О Банке

Общие положения

«Политика управления организационными рисками» ОАО «Капитал Банк» основывается на Законе Азербайджанской Республики «О банках», «Стандартах корпоративного управления», установленных Центральным банком Азербайджанской Республики, а также «Правилах управления операционными рисками в банках», соответствующих документах Базельского комитета, других международных стандартах и принципах.

Цель политики управления рисками

Данная политика обеспечивает внедрение эффективного управления рисками и формирует единый и всесторонний подход к управлению рисками в рамках стратегического и бизнес-видения Банка. Политика соответствует утвержденным лимитам риска и Заявлению о риск-аппетите Банка, а также бизнес-стратегии Банка. Все риски в Банке управляются, руководствуясь настоящей Политикой.

Принятие Политики управления рисками преследует две основные цели:

1. Определение рисков, создание среды, способствующей их эффективному и результативному управлению, а также использование доступных возможностей для развития и инноваций.
2. Развитие риск-культуры, позволяющей эффективно справляться с неопределенностями и проблемами и охватывающей всю деятельность Банка.

Принимая перспективный и методичный подход к управлению рисками и соблюдая его, Банк защищает себя от возможных неопределенностей и обеспечивает свою устойчивую деятельность, стабильность и процветание в долгосрочной перспективе.

Определение рисков

Банк разрабатывает обширный перечень рисков Банка для их выявления на организационном уровне и в своей деятельности оценивает значимость этих рисков. К числу значимых рисков, выявляемых в Банке, относятся:

Кредитный риск – риск, возникающий в случае несвоевременного или неполного исполнения заемщиком своих обязательств перед Банком.

В целях управления кредитными рисками Банк проводит анализ портфеля с использованием специальных инструментов:

• Портфель рисков;
• Ожидаемый убыток (EL) и его компоненты;
• Винтаж-анализ;
• Модели стресс-тестов;
• Анализ сценария / анализ «What if?» («Что, если ... ?»);
• Матрица перехода;
• Анализ системы отслеживания;
• Ретроспективное моделирование и прогнозирование;
• В целях покрытия возможных убытков по активам формируются специальные резервы (на основе МСФО и стандартов Центрального банка Азербайджанской Республики).

Рыночный риск – риск, возникающий в связи с изменениями процентных ставок, обменных курсов, стоимости ценных бумаг и товаров на рынке.

• Риск процентной ставки: риск, возникающий в связи с неблагоприятными изменениями процентных ставок;
• Валютный риск: риск, возникающий в связи с неблагоприятными изменениями курсов иностранных валют;
• Товарный риск: риск, возникающий в связи с неблагоприятными изменениями цен на товары на рынке.

В целях управления рыночными рисками Банк осуществляет следующие меры:

• Анализируются возможные изменения в экономике и банковском секторе, определяются их потенциальные воздействия на кредитование, а также на управление активами и пассивами;
• Осуществляется проверка риска процентной ставки, включая изменения процентных ставок и/или нарушение предполагаемой волатильности:
• Подход к экономической стоимости капитала;
• Подход к чистому процентному доходу;
• Выполняется анализ разрывов переоценки (Repricing Gap Analysis);
• Инвестиционные риски: рассматриваются изменения стоимости акций и облигаций, кривые доходности и другие аспекты; проводится расчет подверженной риску стоимости, формируемой рыночными рисками ценных бумаг;
• Рассматриваются потенциальные негативные последствия рыночных рисков для финансовых учреждений;
• Проверяется влияние рисков, возникающих вследствие изменения обменных курсов иностранных валют и цен на товары, на активы Банка;
• Проведение стресс-тестов;
• Анализ сценариев и т. д.

Риск ликвидности– риск убытков для Банка, связанный с невозможностью продать активы на рынке по желаемой/ожидаемой цене вследствие неудовлетворительного спроса. Банк управляет риском ликвидности с использованием следующих методов:

• Выбираются и применяются соответствующие методы и модели по управлению риском ликвидности;
• Анализируются индикаторы риска, отражающие внутренние и внешние причины возникновения рисков;
• Стресс-тесты на ликвидность и анализ шок-событий;
• Определение концентрации в финансировании;
• Расчет и анализ мгновенной ликвидности, коэффициента покрытия ликвидности, коэффициента чистого стабильного финансирования и других показателей;
• Распределение сроков погашения и анализ разрывов ликвидности;
• Анализ ликвидности и платежей по валютам и т. д.

Риск концентрации– это риск, возникающий вследствие высокой степени сосредоточения активов, обязательств или операций Банка на одном заемщике, в определенном секторе, географическом регионе или других схожих факторах.

Риск достаточности капитала– это риск того, что Банк в долгосрочной перспективе может не иметь достаточного капитала для поддержания своей финансовой устойчивости.

Операционный риск –это риск убытков, возникающих в результате неадекватных или неудачных внутренних процессов, действий людей, сбоев в системах либо внешних событий.

• Кадровый риск – это риск, возникающий в результате умышленных или непреднамеренных нарушений сотрудниками Банка требований действующих правовых актов и внутрибанковских нормативных документов при осуществлении банковских операций, а также вследствие допущенных ими ошибок и упущений.
• Правовой риск – это риск убытков, возникающий в результате нарушения условий заключенных договоров со стороны Банка и/или его контрагентов, допущенных юридических ошибок при осуществлении деятельности, недостатков в правовой системе, нарушений нормативно-правовых актов со стороны контрагентов, а также в связи с тем, что контрагенты Банка находятся под юрисдикцией различных государств.
• Риск ошибок во внутренних контрольных процессах – это риск, возникающий вследствие недостатков и нарушений во внутренней системе контроля, включая несоблюдение внутренних правил при осуществлении операций и транзакций.
• Риск аутсорсинга – это риск, возникающий из-за воздействия третьих сторон (поставщиков, подрядчиков, посредников), которые могут повлиять на непрерывность и стабильность процессов и деятельности Банка.
• Поведенческий риск – это риск, возникающий из-за нарушения принципов честности, полноты и точности при выполнении обязательств Банка перед клиентами, а также вследствие нарушения принципов добросовестности.
• Операционный риск платежной системы – это риск предоставления услуг платежной инфраструктуры, не соответствующих установленным требованиям обслуживания, в результате возникновения нарушений, ошибок и сбоев в работе информационных и технологических систем, недостатков в организации и выполнении технологических и управленческих процессов, ошибок или незаконных действий персонала, чрезвычайных ситуаций, ошибок или незаконных действий третьих лиц.

Риск информационной безопасности – это риск реализации угроз информационной безопасности, возникающий из-за недостатков в процессах информационной безопасности, включая выполнение технологических и иных мероприятий, недочеты в программном обеспечении компьютерных систем и программ, а также из-за несоответствия этих процессов операционным требованиям Банка. Банк предпринимает следующие меры для управления информационной безопасностью:

• Управление активами;
• Контроль за сетевыми подключениями;
• Контроль доступа;
• Определение правил работы с данными и применение требований к шифрованию;
• Расследование инцидентов, связанных с информационной безопасностью, и т. д.

Киберриски –это риск несения материальных или нематериальных убытков Банком в результате внешних атак, направленных против информационно-технологических систем и данных, уязвимостей и утечек.

Риск комплаенса – это риск применения к Банку мер воздействия и санкций, а также риск финансовых потерь или утраты деловой репутации в результате несоблюдения требований законодательства и правовых актов, регулирующих финансовые рынки.

Репутационный риск – это риск, возникающий в результате формирования негативного восприятия Банка со стороны клиентов, контрагентов, акционеров, инвесторов, кредиторов, других заинтересованных сторон или регулирующих органов. Подобное негативное восприятие может отрицательно повлиять на способность Банка сохранять существующие деловые связи или устанавливать новые, а также на доступ к финансовым ресурсам и уровень собственной ликвидности.

Модельный риск –это ошибки моделей, возникшие в результате решений, основанных на неправильно разработанных или примененных моделях, а также ошибочного использования результатов и отчетов моделей, и неопределенность моделей, обусловленная как самой моделью, так и неопределенностью реальности, которую она стремится измерить.

Стратегический риск – это риск убытков, возникающий в результате неудачных стратегических инициатив, включая слияния, поглощения, вывод новых продуктов, выход на новые рынки и другие аналогичные действия.

Страновой риск –это риск того, что экономическая, социальная или политическая обстановка и события в иностранных государствах могут оказать влияние на текущую или предполагаемую финансовую устойчивость и положение Банка.

Риск данных – это вероятность негативного воздействия на процесс принятия решений, выполнение юридических и регулятивных обязательств, репутацию и финансовое состояние Банка вследствие недостаточного обеспечения точности, полноты, конфиденциальности и своевременной доступности данных, используемых в операционной деятельности Банка.

Определение рисков на операционном уровне

 Для выявления рисков на операционном уровне Банк использует следующие методы:

• Процесс самооценки рисков и контролей (RCSA);
• Система управления инцидентами;
• Мониторинг, проводимый второй и третьей линией защиты;
• Анализ рисков внутрибанковских бизнес-процессов и продуктов;
• Анализ при создании новых или изменении условий существующих продуктов и услуг;
• Результаты внутреннего и внешнего аудита/проверок;
• Основные показатели рисков и деятельности;
• Результаты анализа сценариев (прошлых и прогнозируемых сценариев, стресс-тестов);
• Анализ жалоб клиентов, административных выговоров сотрудникам и т. д.

Все выявленные в Банке риски фиксируются в Матрице рисков и контролей.

Оценка риска

В Банке оценка рисков проводится на ежегодной основе, а оцененные как значимые риски утверждаются Наблюдательным советом — высшим руководством Банка.

Оценка рисков на организационном уровне в Банке осуществляется с использованием трех подходов, определенных самим Банком:

• Регулятивный подход – прямая оценка рисков как значимых в соответствии с регулятивными пруденциальными нормами и требованиями.
• Количественный подход –оценка значимости рисков на основе количественных критериев и расчётов, исходя из воздействия и вероятности их наступления. 
• Экспертный подход – окончательная оценка экспертами нефинансовых рисков, для которых не применяется количественная оценка.

При проведении стресс-тестов Банк оценивает влияние значимых рисков на достаточность капитала, финансовую и операционную стабильность, а также на способность сохранять свой риск-профиль, деятельность и стратегию развития. Стресс-тесты проводятся не менее двух раз в год, а их результаты представляются высшему руководству и соответствующим заинтересованным сторонам.

Регулирование риска

После всесторонней оценки рисков и выявления различных рисков, которые могут повлиять на Банк, необходимо принятие стратегий управления рисками с целью обеспечения безопасности и устойчивости организационной среды. При регулировании своих рисков Банк учитывает действующие утвержденные лимиты рисков, свою способность к принятию рисков и риск-аппетит. Все выявленные и оцененные риски в Банке собираются и отслеживаются в Матрице рисков и контролей (RCM).

Банк регулирует риски 4 способами:

• Принятие риска – это мера реагирования на риск, которая может быть назначена, если потенциальное воздействие выявленного риска находится в пределах организационных лимитов риска. Принятие риска включает в себя признание существования потенциального риска и осознанное принятие решения для того, чтобы смириться с его последствиями, без активного применения специальных мер для снижения его воздействия или вероятности.
• Снижение риска – это мера реагирования на риск, которая включает в себя принятие действий для минимизации конечного воздействия выявленных рисков.
• Передача риска – это мера реагирования на риск, которая применяется, когда Банк желает передать ответственность и обязательства по риску другим организациям через контракты, страхование или аутсорсинговые соглашения.
• Избегание риска — это мера реагирования на риск, которая применяется, когда выявленный риск превышает организационные лимиты риска. Решение об избегании риска обычно принимается, когда выявленный риск представляет собой серьезную угрозу для организации, и когда затраты на снижение риска превышают возможные выгоды от реализации мероприятий по управлению рисками.

Мониторинг рисков

Основная цель мониторинга рисков заключается в обеспечении контроля за тем, чтобы риски, определенные и принятые Банком, оставались в пределах риск-аппетита и установленных лимитов риска. При мониторинге своих рисков Банк использует Заявлению о риск-аппетите, Ключевые индикаторы риска (KRI), Систему управления инцидентами, а также Матрицу рисков и контролей.

Отчетность по рискам

Процесс регулярного сбора, анализа и представления руководству, регулирующим органам и другим заинтересованным сторонам определенных показателей рисков, с которыми сталкивается Банк.

Банк подготавливает общий риск-профиль организации на ежемесячной, квартальной, полугодовой и годовой основе, предоставляя отчеты главному риск-менеджеру, Комитету по управлению рисками, Правлению и Наблюдательному совету. Кроме того, Банк предоставляет необходимые отчеты по соответствующим рискам регулирующему органу.

Распределение полномочий и обязанностей высшего руководства в управлении рисками

Высшее руководство Банка выполняет следующие обязанности по управлению рисками (но не ограничиваясь ими):

Наблюдательный совет:

• Рассматривает и утверждает политику управления организационными рисками, включая процессы идентификации, оценки, снижения и мониторинга рисков;
• Осуществляет контроль за учетом управления рисками в стратегическом планировании и его интеграцией на различных уровнях организации;
• Утверждает организационную структуру функции управления рисками, а также ее полномочия и зоны ответственности;
• Рассматривает и утверждает внутренние политики и инструкции по управлению рисками, обеспечивая их соответствие целям организации, нормативным требованиям и передовой практике;
• Утверждает стратегию управления рисками;
• Рассматривает и утверждает Заявление о риск-аппетите и лимиты риска;
• Оценивает эффективность системы управления рисками не реже одного раза в год и определяет возможные направления ее совершенствования;
• Утверждает Политику обеспечения непрерывности бизнеса и План действий на случай чрезвычайных ситуаций;
• Рассматривает отчет о результатах внутреннего аудита и план мероприятий по устранению недостатков, выявленных в ходе аудита, а также утверждает его;

Комитет по управлению рисками:

• Рассматривает и первоначально утверждает стратегию управления рисками, политики (не реже одного раза в год пересматривает политику управления рисками) и инструкции, обеспечивает их соответствие целям организации, нормативным требованиям и передовым практикам и представляет на последующее утверждение Наблюдательному совету;
• Рассматривает и первоначально утверждает заявление о риск-аппетите, а также лимиты риска, и представляет на последующее утверждение Наблюдательному совету;
• Банк предоставляет рекомендации и предложения Наблюдательному совету относительно текущего и будущего риск-аппетита по совокупным и отдельным видам рисков, а также по корректировкам предельных значений и лимитов в случае его нарушения;
• Рассматривает и предварительно утверждает отчет о выявленных рисках, представленный Правлением, а также реестр рисков Банка, и предоставляет их на последующее утверждение Наблюдательному совету;
• Осуществляет контроль за наличием процедур, обеспечивающих соответствие деятельности Банка политике управления рисками, а также за применением заявления о риск-аппетите, утвержденного Правлением;
• Осуществляет контроль за соответствием целей управления капиталом и ликвидностью Банка, а также всех рисков, присущих организации, включая кредитные, рыночные, операционные, репутационные и другие, риск-аппетиту организации;
• Дает рекомендации Наблюдательному совету по снижению рисков с целью поддержания уровней рисков в пределах установленных уровней устойчивости;
• Сотрудничает с директором по управлению рисками (CRO) и контролирует его деятельность;
• Рассматривает и оценивает деятельность директора по управлению рисками (CRO) на ежегодной основе;
• Предоставляет Наблюдательному совету рекомендации по повышению эффективности системы управления рисками.

Правление:

• Рассматривает стратегию, политики и инструкции по управлению рисками, обеспечивает их соответствие целям организации, нормативным требованиям и передовой практике, а также передает их для последующего рассмотрения в Комитет по управлению рисками;
• Организует процесс управления рисками и обеспечивает реализацию политики управления рисками;
• Осуществляет контроль за соблюдением стратегии управления рисками и политики управления организационными рисками;
• Осуществляет контроль за соответствием между рисками и доходами в рамках установленного Банком риск-аппетита;
• Предоставляет Комитету по управлению рисками отчеты о рисках и управлении ими;
• Рассматривает заявление о риск-аппетите и направляет его в Комитет по управлению рисками для последующего рассмотрения и утверждения;
• Утверждает подлимиты в пределах лимитов риска, утвержденных Наблюдательным советом;
• Ежемесячно рассматривает отчет о результатах мониторинга лимитов риска и о риск-профиле организации;
• Анализирует риски, которым подвержен Банк, и принимает необходимые меры для устранения выявленных уязвимых мест;
• Обеспечивает сотрудничество других структурных подразделений Банка с отделом управления рисками, а также принимает меры для предотвращения вмешательства в его деятельность и создает необходимые условия для адекватного управления рисками организации;
• Рассматривает результаты оценки риск-культуры в Банке и представляет их для последующего рассмотрения в Комитет по управлению рисками;
• Предоставляет отчет о своей деятельности в Наблюдательный совет.

Директор по управлению рисками (CRO)

• Разрабатывает стратегию управления рисками, внутреннюю политику и процедуры управления рисками, обеспечивает их соответствие международным стандартам и нормативным требованиям и представляет для последующего рассмотрения Правлению, а для последующего утверждения — Комитету по управлению рисками;
• Осуществляет контроль за тем, чтобы процессы управления рисками были правильно организованы, должным образом документированы и выполнялись организацией;
• Обеспечивает соответствие деятельности структурных подразделений установленной политике управления рисками;
• Обеспечивает соответствие международным стандартам и правилам управления рисками, а также принимает превентивные меры для обеспечения полного соответствия;
• Координирует деятельность Правления и структурных подразделений по управлению рисками;
• Участвует в анализе стратегических рисков организации, обеспечивая минимизацию негативных воздействий рисков на бизнес;
• Рассматривает отчет о выявленных рисках, предоставленный блоком рисков, и передает его для последующего рассмотрения в Правление;
• Осуществляет контроль за осуществлением процессов оценки рисков.

Роль линий защиты в управлении рисками

 

Три линии защиты — это модель управления рисками, используемая для создания системы эффективного управления рисками и процессов контроля. Данная модель помогает обеспечить надлежащее определение, оценку и управление рисками, способствуя прозрачности, подотчетности и соблюдению требований.

Первая линия защиты охватывает бизнес-подразделения, которые непосредственно участвуют в осуществлении ежедневной деловой деятельности.

Вторая линия защиты охватывает структурные подразделения, осуществляющие функции управления рисками и комплаенса, которые контролируют и обучают первую линию защиты при внедрении эффективных практик управления рисками.

Третья линия защиты охватывает независимую функцию внутреннего аудита, которая оценивает первую и вторую линии защиты.

Риск-культура

Риск-культура — это совокупность норм, подходов и поведения, связанных с определением рисков, их принятием и управлением, а также с принятием решений с учетом рисков. Банк, учитывая свой риск-аппетит, должен сформировать комплексную и охватывающую всю организацию риск-культуру, способствующую всестороннему пониманию возникающих рисков и формы их устранения, а также их целостной оценке.

Управление рисками Банка не должно ограничиваться функциями внутреннего контроля или управления рисками. Все структурные подразделения под контролем руководства должны нести ответственность за повседневное управление рисками с учетом риск-аппетита и риск-профиля организации, в соответствии с ее политиками, процедурами и контрольными механизмами.

Поэтому Политика управления организационными рисками требует формирования здоровой риск-культуры, при которой все линии защиты в своей деятельности и при принятии повседневных решений будут принимать на себя только приемлемые риски.

Риск-культура, являющаяся ключевым элементом эффективного управления рисками, должна быть устойчивой и продолжительной, чтобы обеспечивать принятие организацией обоснованных и взвешенных решений.

Понимание и оценка риск-культуры внутри банка необходимы для выявления сильных и слабых сторон, а также областей, требующих улучшения. Поэтому Банк, проводя всестороннюю оценку риск-культуры, предпринимает шаги для создания осведомленной о рисках и устойчивой среды, содействия принятию наиболее эффективных решений в области управления рисками и повышения общей организационной эффективности.

Для ускорения процесса улучшения риск-культуры в Банке и повышения качества коммуникации между линиями защиты в каждом структурном подразделении назначаются риск-координаторы. Риск-координатор — это лицо, ответственное за координацию и контроль деятельности по управлению рисками внутри структурного подразделения. Его задача заключается в обеспечении эффективного внедрения политик, процедур и стратегий управления рисками внутри своего структурного подразделения, а также их соответствия целям и задачам организации.

Заключительные положения

Данная Политика вступает в силу после ее утверждения Наблюдательным советом Банка.

Все структуры внутри Банка несут ответственность за реализацию Политики в соответствии с положениями, указанными в данной Политике. Они вместе с руководством Банка несут ответственность за соблюдение положений данной Политики, а также за регулярный пересмотр и обновление Политики.

Банк регулярно проводит независимую внешнюю оценку своих практик управления рисками. Это считается крайне важным для эффективной работы процессов управления рисками и обеспечения управления значимыми рисками на приемлемом уровне.