Письмо Центрального банка Российской Федерации от 27.05.2014 № 96-Т

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

(БАНК РОССИИ)

ПИСЬМО

от 27 мая 2014 г. № 96-Т

г. Москва

Территориальные учреждения

Банка России

О рекомендациях Базельского комитета по банковскому надзору «Принципы агрегирования рисков и представления отчетности по рискам»

Банк России направляет для использования в рамках анализа деятельности кредитных организаций неофициальный перевод документа Базельского комитета по банковскому надзору «Принципы агрегирования рисков и представления отчетности по рискам», январь 2013 г.

Документ на английском языке (Basel Committee on Banking Supervision, «Principles for effective risk data aggregation and risk reporting», January 2013) доступен на web-сайте Банка международных расчетов (см. ttp://www.bis.org/publ/bcbs239.pdf).

Территориальным учреждениям Банка России просьба довести настоящее письмо до сведения кредитных организаций.

Настоящее письмо подлежит опубликованию в «Вестнике Банка России».

Приложение: на 41 л.

Первый заместитель Председателя

Банка России,

Председатель

Комитета банковского надзора           А.Ю. СИМАНОВСКИЙ

________________________

Приложение

к Письму Банка России от

27 . 05. 2014 года №  96-Т

 «О рекомендациях Базельского

 комитета по банковскому надзору

«Принципы агрегирования рисков и

 представления отчетности по рискам»

Базельский комитет по банковскому надзору

Принципы агрегирования рисков и представления

отчетности  по рискам

январь 2013 г.

Банк международных расчетов

Оглавление

Целевая группа надзора за системно значимыми банками

Группы внедрения стандартов

Принципы агрегирования рисков и представления отчетности по рискам

Где же та мудрость, которую мы

растеряли в погоне за знаниями? И где же

те знания, которые мы растеряли в погоне

за информацией?

Т.С. Элиот «Скала» (1934 г.)

Предисловие

1.          Один из наиболее существенных уроков, которые преподнес нам начавшийся в 2007 году глобальный финансовый кризис, показал, что информационные технологии (далее - ИТ) и архитектуры данных не способны обеспечить надлежащее управление финансовыми рисками. У многих банков не было возможности агрегировать весь объем рисков и быстро и точно установить степень концентрации риска на уровне банковской группы, направлений деятельности банка и на уровне участников группы. Некоторые банки оказались неспособны управлять собственными рисками должным образом, имея в своем распоряжении лишь ограниченные средства агрегирования рисков и несовершенные методы представления отчетности по рискам. Эти факторы имели тяжелые последствия как для самих банков, так и для стабильности финансовой системы в целом.

2.          В связи с этим Базельский комитет по банковскому надзору (далее – Базельский комитет) выпустил дополнение к Компоненту 2 «Надзорный процесс» (далее – Компонент 2) документа «Международная конвергенция измерения капитала и стандартов капитала: новые подходы. Уточненная версия» («International Convergence of Capital Measurement and Capital Standards. A revised Framework. Comprehensive version»), Basel Committee on Banking Supervision, июнь 2006 г. (далее - Базель II),[1]направленное на расширение способности банков выявлять  и управлять рисками, характерными для всего банковского сектора. Так, в частности, Базельский комитет подчеркнул, что надежная система управления рисками требует наличия надежной системы обработки информации (MIS)[2] как на уровне отдельных банков, так и на уровне банковского сектора в целом. В руководстве по корпоративному управлению [3] Базельский комитет также указал на необходимость агрегирования  рисков.

3.          Агрегирование рисков открывает банкам  новые возможности для решения возникающих проблем. Для глобальных системно значимых банков, в частности, важно, чтобы органы финансового оздоровления имели доступ к агрегированным данным по рискам, соответствующим требованиям документа Совета по финансовой стабильности (далее - СФС) «Ключевые атрибуты эффективных режимов оздоровления и санации финансовых институтов»,[4] также изложенным далее принципам. Наличие надежной информационной базы данных позволит банкам и органам надзора заранее прогнозировать проблемы, а также ускорить процесс оздоровления банка. Она также расширит возможности поиска альтернативных путей восстановления финансовой устойчивости и жизнеспособности, если банк попадет в серьезную стрессовую ситуацию. Так, например, надежная информационная база данных упростит поиск подходящего партнера для слияния бизнеса.

4.          Преимущества расширения возможностей по агрегированию рисков уже признаны многими в банковском секторе,[5]и многие уже ведут активную деятельность в этом направлении. Банки уже смогли оценить улучшения с точки зрения расширения возможностей по управлению рисками и при принятии решений. Это позволит повысить эффективность, снизить вероятность ущерба, а также откроет новые возможности для выработки стратегических решений и в итоге повысит доходность.

5.          Органы надзора отмечают, что расширение возможностей по агрегированию рисков и представлению отчетности по рискам все еще остается нерешенной проблемой для банков, в то время как надзорным органам хотелось бы видеть более активное продвижение в этом направлении, в частности, со стороны глобальных системно значимых банков. Кроме того, существует опасность того, что с течением времени, когда острота восприятия кризиса ослабеет, также ослабеет и деятельность банков по расширению возможностей в этих областях. Все это можно объяснить необходимостью существенных вложений в системы ИТ и процедуры составления отчетности как в форме финансовых, так и людских ресурсов, результаты которых скажутся очень нескоро. 

6.          На данном этапе СФС работает над несколькими международными инициативами, которые должны обеспечить поступательное расширение возможностей банков по агрегированию рисков и представлению отчетности по ним, которые будут играть важную роль в поддержке финансовой стабильности. К ним относятся:

•     разработка принципов агрегирования рисков и представления отчетности по рискам. Эта работа основана на рекомендации СФС, содержащейся в  «Отчете о ходе реализации рекомендаций по усилению надзора», выпущенном 4 ноября 2011 года:

«СФС совместно с органами, ответственными за разработку стандартов, разработает требования надзорных органов в отношении агрегирования рисков банками, особенно системно значимыми, направленные на достижение уверенности в том, что отчетность достоверно отражает все риски. Для всех системно значимых финансовых институтов будут установлены сроки внедрения требований; для глобальных системно значимых банков крайним сроком является начало 2016 года, то есть дата, когда начнется поэтапное введение требования о поглощении убытков глобальными системно значимыми банками»;

•    разработка нового единого шаблона представления данных для глобальных системно значимых финансовых институтов, который позволит восполнить недостаток основных данных, необходимость в которых выявил кризис, таких как двухсторонние риски и риски для стран (отраслей, инструментов). Эти данные составят более прочную основу, которую соответствующие органы смогут использовать для оценки потенциальных системно значимых рисков; 

•    разработка системы идентификаторов юридических лиц (LEI) по инициативе государственного и частного секторов. Данная система предоставит возможности для идентификации сторон финансовых транзакций в любой стране мира и сформирует базу для повышения качества финансовых данных в глобальном масштабе. 

7.          Существует еще целый ряд инициатив и требований в отношении данных, которые должны быть реализованы в течение следующих нескольких лет.[6]По мнению Базельского комитета, банки вполне смогут выполнить эти требования путем внедрения передовых практических методов агрегирования рисков и представления отчетности по ним.

Определение

8.          Для целей данного документа термин «агрегирование рисков» означает определение, сбор и обработку данных о рисках в соответствии с требованиями к составлению банками отчетности по рискам, позволяющие банкам оценивать свою деятельность с учетом риск-аппетита (толерантности к риску)[7]. Эти процедуры включают в себя также классификацию, объединение или разбивку данных.

Цели

9.          В данном документе излагается ряд принципов расширения возможностей банков по агрегированию рисков и совершенствованию порядка представления отчетности по ним (далее - Принципы). В свою очередь предполагается, что эффективная реализация данных Принципов позволит усовершенствовать  управление рисками и процедурами принятия решений банками.

10.      Внедрение данных Принципов откроет возможности для существенного улучшения процедур управления банками. Предполагается, что данные Принципы будут содействовать банкам в решении следующих задач: 

•     совершенствование  управленческой отчетности, в том числе используемой   советом директоров и руководством банка в целях выявления, мониторинга и управления рисками;

•     совершенствование процесса принятия решений в рамках банковской организации в целом;

•     совершенствование управления информационными потоками в рамках участников группы, позволяющее упростить оценку рисков на консолидированном уровне;

•     снижение вероятности и объемов убытков, обусловленных недостатками системы управления рисками; 

•     сокращение сроков предоставления информации и, следовательно, сроков принятия решений;  

•     развитие стратегического планирования и расширение  возможностей по управлению рисками, связанными с выпуском новых продуктов и  оказанием новых видов услуг.

11.      Способность банка управлять рисками является составной частью его франчайзинговой стоимости. Эффективная реализация Принципов позволит повысить стоимость банка. По мнению Комитета, преимущества усовершенствованных методов агрегирования рисков и представления отчетности, которые будут обеспечиваться в течение длительного времени, полностью компенсируют затраты, понесенные банками. 

12.      Что касается органов банковского надзора, данные Принципы можно использовать в сочетании с другими мерами, направленными на повышение качества и эффективности банковского надзора. Органы финансовой стабильности смогут использовать усовершенствованные методы агрегирования рисков для смягчения мер финансового оздоровления банков, снижая таким образом потенциальные последствия для налогоплательщиков.

Область применения и исходные условия

13.      Данные Принципы изначально разрабатывались для системно значимых банков  и могут применяться как в отношении банковской группы в целом, так и в отношении отдельных банков. Этим учреждениям необходимы общие и четко сформулированные ожидания надзорных органов в отношении агрегирования рисков и представления отчетности по ним. При этом национальные органы надзора могут расширить сферу применения данных Принципов, распространив их действие на более широкий ряд банков с учетом объемов, характера и сложности проводимых ими операций.

14.      Банки, отнесенные к числу глобальных системно значимых банков СФС в ноябре 2011 года[8] или в ноябре 2012 года,[9] должны обеспечить выполнение данных Принципов к январю 2016 года; банки, которые будут признаны глобальными системно значимыми по результатам последующих ежегодных оценок, должны будут обеспечить соответствие указанным требованиям через три года после присвоения им статуса глобальных системно значимых банков.[10] Предполагается, что глобальные системно значимые банки, которые должны обеспечить соответствие требованиям к 2016 году, приступят  к активному внедрению Принципов с начала 2013 года. Национальные органы надзора и Базельский комитет будут осуществлять мониторинг и оценку достигнутых в этом направлении результатов в порядке, указанном в разделе V настоящего документа.

15.      Национальным органам надзора настоятельно рекомендуется применять данные Принципы также к банкам, относящимся к категории национальных системно значимых банков, в течение трех лет после присвоения им данного статуса[11].

16.      Принципы и ожидания органов надзора, представленные в настоящем документе, относятся к данным, используемым в процессе управления  рисками. К ним относятся данные в области управления рисками, имеющие критическое значение для банка. Данные и отчеты о рисках должны стать инструментом, с помощью которого руководство банка сможет осуществлять мониторинг и отслеживать риски, влияющие на риск-аппетит (толерантность к риску).

17.      Данные Принципы также можно применять во всех основных внутренних моделях управления рисками, включая, в частности, модели регулятивного капитала Компонента 1 «Минимальные требования к капиталу» Базеля II (например, подходы, основанные на внутренних рейтингах для оценки кредитного риска, и усовершенствованные подходы к оценке операционного риска), модели достаточности капитала Компонента 2 или других основных моделей управления рисками (например, VaR). 

18.      Данные Принципы применяются к процедурам управления рисками банковских групп. При этом применяя Принципы в отношении других процедур, таких как финансовые, операционные процессы, а также представление отчетности  органам надзора, банки также смогут получить определенные преимущества. 

19.      Все Принципы, описанные в данном документе, применимы к процессам, переданным на аутсорсинг третьим сторонам.

20.      Данные Принципы охватывают следующие четыре тесно взаимосвязанных направления:

·  общее управление и инфраструктура;

·  возможности агрегирования рисков;

·  практика представления отчетности;                                      

·  контроль, инструменты и взаимодействие органов надзора.

21.      Возможности агрегирования рисков и практика представления отчетности по ним в данном документе рассматриваются независимо друг от друга, но, тем не менее, эти процессы взаимосвязаны и не могут существовать изолированно. Высокое качество управленческой отчетности по рискам требует наличия широких возможностей для агрегирования рисков, а надежная инфраструктура и управление обеспечат эффективный обмен информацией.

22.      Банки должны обеспечить выполнение одновременно всех требований, предусмотренных принципами агрегирования рисков и представления отчетности. При этом в исключительных случаях допускаются определенные отклонения от Принципов, например, в случаях, связанных со срочными или специальными запросами информации о новых или неизвестных областях рисков. Однако отклонения от Принципов,  способные оказать существенное влияние на решения, связанные с управлением рисками, не допускаются. Лица, принимающие решения в банках, в частности, совет директоров и руководство банков, должны быть осведомлены об имевших место отклонениях, а также о проблемах, которые могут возникнуть в связи с этим.

По мнению органов надзора, банки должны разработать политику и процедуры сглаживания отклонений от Принципов. Банки должны уметь обосновать влияние таких отклонений на процедуры принятия решений в отчетах, раскрывающих качественную информацию и, там где это возможно, в отчетах, раскрывающих количественную информацию.

23.      Концепция существенности, используемая в данном документе, предполагает, что информацию в отчетности можно не указывать только в исключительных случаях, если это не повлияет на процесс принятия решений банком (то есть отсутствие этой информации может оказать влияние на лиц, принимающих решение, в частности, на совет директоров и руководство, или привести к принятию другого решения, в отличие от того, которое было бы принято, если бы им была предоставлена недостающая достоверная информация).

Применяя концепцию существенности, банки должны учитывать вероятность роста уровня рисков, вызванных расширением бизнеса банков. Органы надзора ожидают, что банки смогут обосновать исключение информации в результате применения концепции существенности.  

24.      Банки должны представлять отчетность с учетом перспективы с целью обеспечения раннего предупреждения нарушений установленных в банке лимитов и превышения риск-аппетита (толерантности к риску). В банках также должна быть обеспечена возможность проведения гибкого и эффективного стресс-тестирования, позволяющего осуществить оценку рисков на перспективу. Органы надзора ожидают, что управленческая отчетность позволит банкам предвидеть потенциальные проблемы и осуществлять оценку рисков на перспективу.

25. В некоторых случаях для упрощения процесса агрегирования рисков можно прибегнуть к экспертной оценке неполных данных или дать более подробное описание результатов при составлении отчетности о рисках. При этом экспертная оценка может использоваться вместо раскрытия полных и достоверных данных только в исключительных случаях и не должна оказывать существенное влияние на соблюдение банками Принципов. Процедуры использования экспертной оценки должны быть задокументированы и прозрачны, что позволит осуществить независимую оценку применяемых процедур и критериев, используемых в процессе принятия решений.

I.    Общее управление и инфраструктура

26. Банк должен иметь надежную структуру управления, архитектуру данных о рисках и инфраструктуру ИТ. Это является необходимым условием обеспечения соответствия Принципам, описанным в данном документе. В частности, совет директоров банка должен контролировать внедрение банком Принципов в сроки, согласованные с органами надзора.   

Принцип 1. Корпоративное управление

Процедуры банка по агрегированию  рисков и представлению отчетности должны быть составной частью надежной системы корпоративного управления, соответствующей другим принципам и руководствам, принятым Базельским комитетом [12].

27. Совет директоров и руководство банка должны обеспечивать на уровне банка выявление и оценку рисков, являющихся составной частью процедуры  управления рисками. В банке должны быть разработаны и утверждены стандарты процедур обработки данных по рискам, а также политика конфиденциальности, сохранности данных и доступа к ним, а также политика управления рисками. 

28. Совет директоров и руководство  банка должны рассмотреть и утвердить процедуры агрегирования рисков и порядок представления отчетности на уровне банковской группы и обеспечить выделение соответствующих ресурсов.

29. Процедуры  агрегирования рисков и порядок представления отчетности:

(a)               должны быть задокументированы и подвергаться независимому анализу на предмет соответствия жестким требованиям и данным Принципам. Первоочередной задачей такого анализа является обеспечение соответствия процедур агрегирования рисков профилю рисков банка. Независимый анализ является составной частью других независимых проверок, предусмотренных программой управления рисками банка[13], проводится с учетом таких проверок и охватывает все компоненты процесса агрегирования рисков и представления отчетности. Для проведения независимого анализа должен привлекаться персонал, имеющий специальную подготовку в сфере ИТ и опыт работы по обработке информации и составлению отчетности[14];

(b)             должны являться составной частью новых инициатив, включая приобретение и разделение активов, разработку новых продуктов, а также внесений изменений в ИТ. При решении вопроса о существенных приобретениях банк должен провести независимую комплексную экспертизу для оценки возможностей приобретаемого юридического лица по агрегированию  рисков и представлению отчетности, а также оценить влияние, которое окажет приобретение данного юридического лица,  на процедуры самого  банка по агрегированию  рисков и представлению отчетности. Влияние приобретения юридического лица на процедуры банка по агрегированию рисков и представлению отчетности тщательно анализируется советом директоров банка, который принимает решение о целесообразности продолжения данной сделки. Банк самостоятельно определяет сроки для интеграции и приведения практических методов агрегирования рисков и представления отчетности приобретенного юридического лица в соответствие с собственными процедурами;

(c)               должны быть независимыми от структуры банковской группы. Структура группы не должна ограничивать возможности агрегирования рисков на консолидированном уровне или на любом соответствующем уровне в рамках организации (например, на суб-консолидированном уровне, на уровне юрисдикции, в которой осуществляется деятельность). Особый момент: возможности агрегирования рисков не должны зависеть от выбранных банком организационно-правовой формы и регионов присутствия[15].

30. Руководство банка должно обладать пониманием имеющихся ограничений, препятствующих полному агрегированию рисков с точки зрения полноты охвата (например, какие-то неучтенные риски или дочерние компании), технического исполнения (например, показатели работы модели или степень зависимости от процессов, выполняемых вручную) или требований законодательства (правовые ограничения, установленные разными юрисдикциями в отношении обмена данными). Руководство банка должно обеспечивать возможность  совершенствования процедур агрегирования рисков и представления отчетности и устранения любого несоответствия Принципам, описанным в данном документе, учитывая при этом растущие потребности бизнеса. Руководство банка также должно определить данные, имеющие критическое значение для агрегирования рисков, и инициативы, касающиеся инфраструктуры ИТ, которые должны быть указаны в стратегических планах развития ИТ, и поддерживать данные инициативы, выделяя соответствующие финансовые и людские ресурсы.

31. Совет директоров банка несет ответственность за определение требований к отчетности по рискам и должен знать об ограничениях, препятствующих полному агрегированию рисков в управленческой отчетности. Совет директоров банка также должен быть информирован на постоянной основе о ходе внедрения изложенных в данном документе Принципов.

Принцип 2. Архитектура данных и инфраструктура ИТ

Банк должен разработать и поддерживать архитектуру данных и инфраструктуру ИТ, на базе которых будет осуществляться агрегирование рисков и составление отчетности не только в обычных условиях, но и в периоды стресса или кризиса. При этом должны соблюдаться другие Принципы.

32.  Процедуры агрегирования рисков и порядок представления отчетности следует рассматривать в контексте разработки планов банка по обеспечению непрерывности деятельности и осуществлять их регулярный анализ на предмет их влияния на деятельность банка.

33.  Банк должен разработать интегрированные[16]процедуры систематизации и построения архитектуры данных для всей банковской группы, а также определить характеристики данных (метаданные) и единые идентификаторы и (или) унифицированные условные обозначения данных для юридических лиц, контрагентов и счетов. 

34.  Функции и обязанности распределяются как по направлениям деятельности, так и по функциям в области ИТ, с учетом источников, качества данных и информации о рисках. Сотрудники, ответственные за определенное направление деятельности и функции ИТ, совместно с менеджерами по риску должны обеспечить наличие необходимых рычагов контроля в течение всего жизненного цикла данных, применимых ко всем аспектам технологической инфраструктуры. Функции сотрудника, ответственного за направление деятельности, включают в себя контроль за правильностью введения данных соответствующим фронт-офисом, за обновлением и соответствием данных их определениям, а также за  соответствием практических методов агрегирования рисков и представления информации установленной банком политике. 

II.   Процедуры агрегирования рисков

35.  Банки должны разработать и поддерживать надежные процедуры агрегирования рисков, которые обеспечат достоверность данных о рисках, указанных в управленческой отчетности по рискам (то есть соблюдение требований в отношении агрегирования рисков необходимо для соблюдения требований в отношении отчетности). Соблюдение одного из Принципов не должно осуществляться за счет невыполнения других Принципов. Процедуры агрегирования рисков должны обеспечить выполнение одновременно всех описанных далее Принципов согласно пункту 22 настоящего документа.

Принцип 3. Точность и целостность

Банк должен располагать точными и достоверными данными о рисках, соответствующими требованиям к качеству данных, предъявляемым к отчетности, составляемой как в текущих, так и в стрессовых (кризисных) условиях. Процедуры агрегирования данных должны быть максимально автоматизированы во избежание  ошибок.

36.  Банк должен использовать надежные процедуры агрегирования рисков:

(a)             для контроля точности данных о рисках должны использоваться такие же  жесткие процедуры, что и для контроля данных бухгалтерского учета; 

(b)             если банк использует ручные процессы и автоматизированные приложения  (например, рабочие ведомости, базы данных), а также имеет специальные отделы по управлению рисками, которые используют данные приложения для разработки программного обеспечения, банк должен применять эффективные средства снижения рисков (например, политики и процедуры использования компьютерных программ конечным пользователем) и другие соответствующие средства контроля, применяемые в банковских процессах на постоянной основе;

(c)             данные о рисках необходимо сверять с источниками данных, имеющимися у банка, включая данные бухгалтерского учета, что обеспечит точность данных о рисках[17];

(d)             банк должен обеспечить наличие единого надежного источника информации по каждому виду  риска;

(e)             сотрудникам отдела управления рисками банка должен быть предоставлен необходимый доступ к данным о рисках для осуществления агрегирования, подтверждения и выверки данных на основании отчетов о рисках.

37.  В качестве предварительного условия банк должен составить словарь используемых концепций, который обеспечит единое толкование данных в масштабах всей организации.

38.  Необходимо поддерживать обоснованное соотношение в применении автоматизированных и ручных систем. В ситуациях, требующих профессионального суждения, участие человека может быть вполне оправданным. Другие процедуры желательно максимально автоматизировать во избежание вероятности ошибок. 

39.  Органы надзора считают необходимым, чтобы банки составляли описание всех процессов агрегирования рисков, как автоматизированных, так и ручных (предусматривающих профессиональные суждения и другие процессы), в письменном виде, включая пояснения к ним. Документация должна включать в себя обоснование применения любых ручных процессов (на основе бумажных носителей), оценку их значения с точки зрения точности агрегирования рисков и описание предлагаемых действий по снижению рисков. 

40.  Органы надзора ожидают, что банки будут осуществлять контроль за точностью данных и разработают процедуры и планы действий на случаи выявления недостоверных данных.

Принцип 4. Полнота данных

Банк должен осуществлять сбор данных и их агрегирование по всем существенным рискам на уровне банковской группы. Данные должны группироваться по направлениям деятельности, юридическим лицам, типам активов, отраслям промышленности, регионам и другим признакам в соответствии с рассматриваемым риском, что позволит выявлять риски и составлять отчеты о принятых рисках, их концентрации и о вновь возникающих рисках.

41.  Процедуры агрегирования рисков должны охватывать все существенные риски, включая учитываемые на внебалансовых счетах.

42.  Банк не должен использовать единые метрики для измерения всех рисков, но их агрегирование должно производиться независимо от выбранных банком методов измерения рисков.  При этом каждый используемый метод измерения (оценки) риска и подходы к их агрегированию должны быть понятны и позволять совету директоров и руководству оценивать надежность результатов агрегирования.

43.  Органы надзора ожидают, что результаты агрегирования рисков будут полными и что банки будут осуществлять контроль за их полнотой. В случае если результаты агрегирования являются неполными, то это не должно оказывать существенного влияния на способность банка обеспечить эффективное управление рисками. Органы надзора ожидают, что результаты агрегирования должны быть по возможности полными, а любые исключения должны быть выявлены и  сопровождаться соответствующим обоснованием.

Принцип 5. Своевременность

Банк должен своевременно формировать агрегированные и актуализированные данные о рисках при одновременном соблюдении принципов точности, целостности, полноты и адаптивности данных. Конкретные сроки формирования данных зависят от характера и потенциальной волатильности измеряемого риска, а также от степени его существенности в рамках всего профиля рисков банка. Конкретные сроки формирования данных также зависят от принятой в  банке периодичности подготовки управленческой  отчетности по рискам в обычных условиях работы, а также в стрессовых и кризисных ситуациях, характера деятельности банка и его  профиля рисков.

44.  Агрегирование рисков должно проводиться с учетом требований к срокам подготовки управленческой отчетности по рискам.

45.  Базельский комитет признает, что в отношении разных типов данных может быть предусмотрена разная срочность их предоставления в зависимости от типа риска, а в стрессовых или кризисных ситуациях те или иные данные о рисках могут потребоваться срочно. Банк должен создать систему управления рисками, предусматривающую подготовку агрегированных данных о рисках в кратчайшие сроки при возникновении стрессовых или кризисных ситуаций.

46.  К существенным рискам, в частности, относятся следующие:

(a)  агрегированный кредитный риск на крупного корпоративного заемщика. При этом следует иметь в виду, что риски на розничных клиентов могут и  не подвергаться существенным изменениям в течение короткого периода времени, но при этом существенные концентрации для них все же характерны; 

(b)             кредитный риск на контрагента, включая, например, деривативы;

(c)  рыночный риск, в том числе концентрация рыночного риска по секторам и регионам, структура торгового портфеля, система лимитов;

(d)             риск ликвидности, включая такие его показатели, как денежные потоки и финансирование; 

(e)операционный риск, включая такие показатели, как эксплуатационная готовность систем, предотвращение несанкционированного доступа.

47.      Органы надзора будут контролировать соблюдение банками требований к периодичности представления данных, установленной для обычного режима работы и для стрессовых и кризисных ситуаций.

Принцип 6. Адаптивность

Процедуры агрегирования рисков, принятые в банке, должны позволять представлять информацию по запросам, включая запросы со стороны руководства банка и надзорных органов, в том числе в период стресса или кризиса.     

48.      Процедуры агрегирования рисков  должны быть достаточно гибкими и адаптивными и должны позволять банку отвечать на запросы о предоставлении при необходимости специальной информации и оценивать вновь возникающие риски. Адаптивность позволит банкам повысить качество управления рисками, в том числе качество прогнозов и информации, используемой в процедурах стресс-тестирования и сценарного анализа.

49.      Адаптивность означает:

(a)  наличие достаточно гибких процедур, позволяющих агрегировать риски и быстро принимать решения;

(b)             наличие возможностей модификации процедур в целях удовлетворения потребностей пользователя (например, панели показателей, основные результаты работ, отклонения), что позволит получить информацию с необходимым уровнем ее детализации, а также составлять оперативную отчетность;

(c)  наличие возможностей, позволяющих применять новые разработки в отношении организации рабочего процесса и (или) внешних факторов, влияющих на профиль рисков банка;

(d)   наличие возможностей, позволяющих вносить изменения в связи с пересмотром законодательной базы.

50.      Органы надзора ожидают, что  банки будут создавать базы данных по определенным сценариям или по итогам определенных событий в экономике. Например, банк должен иметь возможность представить агрегированные данные по страновому риску[18] на указанную дату по определенным странам, а также по отраслевому риску по всем бизнес линиям и географическим регионам.

III.  Практика представления отчетности по рискам

51.      Точные, полные и своевременные данные составляют основу эффективного управления рисками. Однако наличие данных само по себе не гарантирует получение советом директоров и руководством банка соответствующей информации, которая позволит принять эффективное решение в отношении риска. Эффективное управление рисками требует наличия надлежащей информации у соответствующих сотрудников в определенное время. Отчетность по рискам должна быть точной, четкой и полной. Она должна содержать достоверную информацию, составленную с учетом того, что отчетность будет представлена лицам, принимающим решение, и сроки представления отчетности должны быть достаточными для принятия решения. Для достижения поставленных целей отчетность по рискам должна составляться в соответствии с указанными принципами. Соблюдение одного из Принципов не должно осуществляться за счет невыполнения других Принципов согласно пункту 22 настоящего документа.

Принцип 7. Точность

Отчетность по рискам должна точно и достоверно отражать агрегированные риски и четко отражать уровень принятого банком риска. Отчетность должна  быть согласована и выверена. 

52.      Отчетность по рискам должна быть точной и достоверной, позволяя совету директоров и руководству банка полностью доверять представленной в ней агрегированной информации и принимать важные решения по рискам. 

53.      Для обеспечения точности отчетности банк должен использовать как минимум:

(a)               определенные требования и процедуры для обеспечения точности содержащихся в отчетности данных по рискам;

(b)             автоматизированные и ручные процедуры проверки данных, в том числе совокупность правил валидации, применяемых в отношении количественной информации. Эти правила должны включать описание условных обозначений, используемых для описания математических и логических взаимосвязей, которые используются в процедурах проверки данных;

(c)               интегрированные процедуры выявления, объяснения и подготовки информации о допущенных ошибках или недостатках представляемой отчетности с точки зрения ее целостности.

54.      Аппроксимация данных является составной частью отчетности по рискам и управления рисками. Результаты, полученные с помощью моделей сценарного анализа и стресс-тестов, являются примерами аппроксимации данных, имеющей существенное значение для управления рисками. Несмотря на то, что ожидания в отношении применения аппроксимации данных могут отличаться от ожиданий в отношении результатов, полученных иными способами, банки должны соблюдать установленные настоящим документом Принципы и разработать внутренние требования к надежности аппроксимации данных (точность, своевременность и так далее), что позволит руководству банка полагаться на данную информацию в процессе принятия решений. использовать данную информацию с уверенностью в ее достоверности. Сюда также относятся принципы, касающиеся данных, используемых для аппроксимации.

55.      Органы надзора ожидают, что руководство банка определит требования к точности и достоверности данных, которые будут применяться в отношении отчетности, составляемой в обычном рабочем режиме и в стрессовых или критических ситуациях, включая информацию  о критических ситуациях и о рисках. Требования должны отражать важность решений, основанных на данной информации.

56.      Органы надзора ожидают, что банки будут предъявлять такие же требования к  существенности информации по рискам, как и к данным бухгалтерского учета. Так, например, если упущение или искажение данных может оказать влияние на решение о рисках, принимаемое пользователем данных, то эти данные могут считаться существенными. Банк должен уметь обосновать требования к точности данных. Органы надзора ожидают, что информация, содержащаяся в отчетности, будет подвергаться валидации, тестированию и выверке  результатов.

Принцип 8. Комплексность

Отчетность по рискам должна охватывать все существенные риски, принятые банком. Детализация и объем отчетности должны соответствовать масштабу и сложности операций, выполняемых банком, и профилю его рисков, а также требованиям пользователей отчетности.

57.      Отчетность по рискам должна включать в себя информацию обо всех существенных рисках (например, кредитный риск, рыночный риск, риск ликвидности, операционный риск), а также по всем существенным компонентам данных рисков (например, для кредитного риска - риск на одного заемщика, страну и сектор экономики). Отчетность по рискам также должна включать в себя информацию об используемых банком методах оценки рисков (например, регулятивный и экономический капитал).