при визначенні місця посад CRO і CCO в організаційній структурі банку, в тому числі в частині відсутності у них конфлікту інтересів під час виконання обов'язків CRO/CCO, проводиться Національним банком України при здійсненні банківського нагляду.

Питання 5. Чи може CRO та CCO підпорядковуватись заступнику Голови правління або члену правління банку?

Відповідно до вимог пункту 32 глави 4 розділу I Положення N 64 підрозділ з управління ризиками, під керівництвом CRO, та підрозділ контролю за дотриманням норм (комплаєнс), під керівництвом CCO, мають підпорядковуватись раді банку.

Питання 6. Чи може CCO підпорядковуватись CRO або навпаки?

Згідно з пунктом 32 глави 4 розділу I Положення N 64 підрозділ з управління ризиками (включаючи його керівника - CRO) та підрозділ контролю за дотриманням норм (комплаєнс) (включаючи його керівника - CCO) - це окремі та незалежні один від одного підрозділи другої лінії захисту, кожен з яких має підпорядковуватись та звітувати безпосередньо раді банку.

Виходячи з вищевказаного, CCO не може бути підпорядкованим CRO, а CRO не може бути підпорядкованим CCO.

Питання 7. Чи може CRO/CCO функціонально підпорядковуватись відповідним рівням CRO/CCO материнської компанії групи?

Виходячи з вимог пункту 32 глави 4 розділу I Положення N 64, CRO/CCO банку України повинні підпорядковуватись раді банку України.

При цьому Положення N 64 не встановлює заборони щодо функціональної взаємодії CRO/CCO з відповідним рівнем CRO/CCO материнської компанії групи.

Питання 8. Як може Голова правління банку виконувати керівну роль у контролюючих функціях з управління ризиками, якщо підрозділи з управління ризиками та контролю за дотриманням норм (комплаєнс) безпосередньо підпорядковуються раді банку?

Пунктом 24 глави 3 розділу I Положенням N 64 визначені суб'єкти системи управління ризиками, одним з яких є правління банку. Функції правління банку щодо управління ризиками визначені главою 6 розділу I Положення N 64.

II. Щодо реалізації права вето

Питання 9. Яким чином має реалізовуватись право вето CRO/CCO, якщо вони є членами колегіальних органів, та якщо вони не є членами колегіальних органів?

Незалежно від того чи є CRO або CCO членами колегіальних органів банку чи ні, відповідно до пунктів 38 глави 7 та 41 глави 8 розділу I Положення N 64 вони мають право бути присутніми на засіданнях правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, та, у визначених цим Положенням, а також установлених радою банку випадках, накладати заборону (вето) на рішення цих органів.

Питання 10. Чи застосовується право вето CRO/CCO до усіх рішень банку чи лише тих рішень банку, що стосуються управління ризиками (для CRO) та комплаєнсу (для CCO)?

Питання 11. Чи може рада банку подолати накладену CRO/CCO заборону (вето) на рішення колегіальних органів правління банку?

Пунктом 38 глави 7 розділу I Положення N 64 визначено, що CRO має право накладати заборону (вето) на рішення правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, якщо реалізація таких рішень призведе до порушення встановленого ризик-апетиту та/або затверджених лімітів ризику, а також в інших випадках, установлених радою банку.

Пунктом 41 глави 8 розділу I Положення N 64 визначено, що CCO має право накладати заборону (вето) на рішення правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, якщо реалізація таких рішень призведе до порушення вимог законодавства, відповідних стандартів професійних об'єднань, дія яких поширюється на банк, конфлікту інтересів, а також в інших випадках, установлених радою банку.

Для забезпечення належного управління ризиками рада банку, відповідно до пункту 28 глави 4 розділу I Положення N 64, додатково до зазначених у пунктах 38 глави 7 та 41 глави 8 розділу I цього Положення випадків, може установити інші випадки накладання CRO/CCO заборони (вето) на рішення правління банку, комітетів та інших колегіальних органів правління банку.

Пунктами 38 глави 7 та 41 глави 8 розділу I Положення N 64 також встановлено, що CRO/CCO у разі накладання заборони (вето) на рішення правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, зобов'язаний невідкладно інформувати раду банку або комітет ради банку з управління ризиками про такі рішення.

Відповідно до глави 4 розділу I Положення N 64 рада банку відповідає за загальне управління ризиками банку. Отже, накладена CRO/CCO заборона (вето) на рішення правління банку, комітетів та інших колегіальних органів, утворених правлінням банку, може бути подолана радою банку. При цьому, рішення ради банку щодо подолання вето має ґрунтуватись на адекватній оцінці профілю ризику банку. Рада банку має розуміти причини, які стали підставою для накладання CRO або CCO заборони (вето), та наслідки, до яких може призвести рішення щодо подолання вето.

Відповідно до пункту 30 глави 4 розділу I Положення N 64 рада банку має забезпечувати належний рівень документування обговорень та прийнятих рішень. Протоколи засідань ради банку повинні містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності).

Питання 12. Чи можливо делегувати право вето у разі відсутності CRO/CCO (відпустка, лікарняний тощо)?

Відповідно до пунктів 38 глави 7 та 41 глави 8 розділу I Положення N 64 право накладати заборону (вето) надано CRO та CCO.

Таким чином, у разі тимчасової відсутності CRO або CCO правом накладання заборони (вето) має володіти особа, яка виконує його функції.

III. Щодо валідації моделей/інструментів з оцінки ризиків

Питання 13. Який підрозділ може здійснювати валідацію моделі/інструменту оцінки ризиків?

Пунктом 112 глави 14 розділу I Положення N 64 визначено, що валідація моделі/інструменту оцінки ризиків має бути незалежною від побудови моделі або вибору інструменту та її/його використання. Валідація має здійснюватися окремим підрозділом банку (іншим, ніж підрозділ, який побудував та/або використовує модель або інструмент) або зовнішньою організацією, у тому числі материнською компанією.

З урахуванням зазначеного, валідацію моделі/інструменту оцінки ризиків може здійснювати:

а) підрозділ, який знаходиться у складі структурного підрозділу з управління ризиками, але не здійснює побудову/вибір такої/такого моделі/інструменту, а також не використовує їх;

б) підрозділ, який знаходиться у складі іншого структурного підрозділу ніж підрозділ з управління ризиками;

в) зовнішня організація, в тому числі материнська компанія, яка не здійснювала побудову/вибір такої/такого моделі/інструменту або в якій їх побудову/вибір здійснював інший підрозділ.

Працівники підрозділу з управління ризиками / підрозділу контролю за дотриманням норм (комплаєнс) повинні мати повну інформацію про роботу цієї моделі (обґрунтування параметрів моделі/інструменту, факторів, які впливають на результат, обмежень цієї/цього моделі/інтрументу тощо).

IV. Щодо суміщення посад CRO/CCO/AML

Питання 14. Чи можуть банки об'єднати в рамках вимог Положення N 64 під одним керівником напрями CRO/CCO/AML?

Пунктом 32 глави 4 розділу I Положення N 64 визначені критерії, виконання яких забезпечує дотримання принципу незалежності. Зокрема, підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) - друга лінія захисту, мають бути організаційно та функціонально відокремлені від підрозділів (керівників підрозділів) першої та третьої ліній захисту.

Згідно з нормами пункту 43 глави 8 розділу I Положення N 64 банк має право покладати на CCO функції відповідального працівника банку за проведення фінансового моніторингу за умови дотримання вимог пункту 32 глави 4 розділу I цього Положення.

Наявність посади відповідального працівника банку за проведення фінансового моніторингу передбачається законодавством України.

Таким чином, CCO може виконувати функції відповідального працівника банку за проведення фінансового моніторингу на час його тимчасової відсутності або суміщати посади CCO та відповідального працівника банку за проведення фінансового моніторингу за умови дотримання вимог пункту 32 глави 4 розділу I цього Положення та законодавства України.

Щодо суміщення посад або поєднання функцій CRO та CCO, то з огляду на визначені Положенням N 64 функції контролю підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс), таке суміщення/поєднання не допускається через виникнення конфлікту інтересів.

Згідно з вимогами глави 8 розділу I Положення N 64 підрозділ контролю за дотриманням норм (комплаєнс) має здійснювати функції контролю за дотриманням банком, в тому числі підрозділом з управління ризиками, норм законодавства, внутрішньобанківських документів та відповідних стандартів професійних об'єднань, дія яких поширюється на банк.

Підрозділ з управління ризиками, в свою чергу, має забезпечувати своєчасне виявлення, вимірювання, моніторинг, контроль, пом'якшення та звітування щодо суттєвих ризиків, в тому числі операційних, що можуть виникати під час здійснення підрозділом контролю за дотриманням норм (комплаєнс) своїх функцій, а також здійснювати постійний аналіз таких ризиків.

V. Щодо підрозділу з роботи з НПА (workout unit)

Питання 15. Чи може банк відносити підрозділ по роботі з проблемною заборгованістю (workout unit) до 2-ї лінії захисту з підпорядкованістю CRO.

Національний банк України в рамках подальших кроків з впровадження європейських підходів щодо регулювання банківської діяльності за участі технічної допомоги Світового банку здійснює розробку нормативно-правового акта, яким встановлюватимуться вимоги щодо організації процесу управління проблемними активами в банках України. Вимоги цього нормативно-правового акта будуть ґрунтуватися на положеннях документу Європейського центрального банку "Керівні принципи для банків щодо непрацюючих кредитів".

Під час розробки зазначеного нормативно-правового акта будуть визначені функції підрозділу по роботі з проблемною заборгованістю (workout unit) на 2-й лінії захисту та за необхідності внесені відповідні зміни до Положення N 64.

VI. Щодо ротації працівників

Питання 16. Чи буде вважатись порушенням підпункту 7 пункту 32 глави 4 розділу I Положення N 64 щодо недопущення працівників підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) до здійснення функцій контролю за тією діяльністю, за яку вони раніше безпосередньо несли відповідальність або стосовно якої раніше ухвалювали рішення, з метою запобігання конфлікту інтересів, якщо керівники/працівники цих підрозділів входять до складу комітетів правління (КК, КУАП тощо) та беруть участь у прийнятті рішень щодо управління ризиками (кредитним, ліквідності, ринковим, операційним)?

Пунктом 32 глави 4 розділу I Положення N 64 встановлені критерії незалежності підрозділів (в тому числі їх керівників/працівників) з управління ризиками та контролю за дотримання норм (комплаєнс).

У разі, якщо керівники/працівники підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) беруть участь у колегіальних органах банку та голосують з точки зору управління ризиками з метою забезпечення виконання функцій цих підрозділів, то таке голосування не обмежує незалежність цих керівників/працівників та відповідно не вважатєься порушенням.

Перший заступник Голови Національного банку України К. В. Рожкова