<Письмо> Банка России от 27.05.2014 N 96-Т
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 27 мая 2014 г. N 96-Т
О РЕКОМЕНДАЦИЯХ
БАЗЕЛЬСКОГО КОМИТЕТА ПО БАНКОВСКОМУ НАДЗОРУ "ПРИНЦИПЫ
АГРЕГИРОВАНИЯ РИСКОВ И ПРЕДСТАВЛЕНИЯ ОТЧЕТНОСТИ ПО РИСКАМ"
Банк России направляет для использования в рамках анализа деятельности кредитных организаций неофициальный перевод документа Базельского комитета по банковскому надзору "Принципы агрегирования рисков и представления отчетности по рискам", январь 2013 г.
Документ на английском языке (Basel Committee on Banking Supervision, "Principles for effective risk data aggregation and risk reporting", January 2013) доступен на web-сайте Банка международных расчетов (см. http://www.bis.org/publ/bcbs239.pdf).
Территориальным учреждениям Банка России просьба довести настоящее письмо до сведения кредитных организаций.
Настоящее письмо подлежит опубликованию в "Вестнике Банка России".
Первый заместитель
Председателя Центрального банка
Российской Федерации
А.Ю.СИМАНОВСКИЙ
Приложение
к Письму Банка России
от 27 мая 2014 года N 96-Т
"О рекомендациях Базельского
комитета по банковскому надзору
"Принципы агрегирования рисков
и представления отчетности по рискам"
БАЗЕЛЬСКИЙ КОМИТЕТ ПО БАНКОВСКОМУ НАДЗОРУ
ПРИНЦИПЫ
АГРЕГИРОВАНИЯ РИСКОВ И ПРЕДСТАВЛЕНИЯ ОТЧЕТНОСТИ ПО РИСКАМ
январь 2013 г.
Банк международных расчетов
Целевая группа надзора за системно значимыми банками
Группы внедрения стандартов
Председатель
Г-н Фернандо Варгас (Fernando Vargas)
(Банк Испании, Мадрид)
Австралия
Г-жа Хейди Ричардс (Heidi Richards)
(Австралийское агентство пруденциального регулирования) (APRA)
Канада
Г-н Джеймс Деннисон (James Dennison)
(Управление инспектора финансовых организаций) (OSFI)
Китай
Г-жа Цангчжан Ву (Zhangjun Wu)
(Комиссия по регулированию банковской деятельности Китая) (CBRC) (с октября 2012 г.)
Г-н Ксанкви Цанг (Xianqiu Zhang)
(Комиссия по регулированию банковской деятельности Китая) (CBRC) (до сентября 2012 г.)
Франция
Г-н Хеди Джедди (Hedi Jeddi)
(Французское агентство пруденциального надзора)
(ACP)
Германия
Г-н Тобиас Волк (Tobias Volk)
(Немецкий федеральный банк)
Г-н Стефан Иванковски (Stefan Iwankowski)
(Федеральное управление финансового надзора Германии) (BAFIN)
Специальный административный район Гонконг
Г-н Санни Янг (Sunny Yung)
(Финансовое управление Гонконга) (HKMA)
Италия
Г-н Анджело Каррейро (Angelo Carriero) (Банк Италии) (BoI)
Япония
Г-н Митсутоши Адачи (Mitsutoshi Adachi)
(Банк Японии) (BoJ)
Г-н Такао Мийамото (Takao Miyamoto)
(Агентство финансовых услуг Японии) (JFSA) (до июня 2012 г.)
Г-н Ю Нишиоки (Yu Nishioki)
(Агентство финансовых услуг Японии) (JFSA) (с июля 2012 г.)
Мексика
Г-н Эфраин Солорио (Efrain Solorio)
(Национальная комиссия по банковской деятельности и ценным бумагам) (CNBV)
Нидерланды
Г-жа Трус Штадт (Truus Stadt)
(Банк Нидерландов) (DNB) (с октября 2012 г.)
Г-жа Инге Вельдгуис (Inge Veldhuis)
(Банк Нидерландов) (DNB) (до сентября 2012 г.)
Испания
Г-жа Кристина Иглесиас-Саррья
(Cristina Iglesias-Sarria) (Банк Испании) (BoS)
Г-жа Сесилия Лозано (Cecilia Lozano) (Банк Испании) (BoS)
Великобритания
Г-жа Джилл Элейн Савагер
(Jill Elaine Savager) (Управление по финансовым услугам) (FSA)
Г-н Ян Тауэр (Ian Tower)
(Управление по финансовым услугам) (FSA)
Соединенные Штаты Америки
Г-н Джоэл Андерсен (Joel Anderson)
(Управление контролера денежного обращения) (OCC)
Г-жа Стаси Коулмен (Stacy Coleman)
(Федеральный резервный банк Нью-Йорка) (FRBNY)
Г-н Кирк Одегард (Kirk Odegard)
(Федеральный резервный банк США) (FRB)
Совет финансовой стабильности
Г-жа Грейс Соун (Grace Sone)
Институт финансовой стабильности
Г-н Амарендра Мохан (Amarendra Mohan) (с апреля 2012 г.)
Г-н Роналд Раскопф (Roland Raskopf) (до марта 2012 г.)
Секретариат
Г-н Хуан Карлос Крисанто (Juan Carlos Crisanto)
Г-жа Руфь Даблдей (Ruth Doubleday) (до августа 2012 г.)
ПРИНЦИПЫ
АГРЕГИРОВАНИЯ РИСКОВ И ПРЕДСТАВЛЕНИЯ ОТЧЕТНОСТИ ПО РИСКАМ
Предисловие
1. Один из наиболее существенных уроков, которые преподнес нам начавшийся в 2007 году глобальный финансовый кризис, показал, что информационные технологии (далее - ИТ) и архитектуры данных не способны обеспечить надлежащее управление финансовыми рисками. У многих банков не было возможности агрегировать весь объем рисков и быстро и точно установить степень концентрации риска на уровне банковской группы, направлений деятельности банка и на уровне участников группы. Некоторые банки оказались неспособны управлять собственными рисками должным образом, имея в своем распоряжении лишь ограниченные средства агрегирования рисков и несовершенные методы представления отчетности по рискам. Эти факторы имели тяжелые последствия как для самих банков, так и для стабильности финансовой системы в целом.
2. В связи с этим Базельский комитет по банковскому надзору (далее - Базельский комитет) выпустил дополнение к Компоненту 2 "Надзорный процесс" (далее - Компонент 2) документа "Международная конвергенция измерения капитала и стандартов капитала: новые подходы. Уточненная версия" ("International Convergence of Capital Measurement and Capital Standards. A revised Framework. Comprehensive version"), Basel Committee on Banking Supervision, июнь 2006 г. (далее - Базель II) <1>, направленное на расширение способности банков выявлять и управлять рисками, характерными для всего банковского сектора. Так, в частности, Базельский комитет подчеркнул, что надежная система управления рисками требует наличия надежной системы обработки информации (MIS) <2> как на уровне отдельных банков, так и на уровне банковского сектора в целом. В руководстве по корпоративному управлению <3> Базельский комитет также указал на необходимость агрегирования рисков.
--------------------------------
<1> Базельский комитет, "Дополнения к Базелю II" (июль 2009 г.), см. www.bis.org/publ/bcbs158.pdf.
<2> В данном контексте имеется в виду система управленческой информации.
<3> Базельский комитет, "Принципы усиления корпоративного управления" (октябрь 2010 г.), см. www.bis.org/publ/bcbs176.pdf.
3. Агрегирование рисков открывает банкам новые возможности для решения возникающих проблем. Для глобальных системно значимых банков, в частности, важно, чтобы органы финансового оздоровления имели доступ к агрегированным данным по рискам, соответствующим требованиям документа Совета по финансовой стабильности (далее - СФС) "Ключевые атрибуты эффективных режимов оздоровления и санации финансовых институтов" <1>, а также изложенным далее принципам. Наличие надежной информационной базы данных позволит банкам и органам надзора заранее прогнозировать проблемы, а также ускорить процесс оздоровления банка. Она также расширит возможности поиска альтернативных путей восстановления финансовой устойчивости и жизнеспособности, если банк попадет в серьезную стрессовую ситуацию. Так, например, надежная информационная база данных упростит поиск подходящего партнера для слияния бизнеса.
--------------------------------
<1> Совет по финансовой стабильности, "Ключевые атрибуты эффективных режимов оздоровления и санации финансовых институтов" (октябрь 2011 г.), см. www.financialstabilityboard.org/publications/r_111104dd.pdf.
4. Преимущества расширения возможностей по агрегированию рисков уже признаны многими в банковском секторе <1>, и многие уже ведут активную деятельность в этом направлении. Банки уже смогли оценить улучшения с точки зрения расширения возможностей по управлению рисками и при принятии решений. Это позволит повысить эффективность, снизить вероятность ущерба, а также откроет новые возможности для выработки стратегических решений и в итоге повысит доходность.
--------------------------------
<1> См. отчет Института международных финансов "Риск ИТ и финансовые операции: расширение возможностей" (июнь 2011 г.).
5. Органы надзора отмечают, что расширение возможностей по агрегированию рисков и представлению отчетности по рискам все еще остается нерешенной проблемой для банков, в то время как надзорным органам хотелось бы видеть более активное продвижение в этом направлении, в частности, со стороны глобальных системно значимых банков. Кроме того, существует опасность того, что с течением времени, когда острота восприятия кризиса ослабеет, также ослабеет и деятельность банков по расширению возможностей в этих областях. Все это можно объяснить необходимостью существенных вложений в системы ИТ и процедуры составления отчетности как в форме финансовых, так и людских ресурсов, результаты которых скажутся очень не скоро.
6. На данном этапе СФС работает над несколькими международными инициативами, которые должны обеспечить поступательное расширение возможностей банков по агрегированию рисков и представлению отчетности по ним, которые будут играть важную роль в поддержке финансовой стабильности. К ним относятся:
- разработка принципов агрегирования рисков и представления отчетности по рискам. Эта работа основана на рекомендации СФС, содержащейся в "Отчете о ходе реализации рекомендаций по усилению надзора", выпущенном 4 ноября 2011 года:
"СФС совместно с органами, ответственными за разработку стандартов, разработает требования надзорных органов в отношении агрегирования рисков банками, особенно системно значимыми, направленные на достижение уверенности в том, что отчетность достоверно отражает все риски. Для всех системно значимых финансовых институтов будут установлены сроки внедрения требований; для глобальных системно значимых банков крайним сроком является начало 2016 года, то есть дата, когда начнется поэтапное введение требования о поглощении убытков глобальными системно значимыми банками";
- разработка нового единого шаблона представления данных для глобальных системно значимых финансовых институтов, который позволит восполнить недостаток основных данных, необходимость в которых выявил кризис, таких как двухсторонние риски и риски для стран (отраслей, инструментов). Эти данные составят более прочную основу, которую соответствующие органы смогут использовать для оценки потенциальных системно значимых рисков;
- разработка системы идентификаторов юридических лиц (LEI) по инициативе государственного и частного секторов. Данная система предоставит возможности для идентификации сторон финансовых транзакций в любой стране мира и сформирует базу для повышения качества финансовых данных в глобальном масштабе.
7. Существует еще целый ряд инициатив и требований в отношении данных, которые должны быть реализованы в течение следующих нескольких лет <1>. По мнению Базельского комитета, банки вполне смогут выполнить эти требования путем внедрения передовых практических методов агрегирования рисков и представления отчетности по ним.
--------------------------------
<1> Например, требования к раскрытию информации, вытекающие из положений Базеля III и нормативов "Платежеспособность II"; планы финансового оздоровления; пересмотр базовых положений органов надзора о раскрытии финансовой информации (FINREP) и текущей отчетности (COREP), а также международных стандартов финансовой отчетности (МСФО) и Закона о налогообложении иностранных счетов (FATCA).
Определение
8. Для целей данного документа термин "агрегирование рисков" означает определение, сбор и обработку данных о рисках в соответствии с требованиями к составлению банками отчетности по рискам, позволяющие банкам оценивать свою деятельность с учетом риск-аппетита (толерантности к риску) <1>. Эти процедуры включают в себя также классификацию, объединение или разбивку данных.
--------------------------------
<1> Согласно определению, приведенному в отчете Группы органов надзора высшего уровня "Тенденции развития готовности принять риск и инфраструктуры ИТ" (декабрь 2010 г.), риск-аппетит определяется как уровень и тип риска, который банк готов принять в данных экономических условиях при осуществлении своей деятельности исходя из целей своего бизнеса и обязательств перед своими участниками.
Цели
9. В данном документе излагается ряд принципов расширения возможностей банков по агрегированию рисков и совершенствованию порядка представления отчетности по ним (далее - Принципы). В свою очередь, предполагается, что эффективная реализация данных Принципов позволит усовершенствовать управление рисками и процедурами принятия решений банками.
10. Внедрение данных Принципов откроет возможности для существенного улучшения процедур управления банками. Предполагается, что данные Принципы будут содействовать банкам в решении следующих задач:
- совершенствование управленческой отчетности, в том числе используемой советом директоров и руководством банка в целях выявления, мониторинга и управления рисками;
- совершенствование процесса принятия решений в рамках банковской организации в целом;
- совершенствование управления информационными потоками в рамках участников группы, позволяющее упростить оценку рисков на консолидированном уровне;
- снижение вероятности и объемов убытков, обусловленных недостатками системы управления рисками;
- сокращение сроков предоставления информации и, следовательно, сроков принятия решений;
- развитие стратегического планирования и расширение возможностей по управлению рисками, связанными с выпуском новых продуктов и оказанием новых видов услуг.
11. Способность банка управлять рисками является составной частью его франчайзинговой стоимости. Эффективная реализация Принципов позволит повысить стоимость банка. По мнению Комитета, преимущества усовершенствованных методов агрегирования рисков и представления отчетности, которые будут обеспечиваться в течение длительного времени, полностью компенсируют затраты, понесенные банками.
12. Что касается органов банковского надзора, данные Принципы можно использовать в сочетании с другими мерами, направленными на повышение качества и эффективности банковского надзора. Органы финансовой стабильности смогут использовать усовершенствованные методы агрегирования рисков для смягчения мер финансового оздоровления банков, снижая таким образом потенциальные последствия для налогоплательщиков.
Область применения и исходные условия
13. Данные Принципы изначально разрабатывались для системно значимых банков и могут применяться как в отношении банковской группы в целом, так и в отношении отдельных банков. Этим учреждениям необходимы общие и четко сформулированные ожидания надзорных органов в отношении агрегирования рисков и представления отчетности по ним. При этом национальные органы надзора могут расширить сферу применения данных Принципов, распространив их действие на более широкий ряд банков с учетом объемов, характера и сложности проводимых ими операций.
14. Банки, отнесенные к числу глобальных системно значимых банков СФС в ноябре 2011 года <1> или в ноябре 2012 года <2>, должны обеспечить выполнение данных Принципов к январю 2016 года; банки, которые будут признаны глобальными системно значимыми по результатам последующих ежегодных оценок, должны будут обеспечить соответствие указанным требованиям через три года после присвоения им статуса глобальных системно значимых банков <3>. Предполагается, что глобальные системно значимые банки, которые должны обеспечить соответствие требованиям к 2016 году, приступят к активному внедрению Принципов с начала 2013 года. Национальные органы надзора и Базельский комитет будут осуществлять мониторинг и оценку достигнутых в этом направлении результатов в порядке, указанном в разделе V настоящего документа.
--------------------------------
<1> См. СФС "Политика оценки системно значимых финансовых институтов" (4 ноября 2011 г.), см. www.financialstabilityboard.org/publications/r_111104bb.pdf.
<2> См. СФС "Обновленная группа глобальных системно значимых банков" (1 ноября 2012 г.), см. www.financialstabilityboard.org/publications/r_121031ac.pdf.
<3> Данное требование соответствует предусмотренному СФС в документе СФС "Обновленная группа глобальных системно значимых банков" (1 ноября 2012 г.).
15. Национальным органам надзора настоятельно рекомендуется применять данные Принципы также к банкам, относящимся к категории национальных системно значимых банков, в течение трех лет после присвоения им данного статуса <1>.
--------------------------------
<1> См. Базельский комитет "Основы взаимодействия с национальными системно значимыми банками" (октябрь 2012 г.), см. www.bis.org/publ/bcbs233.pdf.
16. Принципы и ожидания органов надзора, представленные в настоящем документе, относятся к данным, используемым в процессе управления рисками. К ним относятся данные в области управления рисками, имеющие критическое значение для банка. Данные и отчеты о рисках должны стать инструментом, с помощью которого руководство банка сможет осуществлять мониторинг и отслеживать риски, влияющие на риск-аппетит (толерантность к риску).
17. Данные Принципы также можно применять во всех основных внутренних моделях управления рисками, включая, в частности, модели регулятивного капитала Компонента 1 "Минимальные требования к капиталу" Базеля II (например, подходы, основанные на внутренних рейтингах для оценки кредитного риска, и усовершенствованные подходы к оценке операционного риска), модели достаточности капитала Компонента 2 или других основных моделей управления рисками (например, VaR).
18. Данные Принципы применяются к процедурам управления рисками банковских групп. При этом применяя Принципы в отношении других процедур, таких как финансовые, операционные процессы, а также представление отчетности органам надзора, банки также смогут получить определенные преимущества.
19. Все Принципы, описанные в данном документе, применимы к процессам, переданным на аутсорсинг третьим сторонам.
20. Данные Принципы охватывают следующие четыре тесно взаимосвязанных направления:
- общее управление и инфраструктура;
- возможности агрегирования рисков;
- практика представления отчетности;
- контроль, инструменты и взаимодействие органов надзора.
21. Возможности агрегирования рисков и практика представления отчетности по ним в данном документе рассматриваются независимо друг от друга, но, тем не менее, эти процессы взаимосвязаны и не могут существовать изолированно. Высокое качество управленческой отчетности по рискам требует наличия широких возможностей для агрегирования рисков, а надежная инфраструктура и управление обеспечат эффективный обмен информацией.
22. Банки должны обеспечить выполнение одновременно всех требований, предусмотренных принципами агрегирования рисков и представления отчетности. При этом в исключительных случаях допускаются определенные отклонения от Принципов, например в случаях, связанных со срочными или специальными запросами информации о новых или неизвестных областях рисков. Однако отклонения от Принципов, способные оказать существенное влияние на решения, связанные с управлением рисками, не допускаются. Лица, принимающие решения в банках, в частности совет директоров и руководство банков, должны быть осведомлены об имевших место отклонениях, а также о проблемах, которые могут возникнуть в связи с этим.
По мнению органов надзора, банки должны разработать политику и процедуры сглаживания отклонений от Принципов. Банки должны уметь обосновать влияние таких отклонений на процедуры принятия решений в отчетах, раскрывающих качественную информацию, и там, где это возможно, в отчетах, раскрывающих количественную информацию.
23. Концепция существенности, используемая в данном документе, предполагает, что информацию в отчетности можно не указывать только в исключительных случаях, если это не повлияет на процесс принятия решений банком (то есть отсутствие этой информации может оказать влияние на лиц, принимающих решение, в частности на совет директоров и руководство, или привести к принятию другого решения, в отличие от того, которое было бы принято, если бы им была предоставлена недостающая достоверная информация).
Применяя концепцию существенности, банки должны учитывать вероятность роста уровня рисков, вызванных расширением бизнеса банков. Органы надзора ожидают, что банки смогут обосновать исключение информации в результате применения концепции существенности.
24. Банки должны представлять отчетность с учетом перспективы с целью обеспечения раннего предупреждения нарушений установленных в банке лимитов и превышения риск-аппетита (толерантности к риску). В банках также должна быть обеспечена возможность проведения гибкого и эффективного стресс-тестирования, позволяющего осуществить оценку рисков на перспективу. Органы надзора ожидают, что управленческая отчетность позволит банкам предвидеть потенциальные проблемы и осуществлять оценку рисков на перспективу.
25. В некоторых случаях для упрощения процесса агрегирования рисков можно прибегнуть к экспертной оценке неполных данных или дать более подробное описание результатов при составлении отчетности о рисках. При этом экспертная оценка может использоваться вместо раскрытия полных и достоверных данных только в исключительных случаях и не должна оказывать существенное влияние на соблюдение банками Принципов. Процедуры использования экспертной оценки должны быть задокументированы и прозрачны, что позволит осуществить независимую оценку применяемых процедур и критериев, используемых в процессе принятия решений.
I. Общее управление и инфраструктура
26. Банк должен иметь надежную структуру управления, архитектуру данных о рисках и инфраструктуру ИТ. Это является необходимым условием обеспечения соответствия Принципам, описанным в данном документе. В частности, совет директоров банка должен контролировать внедрение банком Принципов в сроки, согласованные с органами надзора.
Принцип 1. Корпоративное управление
Процедуры банка по агрегированию рисков и представлению отчетности должны быть составной частью надежной системы корпоративного управления, соответствующей другим принципам и руководствам, принятым Базельским комитетом <1>.
--------------------------------
<1> Например, "Принципы укрепления корпоративного управления" (Базель, октябрь 2010 г.) и "Дополнения к Базелю II" (июль 2009 г.).
27. Совет директоров и руководство банка должны обеспечивать на уровне банка выявление и оценку рисков, являющихся составной частью процедуры управления рисками. В банке должны быть разработаны и утверждены стандарты процедур обработки данных по рискам, а также политика конфиденциальности, сохранности данных и доступа к ним, а также политика управления рисками.
28. Совет директоров и руководство банка должны рассмотреть и утвердить процедуры агрегирования рисков и порядок представления отчетности на уровне банковской группы и обеспечить выделение соответствующих ресурсов.
29. Процедуры агрегирования рисков и порядок представления отчетности:
(a) должны быть задокументированы и подвергаться независимому анализу на предмет соответствия жестким требованиям и данным Принципам. Первоочередной задачей такого анализа является обеспечение соответствия процедур агрегирования рисков профилю рисков банка. Независимый анализ является составной частью других независимых проверок, предусмотренных программой управления рисками банка <1>, проводится с учетом таких проверок и охватывает все компоненты процесса агрегирования рисков и представления отчетности. Для проведения независимого анализа должен привлекаться персонал, имеющий специальную подготовку в сфере ИТ и опыт работы по обработке информации и составлению отчетности <2>;
--------------------------------
<1> В частности, так называемая "вторая линия обороны", то есть система внутреннего контроля банка.
<2> Кроме того, данный анализ должен проводиться отдельно от аудиторских проверок, что позволит продемонстрировать различие между второй и третьей "линией обороны" в рамках системы внутреннего контроля банка. См. в том числе Принципы 2 и 13 документа Базельского комитета "Функции внутреннего аудита в банках" (июнь 2012 г.).
(b) должны являться составной частью новых инициатив, включая приобретение и разделение активов, разработку новых продуктов, а также внесений изменений в ИТ. При решении вопроса о существенных приобретениях банк должен провести независимую комплексную экспертизу для оценки возможностей приобретаемого юридического лица по агрегированию рисков и представлению отчетности, а также оценить влияние, которое окажет приобретение данного юридического лица, на процедуры самого банка по агрегированию рисков и представлению отчетности. Влияние приобретения юридического лица на процедуры банка по агрегированию рисков и представлению отчетности тщательно анализируется советом директоров банка, который принимает решение о целесообразности продолжения данной сделки. Банк самостоятельно определяет сроки для интеграции и приведения практических методов агрегирования рисков и представления отчетности приобретенного юридического лица в соответствие с собственными процедурами;
(c) должны быть независимыми от структуры банковской группы. Структура группы не должна ограничивать возможности агрегирования рисков на консолидированном уровне или на любом соответствующем уровне в рамках организации (например, на субконсолидированном уровне, на уровне юрисдикции, в которой осуществляется деятельность). Особый момент: возможности агрегирования рисков не должны зависеть от выбранных банком организационно-правовой формы и регионов присутствия <1>.
--------------------------------
<1> С учетом законодательных ограничений по обмену информацией между юрисдикциями.
30. Руководство банка должно обладать пониманием имеющихся ограничений, препятствующих полному агрегированию рисков с точки зрения полноты охвата (например, какие-то неучтенные риски или дочерние компании), технического исполнения (например, показатели работы модели или степень зависимости от процессов, выполняемых вручную) или требований законодательства (правовые ограничения, установленные разными юрисдикциями в отношении обмена данными). Руководство банка должно обеспечивать возможность совершенствования процедур агрегирования рисков и представления отчетности и устранения любого несоответствия Принципам, описанным в данном документе, учитывая при этом растущие потребности бизнеса. Руководство банка также должно определить данные, имеющие критическое значение для агрегирования рисков, и инициативы, касающиеся инфраструктуры ИТ, которые должны быть указаны в стратегических планах развития ИТ, и поддерживать данные инициативы, выделяя соответствующие финансовые и людские ресурсы.
31. Совет директоров банка несет ответственность за определение требований к отчетности по рискам и должен знать об ограничениях, препятствующих полному агрегированию рисков в управленческой отчетности. Совет директоров банка также должен быть информирован на постоянной основе о ходе внедрения изложенных в данном документе Принципов.
Принцип 2. Архитектура данных и инфраструктура ИТ
Банк должен разработать и поддерживать архитектуру данных и инфраструктуру ИТ, на базе которых будет осуществляться агрегирование рисков и составление отчетности не только в обычных условиях, но и в периоды стресса или кризиса. При этом должны соблюдаться другие Принципы.
32. Процедуры агрегирования рисков и порядок представления отчетности следует рассматривать в контексте разработки планов банка по обеспечению непрерывности деятельности и осуществлять их регулярный анализ на предмет их влияния на деятельность банка.
33. Банк должен разработать интегрированные <1> процедуры систематизации и построения архитектуры данных для всей банковской группы, а также определить характеристики данных (метаданные) и единые идентификаторы и (или) унифицированные условные обозначения данных для юридических лиц, контрагентов и счетов.
--------------------------------
<1> Количество моделей данных, которые могут использовать банки, не ограничивается одной моделью данных; напротив, банки должны применять мощные автоматизированные процедуры выверки, позволяющие использовать несколько моделей.
34. Функции и обязанности распределяются как по направлениям деятельности, так и по функциям в области ИТ с учетом источников, качества данных и информации о рисках. Сотрудники, ответственные за определенное направление деятельности и функции ИТ, совместно с менеджерами по риску должны обеспечить наличие необходимых рычагов контроля в течение всего жизненного цикла данных, применимых ко всем аспектам технологической инфраструктуры. Функции сотрудника, ответственного за направление деятельности, включают в себя контроль за правильностью введения данных соответствующим фронт-офисом, за обновлением и соответствием данных их определениям, а также за соответствием практических методов агрегирования рисков и представления информации установленной банком политике.
II. Процедуры агрегирования рисков
35. Банки должны разработать и поддерживать надежные процедуры агрегирования рисков, которые обеспечат достоверность данных о рисках, указанных в управленческой отчетности по рискам (то есть соблюдение требований в отношении агрегирования рисков необходимо для соблюдения требований в отношении отчетности). Соблюдение одного из Принципов не должно осуществляться за счет невыполнения других Принципов. Процедуры агрегирования рисков должны обеспечить выполнение одновременно всех описанных далее Принципов согласно пункту 22 настоящего документа.
Принцип 3. Точность и целостность
Банк должен располагать точными и достоверными данными о рисках, соответствующими требованиям к качеству данных, предъявляемым к отчетности, составляемой как в текущих, так и в стрессовых (кризисных) условиях. Процедуры агрегирования данных должны быть максимально автоматизированы во избежание ошибок.
36. Банк должен использовать надежные процедуры агрегирования рисков:
(a) для контроля точности данных о рисках должны использоваться такие же жесткие процедуры, что и для контроля данных бухгалтерского учета;
(b) если банк использует ручные процессы и автоматизированные приложения (например, рабочие ведомости, базы данных), а также имеет специальные отделы по управлению рисками, которые используют данные приложения для разработки программного обеспечения, банк должен применять эффективные средства снижения рисков (например, политики и процедуры использования компьютерных программ конечным пользователем) и другие соответствующие средства контроля, применяемые в банковских процессах на постоянной основе;
(c) данные о рисках необходимо сверять с источниками данных, имеющимися у банка, включая данные бухгалтерского учета, что обеспечит точность данных о рисках <1>;
--------------------------------
<1> В данном документе выверка означает процесс сравнения отдельных объектов или результатов и описания различий между ними.
(d) банк должен обеспечить наличие единого надежного источника информации по каждому виду риска;
(e) сотрудникам отдела управления рисками банка должен быть предоставлен необходимый доступ к данным о рисках для осуществления агрегирования, подтверждения и выверки данных на основании отчетов о рисках.
37. В качестве предварительного условия банк должен составить словарь используемых концепций, который обеспечит единое толкование данных в масштабах всей организации.
38. Необходимо поддерживать обоснованное соотношение в применении автоматизированных и ручных систем. В ситуациях, требующих профессионального суждения, участие человека может быть вполне оправданным. Другие процедуры желательно максимально автоматизировать во избежание вероятности ошибок.
39. Органы надзора считают необходимым, чтобы банки составляли описание всех процессов агрегирования рисков, как автоматизированных, так и ручных (предусматривающих профессиональные суждения и другие процессы), в письменном виде, включая пояснения к ним. Документация должна включать в себя обоснование применения любых ручных процессов (на основе бумажных носителей), оценку их значения с точки зрения точности агрегирования рисков и описание предлагаемых действий по снижению рисков.
40. Органы надзора ожидают, что банки будут осуществлять контроль за точностью данных и разработают процедуры и планы действий на случаи выявления недостоверных данных.
Принцип 4. Полнота данных
Банк должен осуществлять сбор данных и их агрегирование по всем существенным рискам на уровне банковской группы. Данные должны группироваться по направлениям деятельности, юридическим лицам, типам активов, отраслям промышленности, регионам и другим признакам в соответствии с рассматриваемым риском, что позволит выявлять риски и составлять отчеты о принятых рисках, их концентрации и о вновь возникающих рисках.
41. Процедуры агрегирования рисков должны охватывать все существенные риски, включая учитываемые на внебалансовых счетах.
42. Банк не должен использовать единые метрики для измерения всех рисков, но их агрегирование должно производиться независимо от выбранных банком методов измерения рисков. При этом каждый используемый метод измерения (оценки) риска и подходы к их агрегированию должны быть понятны и позволять совету директоров и руководству оценивать надежность результатов агрегирования.
43. Органы надзора ожидают, что результаты агрегирования рисков будут полными и что банки будут осуществлять контроль за их полнотой. В случае если результаты агрегирования являются неполными, то это не должно оказывать существенного влияния на способность банка обеспечить эффективное управление рисками. Органы надзора ожидают, что результаты агрегирования должны быть по возможности полными, а любые исключения должны быть выявлены и сопровождаться соответствующим обоснованием.
Принцип 5. Своевременность
Банк должен своевременно формировать агрегированные и актуализированные данные о рисках при одновременном соблюдении принципов точности, целостности, полноты и адаптивности данных. Конкретные сроки формирования данных зависят от характера и потенциальной волатильности измеряемого риска, а также от степени его существенности в рамках всего профиля рисков банка. Конкретные сроки формирования данных также зависят от принятой в банке периодичности подготовки управленческой отчетности по рискам в обычных условиях работы, а также в стрессовых и кризисных ситуациях, характера деятельности банка и его профиля рисков.
44. Агрегирование рисков должно проводиться с учетом требований к срокам подготовки управленческой отчетности по рискам.
45. Базельский комитет признает, что в отношении разных типов данных может быть предусмотрена разная срочность их предоставления в зависимости от типа риска, а в стрессовых или кризисных ситуациях те или иные данные о рисках могут потребоваться срочно. Банк должен создать систему управления рисками, предусматривающую подготовку агрегированных данных о рисках в кратчайшие сроки при возникновении стрессовых или кризисных ситуаций.
46. К существенным рискам, в частности, относятся следующие:
(a) агрегированный кредитный риск на крупного корпоративного заемщика. При этом следует иметь в виду, что риски на розничных клиентов могут и не подвергаться существенным изменениям в течение короткого периода времени, но при этом существенные концентрации для них все же характерны;
(b) кредитный риск на контрагента, включая, например, деривативы;
(c) рыночный риск, в том числе концентрация рыночного риска по секторам и регионам, структура торгового портфеля, система лимитов;
(d) риск ликвидности, включая такие его показатели, как денежные потоки и финансирование;
(e) операционный риск, включая такие показатели, как эксплуатационная готовность систем, предотвращение несанкционированного доступа.
47. Органы надзора будут контролировать соблюдение банками требований к периодичности представления данных, установленной для обычного режима работы и для стрессовых и кризисных ситуаций.
Принцип 6. Адаптивность
Процедуры агрегирования рисков, принятые в банке, должны позволять представлять информацию по запросам, включая запросы со стороны руководства банка и надзорных органов, в том числе в период стресса или кризиса.
48. Процедуры агрегирования рисков должны быть достаточно гибкими и адаптивными и должны позволять банку отвечать на запросы о предоставлении при необходимости специальной информации и оценивать вновь возникающие риски. Адаптивность позволит банкам повысить качество управления рисками, в том числе качество прогнозов и информации, используемой в процедурах стресс-тестирования и сценарного анализа.
49. Адаптивность означает:
(a) наличие достаточно гибких процедур, позволяющих агрегировать риски и быстро принимать решения;
(b) наличие возможностей модификации процедур в целях удовлетворения потребностей пользователя (например, панели показателей, основные результаты работ, отклонения), что позволит получить информацию с необходимым уровнем ее детализации, а также составлять оперативную отчетность;
(c) наличие возможностей, позволяющих применять новые разработки в отношении организации рабочего процесса и (или) внешних факторов, влияющих на профиль рисков банка;
(d) наличие возможностей, позволяющих вносить изменения в связи с пересмотром законодательной базы.
50. Органы надзора ожидают, что банки будут создавать базы данных по определенным сценариям или по итогам определенных событий в экономике. Например, банк должен иметь возможность представить агрегированные данные по страновому риску <1> на указанную дату по определенным странам, а также по отраслевому риску по всем бизнес-линиям и географическим регионам.
--------------------------------
<1> Включая, например, риски суверена, банка, корпораций и розничных сетей.
III. Практика представления отчетности по рискам
51. Точные, полные и своевременные данные составляют основу эффективного управления рисками. Однако наличие данных само по себе не гарантирует получение советом директоров и руководством банка соответствующей информации, которая позволит принять эффективное решение в отношении риска. Эффективное управление рисками требует наличия надлежащей информации у соответствующих сотрудников в определенное время. Отчетность по рискам должна быть точной, четкой и полной. Она должна содержать достоверную информацию, составленную с учетом того, что отчетность будет представлена лицам, принимающим решение, и сроки представления отчетности должны быть достаточными для принятия решения. Для достижения поставленных целей отчетность по рискам должна составляться в соответствии с указанными Принципами. Соблюдение одного из Принципов не должно осуществляться за счет невыполнения других Принципов согласно пункту 22 настоящего документа.
Принцип 7. Точность
Отчетность по рискам должна точно и достоверно отражать агрегированные риски и четко отражать уровень принятого банком риска. Отчетность должна быть согласована и выверена.
52. Отчетность по рискам должна быть точной и достоверной, позволяя совету директоров и руководству банка полностью доверять представленной в ней агрегированной информации и принимать важные решения по рискам.
53. Для обеспечения точности отчетности банк должен использовать как минимум:
(a) определенные требования и процедуры для обеспечения точности содержащихся в отчетности данных по рискам;
(b) автоматизированные и ручные процедуры проверки данных, в том числе совокупность правил валидации, применяемых в отношении количественной информации. Эти правила должны включать описание условных обозначений, используемых для описания математических и логических взаимосвязей, которые используются в процедурах проверки данных;
(c) интегрированные процедуры выявления, объяснения и подготовки информации о допущенных ошибках или недостатках представляемой отчетности с точки зрения ее целостности.
54. Аппроксимация данных является составной частью отчетности по рискам и управления рисками. Результаты, полученные с помощью моделей сценарного анализа и стресс-тестов, являются примерами аппроксимации данных, имеющей существенное значение для управления рисками. Несмотря на то что ожидания в отношении применения аппроксимации данных могут отличаться от ожиданий в отношении результатов, полученных иными способами, банки должны соблюдать установленные настоящим документом Принципы и разработать внутренние требования к надежности аппроксимации данных (точность, своевременность и так далее), что позволит руководству банка полагаться на данную информацию в процессе принятия решений. использовать данную информацию с уверенностью в ее достоверности. Сюда также относятся принципы, касающиеся данных, используемых для аппроксимации.
55. Органы надзора ожидают, что руководство банка определит требования к точности и достоверности данных, которые будут применяться в отношении отчетности, составляемой в обычном рабочем режиме и в стрессовых или критических ситуациях, включая информацию о критических ситуациях и о рисках. Требования должны отражать важность решений, основанных на данной информации.
56. Органы надзора ожидают, что банки будут предъявлять такие же требования к существенности информации по рискам, как и к данным бухгалтерского учета. Так, например, если упущение или искажение данных может оказать влияние на решение о рисках, принимаемое пользователем данных, то эти данные могут считаться существенными. Банк должен уметь обосновать требования к точности данных. Органы надзора ожидают, что информация, содержащаяся в отчетности, будет подвергаться валидации, тестированию и выверке результатов.
Принцип 8. Комплексность
Отчетность по рискам должна охватывать все существенные риски, принятые банком. Детализация и объем отчетности должны соответствовать масштабу и сложности операций, выполняемых банком, и профилю его рисков, а также требованиям пользователей отчетности.
57. Отчетность по рискам должна включать в себя информацию обо всех существенных рисках (например, кредитный риск, рыночный риск, риск ликвидности, операционный риск), а также по всем существенным компонентам данных рисков (например, для кредитного риска - риск на одного заемщика, страну и сектор экономики). Отчетность по рискам также должна включать в себя информацию об используемых банком методах оценки рисков (например, регулятивный и экономический капитал).
58. Отчетность должна выявлять концентрацию рисков, представлять информацию о соблюдении установленных лимитов и риск-аппетита (толерантности к риску), а также содержать рекомендации о необходимых действиях. Отчетность по рискам должна включать в себя информацию о принятых мерах по снижению риска, утвержденных советом директоров и руководством банка. Сюда относятся осуществление мониторинга формирующихся тенденций на основе перспективных прогнозов и стресс-тестов.
59. Надзорные органы ожидают, что банки должны разработать требования к отчетности по рискам, максимально соответствующие моделям их бизнеса и профилям риска. При этом установленные банками диапазон охвата рисков, процедуры обработки данных по рискам должны соответствовать требованиям надзорных органов и позволять осуществлять сравнительный анализ по группам однородных банков. Так, например, агрегированный отчет по рискам должен включать в себя как минимум следующую информацию: уровень достаточности капитала, величина регулятивного капитала, целевой уровень капитала и уровни риска ликвидности, кредитного, рыночного, операционного рисков, результаты стресс-тестов, концентрация риска и фактические и плановые объемы финансирования.
60. Органы надзора ожидают, что отчетность по рискам, представляемая совету директоров и руководству банка, будет давать перспективную оценку риска и не будет опираться исключительно на текущие или исторические данные. Отчетность должна включать в себя прогнозы или сценарии движения основных переменных рынка и оценку их влияния на банк, на основании чего совет директоров и руководство получат представление о вероятной траектории движения капитала банка и о перспективах изменения профиля риска в будущем.
Принцип 9. Четкость и информативность
Отчетность по рискам должна передавать информацию четко и однозначно. Отчеты должны быть простыми для понимания, но вместе с тем достаточно емкими, чтобы руководство могло принимать обоснованные решения. Отчеты должны содержать существенную информацию, составленную с учетом требований пользователей.
61. Отчетность банков по рискам должна поддерживать процедуры управления рисками и принятия решений ее пользователями, в том числе советом директоров и руководством банка. Отчеты должны содержать значимую информацию, составленную с учетом требований их пользователей.
62. При составлении отчетов необходимо соблюдать баланс между данными о рисках, результатами анализа и качественной информацией. Соотношение между количественной и качественной информацией может варьироваться на разных уровнях организации и, кроме того, зависит от уровня агрегирования, в соответствии с которым составляются отчеты. Чем выше уровень организации, тем выше уровень агрегирования и, следовательно, выше необходимость в качественной информации.
63. Политика и процедуры составления и представления отчетности должны учитывать разный уровень потребности в информации совета директоров, руководства банка, структурных подразделений банка (например, кредитные комитеты).
64. Являясь одним из главных пользователей отчетности по рискам, совет директоров банка несет ответственность за разработку требований к составлению такой отчетности и за выполнение своих обязательств по отношению к акционерам и другим заинтересованным сторонам. Совет директоров должен обеспечить запросы и получение информации, необходимой для выполнения им своих функций по управлению банком и по контролю за рисками, что позволит, в свою очередь, контролировать работу банка в рамках принятого риск-аппетита (толерантности к риску).
65. Совет директоров должен требовать разъяснений от руководства банка, в случае если отчетность по рискам не соответствует требованиям, установленным советом директоров, и содержащаяся в ней информация не позволяет осуществлять мониторинг соблюдения банком установленного уровня риск-аппетита (толерантности к риску). Совету директоров следует информировать руководство банка об удовлетворенности соотношением количественной и качественной информации, содержащейся в отчетности.
66. Руководство банка также является ключевым пользователем отчетности по рискам и также несет ответственность за разработку требований к этой отчетности. Руководство банка следит за тем, чтобы получаемая им информация позволяла исполнять возложенные на него обязанности по управлению банком и рисками.
67. Банк должен разработать подходы к классификации данных о рисках на основе используемой им методики составления отчетности.
68. Органы надзора ожидают, что отчеты будут четкими и информативными. Отчеты должны составляться с учетом баланса между данными о рисках, результатами анализа и качественной информацией.
69. Органы надзора ожидают, что банк будет периодически запрашивать у пользователей отчетности подтверждение того, что агрегированная информация и отчеты содержат необходимые данные, соответствуют установленным требованиям с точки зрения объема и качества данных и применимы для целей управления и принятия решений.
Принцип 10. Периодичность отчетности
Совет директоров и руководство банка (а также другие пользователи отчетности) должны установить периодичность составления и представления отчетности по рискам. Требования к периодичности отчетности должны основываться на потребностях пользователей, характере риска, в отношении которого составляется отчет, а также на динамике риска и значимости отчетов для надлежащего управления рисками и эффективного принятия обоснованных решений всей банковской структурой. В периоды стрессов или кризиса отчеты должны составляться чаще.
70. Периодичность составления отчетности по рискам зависит от типа риска, цели отчетов и категорий их пользователей. Банк должен периодически анализировать назначение каждого отчета и устанавливать требования к срокам подготовки отчетов как в условиях нормального режима работы, так и в стрессовых или кризисных ситуациях. Банк должен также регулярно анализировать свои возможности по подготовке отчетов, содержащих точную информацию, в установленные сроки, особенно в стрессовых и кризисных ситуациях.
71. Органы надзора ожидают, что в стрессовых или кризисных ситуациях все отчеты по кредитному, рыночному рискам, а также риску ликвидности должны составляться в кратчайшие сроки, чтобы принять эффективные меры в отношении растущих рисков. Некоторые данные о рисках могут потребоваться немедленно (в течение того же дня) для реализации своевременных ответных мер.
Принцип 11. Распространение
Отчетность по рискам распространяется среди заинтересованных лиц при условии соблюдения конфиденциальности.
72. Необходимо применять процедуры, обеспечивающие сбор и анализ данных о рисках в кратчайшие сроки, а также своевременное распространение отчетов среди заинтересованных пользователей. При распространении отчетов в определенных случаях следует учитывать необходимость соблюдения конфиденциальности.
73. Органы надзора ожидают, что банк должен периодически проверять соответствие списков пользователей отчетности и своевременность ее распространения.
IV. Контроль, инструменты и взаимодействие органов надзора
74. Органы надзора играют важную роль в осуществлении мониторинга, стимулировании внедрения банками и постоянного соблюдения ими данных Принципов. Кроме того, органы надзора контролируют соблюдение Принципов на уровне всех банков и проверяют, позволяют ли Принципы достичь поставленных целей и требуется ли их доработка.
Принцип 12. Контроль
Органы надзора осуществляют регулярный контроль и оценку соблюдения банками описанных ранее одиннадцати принципов.
75. Органы надзора осуществляют регулярный контроль и оценку соблюдения банками описанных выше Принципов. Контроль за соблюдением Принципов должен быть включен в программу текущего контроля органов надзора. Дополнительно могут также проводиться тематические проверки нескольких банков по одному или нескольким выбранным направлениям. Контроль за соблюдением Принципов может осуществляться надзорными органами в форме запросов о предоставлении информации по определенному риску (например, информации о подверженности каким-либо факторам риска), которая должна быть представлена в кратчайшие сроки, что позволит также проверить способность банка быстро агрегировать данные о рисках и осуществлять подготовку отчетности. В этих целях органам надзора должен предоставляться доступ к соответствующей информации.
76. В целях осуществления контроля за соблюдением банками данных Принципов органы надзора могут использовать отчеты внутренних или внешних аудиторов. Органы надзора могут потребовать от банка проведения такой работы внутренними или внешними аудиторами. Органы надзора должны иметь доступ ко всем необходимым документам, в том числе к отчетам о внутренней проверке и к аудиторским отчетам, а также должны иметь возможность обсуждать вопросы агрегирования рисков с внешними аудиторами или независимыми экспертами банка.
77. Органы надзора проверяют возможности банка агрегировать данные и предоставлять отчетность по рискам как в обычном режиме, так и в стрессовых (кризисных) ситуациях, в том числе в случае неожиданного резкого увеличения объема операций.
Принцип 13. Меры воздействия
Органы надзора должны иметь в своем распоряжении и использовать соответствующие средства и ресурсы, которые позволят им обеспечить выполнение банком эффективных и своевременных действий по устранению недостатков в области агрегирования и представления отчетности по рискам. Органы надзора должны иметь полномочия применять все инструменты, в том числе предусмотренные Компонентом 2.
78. Органы надзора должны требовать от банков осуществления эффективных и своевременных действий по устранению недостатков в области агрегирования рисков, составления отчетности по рискам, а также в системе внутреннего контроля.
79. Органы надзора должны иметь в своем распоряжении соответствующие инструменты для устранения выявленных недостатков в области агрегирования рисков и представления отчетности по рискам. К таким инструментам могут относиться, в частности, направление требования банку об устранении недостатков; усиление надзорных мер; требование о проведении независимой проверки третьим лицом, например внешним аудитором; возможное введение дополнительных требований к капиталу, как это предусмотрено требованиями Компонента 2 <1>.
--------------------------------
<1> Базельский комитет, "Дополнения к Базелю II" (июль 2009 г.).
80. Органам надзора должно быть предоставлено право вводить ограничения на риски или рост объема операций в случае, если выявленные недостатки были оценены как существенные и оказывающие негативное влияние на систему управления рисками.
81. Надзорные органы могут потребовать от банка обеспечения разработки процедур агрегирования новых видов рисков до начала осуществления банками новых видов операций.
82. Надзорные органы должны устанавливать для банков сроки устранения выявленных нарушений. В случае если банк не принимает мер к устранению выявленных нарушений, органы надзора должны иметь возможность действовать более жестко.
Принцип 14. Взаимодействие между органами надзора страны происхождения и страны пребывания
Органы надзора должны сотрудничать с соответствующими органами надзора в других юрисдикциях в области контроля за соблюдением Принципов, а также в отношении выполнения необходимых мер по устранению выявленных нарушений.
83. Эффективное взаимодействие и обмен соответствующей информацией между органами надзора страны происхождения и страны пребывания позволят укрепить практические методы управления рисками во всех юрисдикциях, в которых действует банк. По возможности органы надзора не должны допускать проведение излишних и несогласованных проверок в области агрегирования рисков и представления отчетности по ним.
84. Сотрудничество может осуществляться в форме обмена информацией с учетом ограничений, предусмотренных действующим законодательством, а также в форме двухстороннего или многостороннего обсуждения проблем органами надзора (например, в рамках надзорных коллегий), включая, в частности, регулярные совещания. Совместная работа через конференц-связь или сообщения по электронной почте может быть особенно полезной при осуществлении контроля за реализацией мер по устранению недостатков. Сотрудничество в рамках коллегий осуществляется в соответствии с требованиями Базельского комитета, предусмотренными в "Принципах надлежащей практики надзорных коллегий" <1>.
--------------------------------
<1> Базельский комитет, "Принципы надлежащей практики коллегий надзорных органов" (октябрь 2010 г.), см. www.bis.org/publ/bcbs177.pdf.
85. Органы надзора должны обсуждать опыт, накопленный ими в сфере надзора за агрегированием рисков и представления отчетности по ним, по участникам группы. В рамках этих обсуждений можно рассмотреть факторы, препятствующие агрегированию рисков и представлению отчетности по ним, обусловленные трансграничными проблемами, а также полноту агрегирования рисков на уровне группы. Такой обмен мнениями позволит органам надзора выявлять проблемы на ранних стадиях и реагировать на них быстро и эффективно.
V. Сроки внедрения и механизм перехода
86. Органы надзора ожидают, что инфраструктура данных и ИТ банков в ближайшие годы будет укрепляться, что повысит качество агрегирования рисков и представления отчетности по ним как в обычном режиме, так и в стрессовых или кризисных ситуациях.
87. Национальные органы банковского надзора начнут обсуждение вопросов о внедрении Принципов с руководством глобальных системно значимых банков в начале 2013 года. Это позволит банкам разработать стратегию, соответствующую Принципам, к 2016 году.
88. Для обеспечения соблюдения срока внедрения Принципов глобальными системно значимыми банками, установленного на 2016 год, национальные органы банковского надзора совместно с руководством банка оценят возможности банков в области агрегирования рисков и согласуют сроки их доработки. Желательно, чтобы используемые надзорными органами подходы для оценки указанных возможностей банков включали требования о проведении самооценки глобальными системно значимыми банками в начале 2013 года таким образом, чтобы до 2016 года были решены все существенные проблемы. Органы надзора также могут привлекать технических экспертов для оказания помощи в проведении оценки разработанных планов банков по приведению своей деятельности в соответствие с Принципами к 2016 году <1>.
--------------------------------
<1> Базельский комитет признает, что в самых исключительных случаях национальные органы надзора могут допускать некоторые отклонения от сроков, установленных на 2016 год. Например, если процессы передаются на исполнение третьим лицам, это обстоятельство может учитываться при определении сроков внедрения Принципов, поскольку срок действия некоторых контрактов с внешними подрядчиками может истекать позднее 2016 года.
89. Базельский комитет начнет следить за ходом внедрения Принципов глобальными системно значимыми банками с 2013 года в рамках созданной им Рабочей группы по надзору и внедрению стандартов (SIG). Данный процесс предусматривает оценку эффективности непосредственно Принципов и решение вопроса о необходимости их улучшения или пересмотра для достижения поставленных целей. Базельский комитет будет сообщать СФС о результатах деятельности в этом направлении не реже одного раза в год начиная с конца 2013 года.
Приложение 1
ТЕРМИНЫ, ИСПОЛЬЗОВАННЫЕ В НАСТОЯЩЕМ ДОКУМЕНТЕ
Точность
Степень совпадения результатов измерений, данных бухгалтерского учета с величиной, которая измеряется или отражается на счетах бухгалтерского учета. Данное определение относится и к агрегированию рисков, и к отчетности по рискам.
Адаптивность
Способность системы агрегирования рисков изменяться в зависимости от ситуации (внутренней или внешней).
Аппроксимация
Результат, который не всегда может быть точным, но приемлем для данной цели.
Четкость
Предоставленная информация о риске должна быть простой для понимания и не должна содержать неясных или двусмысленных положений.
Полнота
Наличие необходимых данных о рисках, агрегированных с учетом всех структурных подразделений (например, по юридическим лицам, направлениям деятельности, юрисдикциям и т.д.).
Комплексный характер
Уровень, при котором отчетность по рискам включает в себя или рассматривает все риски, принятые банком.
Распространение
Обеспечение передачи отчетности по рискам заинтересованным пользователям.
Периодичность
Определенные временные промежутки представления отчетности по рискам.
Целостность
Защита данных о риске от несанкционированного внесения изменений или несанкционированного использования, которые ставят под угрозу точность, полноту и достоверность данных.
Ручные процессы (на основе бумажных носителей)
Применение выполняемых человеком процессов и используемых им средств для передачи, обработки или внесения изменений в данные, предназначенные для агрегирования или составления отчетности.
Достоверность
Степень совпадения результатов измерений одних и тех же или аналогичных величин в случае применения одних и тех же механизмов измерения при определенных условиях.
Выверка
Сравнение данных или результатов и пояснение выявленных расхождений.
Риск-аппетит (толерантность к риску)
Уровень и тип риска, который готов принять на себя банк в данных условиях в ходе осуществления деятельности с учетом характера бизнеса и обязательств перед заинтересованными сторонами. Данный параметр характеризуется качественными и количественными показателями.
Агрегирование рисков
Определение, сбор и обработка данных о рисках в соответствии с требованиями к составлению отчетности по рискам для оценки эффективности деятельности банка с учетом риск-аппетита (толерантности к риску). Сюда относятся классификация, объединение или разбивка групп данных.
Своевременность
Предоставление агрегированных данных о риске в течение установленного срока, позволяющего банку формировать отчетность по риску с определенной периодичностью.
Валидация
Процедуры, позволяющие определить и дать количественную оценку правильности (или неправильности) исходных, обработанных и выходных данных.
Приложение 2
КРАТКИЙ ОБЗОР ПРИНЦИПОВ
Данные Принципы охватывают следующие четыре тесно взаимосвязанных направления деятельности:
(i) Общее управление и инфраструктура
(ii) Возможности агрегирования рисков
(iii) Практика представления отчетности по рискам
(iv) Контроль, инструменты и взаимодействие органов надзора
I. Общее управление и инфраструктура
Принцип 1. Корпоративное управление
Процедуры банка по агрегированию рисков и представлению отчетности должны быть составной частью надежной системы корпоративного управления, соответствующей другим принципам и руководствам, принятым Базельским комитетом <1>.
--------------------------------
<1> Например, "Принципы укрепления корпоративного управления" (Базель, октябрь 2010 г.) и "Дополнения к Базелю II" (июль 2009 г.).
Принцип 2. Архитектура данных и инфраструктура ИТ
Банк должен разработать и поддерживать архитектуру данных и инфраструктуру ИТ, на базе которых будет осуществляться агрегирование рисков и составление отчетности не только в обычных условиях, но и в периоды стресса или кризиса. При этом должны соблюдаться другие Принципы.
II. Возможности агрегирования рисков
Принцип 3. Точность и целостность
Банк должен располагать точными и достоверными данными о рисках, соответствующими требованиям к качеству данных, предъявляемым к отчетности, составляемой как в текущих, так и в стрессовых (кризисных) условиях. Процедуры агрегирования данных должны быть максимально автоматизированы во избежание ошибок.
Принцип 4. Полнота данных
Банк должен осуществлять сбор данных и их агрегирование по всем существенным рискам на уровне банковской группы. Данные должны группироваться по направлениям деятельности, юридическим лицам, типам активов, отраслям промышленности, регионам и другим признакам в соответствии с рассматриваемым риском, что позволит выявлять риски и составлять отчеты о принятых рисках, их концентрации и о вновь возникающих рисках.
Принцип 5. Своевременность
Банк должен своевременно формировать агрегированные и актуализированные данные о рисках при одновременном соблюдении принципов точности, целостности, полноты и адаптивности данных. Конкретные сроки формирования данных зависят от характера и потенциальной волатильности измеряемого риска, а также от степени его существенности в рамках всего профиля рисков банка. Конкретные сроки формирования данных также зависят от принятой в банке периодичности подготовки управленческой отчетности по рискам в обычных условиях работы, а также в стрессовых и кризисных ситуациях, характера деятельности банка и его профиля рисков.
III. Практика представления отчетности по рискам
Принцип 6. Адаптивность
Процедуры агрегирования рисков, принятые в банке, должны позволять представлять информацию по запросам, включая запросы со стороны руководства банка и надзорных органов, в том числе в период стресса или кризиса.
Принцип 7. Точность
Отчетность по рискам должна точно и достоверно отражать агрегированные риски и четко отражать уровень принятого банком риска. Отчетность должна быть согласована и выверена.
Принцип 8. Комплексность
Отчетность по рискам должна охватывать все существенные риски, принятые банком. Детализация и объем отчетности должны соответствовать масштабу и сложности операций, выполняемых банком, и профилю его рисков, а также требованиям пользователей отчетности.
Принцип 9. Четкость и информативность
Отчетность по рискам должна передавать информацию четко и однозначно. Отчеты должны быть простыми для понимания, но вместе с тем достаточно емкими, чтобы руководство могло принимать обоснованные решения. Отчеты должны содержать существенную информацию, составленную с учетом требований пользователей.
Принцип 10. Периодичность отчетности
Совет директоров и руководство банка (а также другие пользователи отчетности) должны установить периодичность составления и представления отчетности по рискам. Требования к периодичности отчетности должны основываться на потребностях пользователей, характере риска, в отношении которого составляется отчет, а также на динамике риска и значимости отчетов для надлежащего управления рисками и эффективного принятия обоснованных решений всей банковской структурой. В периоды стрессов или кризиса отчеты должны составляться чаще.
Принцип 11. Распространение
Отчетность по рискам распространяется среди заинтересованных лиц при условии соблюдения конфиденциальности.
IV. Контроль, инструменты и взаимодействие органов надзора
Принцип 12. Контроль
Органы надзора осуществляют регулярный контроль и оценку соблюдения банками описанных ранее одиннадцати принципов.
Принцип 13. Меры воздействия
Органы надзора должны иметь в своем распоряжении и использовать соответствующие средства и ресурсы, которые позволят им обеспечить выполнение банком эффективных и своевременных действий по устранению недостатков в области агрегирования и представления отчетности по рискам. Органы надзора должны иметь полномочия применять все инструменты, в том числе предусмотренные Компонентом 2.
Принцип 14. Взаимодействие между органами надзора страны происхождения и страны пребывания
Органы надзора должны сотрудничать с соответствующими органами надзора в других юрисдикциях в области контроля за соблюдением Принципов, а также в отношении выполнения необходимых мер по устранению выявленных нарушений.