Про затвердження Положення про вимоги до системи корпоративного управління та системи внутрішнього контролю фінансової компанії та Змін до деяких нормативно-правових актів Національного банку України
Відповідно до статей 7, 15, 551, 56 Закону України “Про Національний банк України”, статей 14, 18, 21, 24, 41, 44 Закону України “Про фінансові послуги та фінансові компанії”, статті 28 Закону України “Про страхування”, статті 25 Закону України “Про кредитні спілки”, з метою встановлення вимог до системи корпоративного управління та системи внутрішнього контролю фінансових компаній, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, та приведення деяких нормативно-правових актів Національного банку України у відповідність до вимог законодавства України Правління Національного банку України постановляє:
1. Затвердити Положення про вимоги до системи корпоративного управління та системи внутрішнього контролю фінансової компанії (далі - Положення), що додається.
1) Положення про регулювання діяльності фінансових компаній, які мають право здійснювати діяльність з надання гарантій, затвердженого постановою Правління Національного банку України від 27 грудня 2023 року № 191, що додаються;
2) Положення про вимоги до системи управління страховика, затвердженого постановою Правління Національного банку України від 27 грудня 2023 року № 194 (зі змінами), що додаються;
3) Положення про вимоги до системи управління кредитною спілкою, затвердженого постановою Правління Національного банку України від 02 лютого 2024 року № 15 (зі змінами), що додаються.
3. Фінансовим компаніям привести свою діяльність у відповідність до вимог Положення у строк до 30 квітня 2025 року.
4. Департаменту методології регулювання діяльності небанківських фінансових установ (Сергій Савчук) довести до відома фінансових компаній, страховиків, кредитних спілок інформацію про прийняття цієї постанови.
5. Постанова набирає чинності з 01 січня 2025 року.
Положення
про вимоги до системи корпоративного управління та системи внутрішнього контролю фінансової компанії
I. Загальні положення та визначення термінів
1. Це Положення розроблено відповідно до Законів України “Про Національний банк України”, “Про фінансові послуги та фінансові компанії” (далі - Закон про фінансові послуги), з метою забезпечення фінансової стійкості фінансових компаній, що мають право здійснювати діяльність із надання одного або кількох із таких видів фінансових послуг: надання коштів та банківських металів у кредит, фінансового лізингу, факторингу, надання гарантій (далі - фінансова компанія).
2. Це Положення встановлює вимоги до системи корпоративного управління та системи внутрішнього контролю фінансової компанії.
2. Загальні положення та визначення термінів
3. Терміни в цьому Положенні вживаються в такому значенні:
1) бізнес-процес - сукупність взаємопов’язаних або взаємозалежних видів діяльності, спрямованих на створення певного продукту або послуги;
2) валютний ризик - ризик, пов’язаний з чутливістю вартості активів та зобов’язань фінансової компанії до зміни рівня або коливання курсів валют;
3) виконавчий орган фінансової компанії - колегіальний або одноосібний виконавчий орган фінансової компанії;
4) вимірювання (оцінка) ризиків - процес порівняння результатів аналізу ризиків з установленим у документах із планування діяльності та/або в документі / документах з організації системи внутрішнього контролю рівнем схильності до ризиків та прийнятним рівнем ризику з метою прийняття рішень щодо застосування методів управління ризиками;
5) відповідальний орган фінансової компанії - наглядова рада фінансової компанії (за наявності), загальні збори учасників (акціонерів) фінансової компанії;
6) відповідальний працівник - працівник фінансової компанії, на якого покладено виконання окремих функцій у межах забезпечення функціонування системи внутрішнього контролю;
7) внутрішні документи - документи, затверджені органом управління фінансової компанії в межах його компетенції, включаючи політику за окремими напрямами діяльності, положення, інструкції, методики, правила, стратегії, розпорядження, рішення, накази або документи, розроблені в іншій формі, з урахуванням вимог законодавства України;
8) декларація схильності до ризиків - внутрішній документ, який визначає сукупну величину ризик-апетиту, види ризиків, які фінансова компанія прийматиме або уникатиме з метою досягнення своїх цілей, та рівень ризик-апетиту щодо кожного з таких ризиків (індивідуальний рівень);
9) документи з планування діяльності - план діяльності або документи, що містять загальний опис бачення започаткування, організації та подальшого розвитку бізнесу фінансової компанії;
10) допустимий рівень ризику - максимальна величина ризику, яку фінансова компанія в змозі прийняти за всіма видами ризиків з огляду на здатність адекватно та ефективно управляти ризиками, а також з урахуванням обмежень, установлених законодавством України;
11) ключові особи - особи, які відповідальні за виконання ключових функцій у фінансовій компанії, та які виконують ключові функції у фінансовій компанії:
внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);
головний комплаєнс-менеджер [керівник структурного підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу];
головний ризик-менеджер (керівник підрозділу з управління ризиками або особа, на яку покладена функція такого підрозділу);
12) комплаєнс-ризик - ризик виникнення збитків та/або санкцій, додаткових втрат або недоотримання запланованих доходів або втрати репутації внаслідок невідповідності діяльності фінансової компанії вимогам законодавства України та/або іншим вимогам (правилам, стандартам, принципам) щодо здійснення такої діяльності, яких зобов’язана дотримуватися або прийняла рішення дотримуватися фінансова компанія, правил добросовісної конкуренції, кодексу поведінки (етики), запобіганню конфліктам інтересів, а також внутрішніх документів фінансової компанії / внутрішньогрупових документів фінансової компанії;
13) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником / контрагентом узятих на себе зобов’язань відповідно до умов договору;
14) культура управління ризиками - дотримання визначених фінансовою компанією принципів, правил, норм фінансової компанії, спрямованих на поінформованість усіх працівників фінансової компанії щодо прийняття ризиків та управління ризиками;
15) ліміт ризику - обмеження, установлені фінансовою компанією для контролю за величиною ризиків, на які наражається фінансова компанія у своїй діяльності;
16) моніторинг ризику - процес систематичного нагляду за ризиками, за системою і процесом контролю та управління ризиками з метою виявлення відхилень від їх прийнятного рівня та/чи ефективності управління ризиками;
17) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок недоліків чи помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників фінансової компанії або інших осіб, збоїв у роботі систем фінансової компанії або внаслідок впливу зовнішніх негативних факторів;
18) орган управління фінансової компанії - відповідальний орган фінансової компанії та/або виконавчий орган фінансової компанії;
19) передавання ризику - передавання фінансовою компанією своєї відповідальності за ризик третім особам за винагороду зі збереженням наявного рівня ризику;
20) підрозділ контролю - підрозділ / особа, який / яка здійснює об’єктивну та незалежну оцінку діяльності фінансової компанії, забезпечує достовірність звітування [підрозділ з управління ризиками (особа, на яку покладена функція такого підрозділу), підрозділ з контролю за дотриманням норм (комплаєнс) (особа, на яку покладена функція такого підрозділу), внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту)];
21) ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання доходів, або невиконання стороною договірних зобов’язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;
22) ризик-апетит - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначених наперед та в межах допустимого рівня ризику, щодо яких наявне рішення про доцільність / необхідність їх утримання з метою виконання цілей, установлених документами з планування діяльності фінансової компанії;
23) ризик ліквідності - імовірність виникнення збитків або додаткових втрат унаслідок неспроможності забезпечувати виконання своїх зобов’язань у належні строки через брак достатнього обсягу ліквідних активів;
24) система стримувань та противаг - розподіл повноважень між відповідальним органом та виконавчим органом фінансової компанії та/або підрозділами фінансової компанії, який забезпечує підконтрольність, а також унеможливлює (упереджує) можливість прийняття органом управління фінансової компанії рішень, що можуть призвести до негативних наслідків у її діяльності;
25) служба внутрішнього аудиту - внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);
26) технічний збій або інші невідворотні обставини - неспроможність фінансової компанії своєчасно та ефективно надавати фінансові послуги протягом 12 годин поспіль з моменту настання технічного збою або інших невідворотних обставин, що призвело до порушення фінансовою компанією вимог законодавства України [крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про настання яких, установлені Положенням про порядок повідомлення надавачами фінансових або супровідних послуг про настання технічного збою або інших невідворотних обставин, затвердженим постановою Правління Національного банку України від 14 березня 2024 року № 29 (далі - Постанова № 29)].
Інші терміни в цьому Положенні вживаються в значеннях, наведених у Законі про фінансові послуги та інших законодавчих актах України з питань регулювання ринків фінансових послуг.
4. Системи корпоративного управління та внутрішнього контролю фінансової компанії повинні відповідати вимогам, визначеним Законом про фінансові послуги, іншими законами України, цим Положенням та іншими нормативно-правовими актами Національного банку (далі - законодавство України). Фінансова компанія зобов’язана організувати та постійно забезпечувати належне функціонування систем корпоративного управління і внутрішнього контролю з урахуванням особливостей виду діяльності, характеру і видів послуг, які вона надає, ризиків, притаманних такій діяльності, а також особливостей, установлених Законами України “Про товариства з обмеженою та додатковою відповідальністю”, “Про акціонерні товариства”, “Про господарські товариства”, іншими законами з питань регулювання діяльності господарських товариств та юридичних осіб інших організаційно-правових форм, відповідно до того, у якій організаційно-правовій формі вона створена.
5. Фінансова компанія в документах з планування діяльності та/або в документі / документах з організації системи внутрішнього контролю має право встановити спрямування на сталий розвиток та забезпечення підтримки належних знань керівників фінансової компанії з екологічних, соціальних і управлінських питань.
Фінансова компанія має право включати оцінку впливу екологічних, соціальних та управлінських факторів на довгострокову стійкість, шляхів мінімізації негативного впливу цих ризиків на діяльність фінансової компанії в загальну систему управління ризиками.
II. Система корпоративного управління фінансової компанії
3. Організація системи корпоративного управління
6. Фінансова компанія зобов’язана організувати та постійно забезпечувати систему корпоративного управління, яка відповідає встановленим законодавством України вимогам, з метою забезпечення фінансової стійкості, шляхом прийняття органом управління фінансової компанії узгоджених рішень, підвищення відповідальності, уникнення конфлікту інтересів, забезпечення розкриття інформації, її прозорості та дотримання фінансовою компанією вимог законодавства України.
7. Фінансова компанія організовує та забезпечує функціонування системи корпоративного управління з урахуванням особливостей виду своєї діяльності, характеру і переліку послуг, які вона надає, ризиків, притаманних такій діяльності, особливостей, установлених у пункті 4 глави 2 розділу I цього Положення.
Фінансова компанія, у статутному капіталі якої 50 і більше відсотків акцій (часток) належать державі, організовує та забезпечує функціонування системи корпоративного управління з урахуванням вимог цього Положення, Цивільного кодексу України, Законів України “Про управління об’єктами державної власності”, “Про Кабінет Міністрів України”, “Про санкції”, “ Про аудит фінансової звітності та аудиторську діяльність”, а також особливостей, установлених у пункті 4 глави 2 розділу I цього Положення.
8. Фінансова компанія організовує систему корпоративного управління, що забезпечує відносини між учасниками, органами управління фінансової компанії та іншими заінтересованими особами, визначає спосіб розподілу повноважень і відповідальності між органами управління, а також порядок і способи прийняття ними рішень, що має унеможливлювати (запобігати) прийняття ними рішень, які можуть призвести до негативних наслідків у її діяльності, що забезпечується шляхом:
1) чіткого, узгодженого, виконуваного, актуального та задокументованого розподілу обов’язків, функцій, повноважень та відповідальності між учасниками, органами управління фінансової компанії та іншими заінтересованими особами в системі корпоративного управління. Такий розподіл уключає обов’язки, функції та повноваження органу управління, комітетів (включаючи ті, утворення яких є обов’язковим згідно із законодавством України), ключових осіб, осіб, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі корпоративного управління та структурних / відокремлених підрозділів фінансової компанії, підрозділів контролю, та забезпечує підконтрольність:
внутрішнього аудитора / головного внутрішнього аудитора (штатного працівника, на якого покладена функція проведення внутрішнього аудиту, керівника структурного підрозділу, відповідального за проведення внутрішнього аудиту) відповідальному органу фінансової компанії;
головного комплаєнс-менеджера [керівника підрозділу контролю за дотриманням норм (комплаєнс) або особи, на яку покладена функція такого підрозділу] відповідальному органу фінансової компанії;
головного ризик-менеджера (керівника підрозділу з управління ризиками або особи, на яку покладено функцію такого підрозділу) відповідальному органу фінансової компанії;
2) визначення правил та процедур прийняття рішень включно з делегуванням повноважень;
3) виконання функції ключовими особами, які мають можливість приділяти достатньо часу та достатню кваліфікацію для виконання покладених на них обов’язків, а також у яких відсутній конфлікт інтересів, пов’язаний з виконанням таких обов’язків.
9. Фінансова компанія, яка входить до визнаної Національним банком фінансової групи, до учасників якої законодавством України встановлені вимоги, відмінні від визначених цим Положенням, керується вимогами до системи корпоративного управління фінансової групи, що не суперечать вимогам цього Положення.
Орган управління та ключові особи фінансової компанії, яка є відповідальною особою небанківської фінансової групи, зобов’язані забезпечувати запровадження комплексної, адекватної, ефективної системи корпоративного управління небанківської фінансової групи відповідно до функцій, обов’язків та повноважень органу управління та ключових осіб фінансової компанії, визначених цим Положенням та Положенням про порядок нагляду на консолідованій основі за небанківськими фінансовими групами, затвердженим постановою Правління Національного банку України від 29 грудня 2023 року № 202 (зі змінами).
4. Внутрішні документи щодо системи корпоративного управління
10. Внутрішні документи фінансової компанії щодо системи корпоративного управління мають відповідати вимогам законодавства України.
11. Фінансова компанія має право об’єднувати окремі внутрішні документи щодо системи корпоративного управління в один або кілька документів з дотриманням вимог законодавства України. Внутрішнім документом / внутрішніми документами щодо системи корпоративного управління фінансової компанії має бути визначено:
1) порядок утворення, регламент діяльності та межі відповідальності органу управління фінансової компанії;
2) розподіл обов’язків, функцій, повноважень та відповідальності між членами органу управління фінансової компанії з урахуванням запобігання конфлікту інтересів;
3) порядок утворення, функціонування та повноваження комітетів (за наявності), створених органом управління фінансової компанії;
4) організаційну структуру, що забезпечує ефективне функціонування системи корпоративного управління фінансової компанії;
5) порядок з урегулювання питань, пов’язаних із керівництвом поточною діяльністю фінансової компанії;
6) порядок виконання заходів за результатами контрольної діяльності в межах системи внутрішнього контролю.
Розпорядчим актом Президента України / органу державної влади / органу влади Автономної Республіки Крим або органу місцевого самоврядування, відповідно до якого створена фінансова установа, у статутному капіталі якої 50 і більше відсотків акцій (часток) належать державі, може бути розширено перелік інформації, що підлягає визначенню у внутрішньому документі / внутрішніх документах фінансової компанії - юридичної особи публічного права щодо системи корпоративного управління.
Фінансова компанія має право самостійно розширити перелік інформації, що підлягає врегулюванню у внутрішньому документі / внутрішніх документах фінансової компанії щодо системи корпоративного управління, що не суперечить вимогам цього Положення.
III. Система внутрішнього контролю фінансової компанії
5. Організація системи внутрішнього контролю фінансової компанії
12. Фінансова компанія зобов’язана організувати комплексну, адекватну та ефективну систему внутрішнього контролю шляхом запровадження заходів із внутрішнього аудиту, управління ризиками, контролю за дотриманням норм (комплаєнс) та інших елементів, а також політики, правил і заходів, які забезпечують функціонування, взаємозв’язок та підтримку таких заходів та елементів і спрямовані на досягнення визначеної мети (місії), цілей, завдань, планів і вимог до діяльності фінансової компанії, установлених документами з планування діяльності фінансової компанії.
Фінансова компанія, яка входить до визнаної Національним банком фінансової групи, до учасників якої законодавством України встановлені вимоги, відмінні від визначених цим Положенням, керується вимогами до організації системи внутрішнього контролю фінансової групи, що не суперечать вимогам цього Положення.
Розпорядчим актом Президента України / органу державної влади / органу влади Автономної Республіки Крим або органу місцевого самоврядування, відповідно до якого створена фінансова установа, у статутному капіталі якої 50 і більше відсотків акцій (часток) належать державі, може бути встановлено додаткові до визначених цим Положенням вимоги до організації системи внутрішнього контролю фінансової компанії - юридичної особи публічного права.
Фінансова компанія має право самостійно встановити додаткові до визначених цим Положенням вимоги до організації системи внутрішнього контролю фінансової компанії.
13. Система внутрішнього контролю фінансової компанії має забезпечувати:
1) виконання функцій управління ризиками, контролю за дотриманням норм (комплаєнс) та внутрішнього аудиту з урахуванням особливостей, установлених у пункті 4 глави 2 розділу I цього Положення;
2) досягнення операційних, інформаційних, комплаєнс-цілей діяльності фінансової компанії, визначених в її внутрішньому документі / внутрішніх документах, включаючи документи з планування діяльності фінансової компанії.
14. Операційні цілі діяльності фінансової компанії мають передбачати:
1) забезпечення спрямованості процедур контролю на ефективність управління активами, зобов’язаннями та позабалансовими позиціями фінансової компанії з метою досягнення фінансовою компанією цілей, установлених документами з планування діяльності, уникаючи або обмежуючи втрати внаслідок впливу негативних внутрішніх та зовнішніх факторів;
2) здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення ризиків фінансової компанії на всіх її організаційних рівнях.
15. Інформаційні цілі діяльності фінансової компанії мають передбачати:
1) забезпечення цілісності, повноти та достовірності фінансової, управлінської та іншої інформації, що використовується для ухвалення управлінських рішень;
2) створення інформаційних потоків як за вертикаллю, так і за горизонталлю організаційної структури фінансової компанії.
16. Комплаєнс-цілі діяльності фінансової компанії мають передбачати забезпечення організації діяльності фінансової компанії з метою виявлення та запобігання ризикам, які можуть виникати під час здійснення зазначеною особою діяльності, передбаченої законом, унаслідок невідповідності такої діяльності вимогам законодавства України та/або іншим вимогам (правилам, стандартам, принципам) щодо здійснення такої діяльності.
17. Фінансова компанія має право у внутрішньому документі / внутрішніх документах визначати додаткові цілі системи внутрішнього контролю.
6. Компоненти системи внутрішнього контролю фінансової компанії
18. Система внутрішнього контролю фінансової компанії має включати такі компоненти:
1) контрольне середовище, вимоги до якого встановлені в главі 7 розділу III цього Положення;
2) систему управління ризиками, вимоги до якої встановлені в главах 8-13 розділу IV цього Положення;
3) вимоги до аудиту, установлені в главах 14, 15 розділу V цього Положення;
4) контрольну діяльність та контрольні заходи, вимоги до яких установлені в главах 16, 17 розділу VI цього Положення;
5) контроль за інформаційними потоками та комунікаціями, вимоги до якого встановлені в главі 18 розділу VI цього Положення;
6) моніторинг ефективності системи внутрішнього контролю, вимоги до якого встановлені в главі 19 розділу VI цього Положення.
19. Фінансова компанія визначає у внутрішньому документі / внутрішніх документах опис кожного із компонентів системи внутрішнього контролю, визначених у пункті 18 глави 6 розділу III цього Положення.
20. Фінансова компанія для належного функціонування системи внутрішнього контролю зобов’язана забезпечити:
1) прийняття внутрішнього документа / внутрішніх документів із питань організації та забезпечення функціонування системи внутрішнього контролю із дотриманням вимог цього Положення та законодавства України;
2) побудову відповідної організаційної структури фінансової компанії;
3) упровадження компонентів системи внутрішнього контролю;
4) наявність затвердженого порядку заміни / покладення обов’язку на час тимчасової відсутності, призначення / звільнення / припинення повноважень осіб, на яких покладено виконання функцій внутрішнього контролю.
Фінансова компанія зобов’язана після запровадження системи внутрішнього контролю забезпечувати її постійне та ефективне функціонування.
Фінансова компанія зобов’язана надавати на вимогу Національного банку всю інформацію та документи, потрібні для здійснення Національним банком нагляду за дотриманням фінансовою компанією вимог щодо функціонування системи внутрішнього контролю.
7. Компонент “контрольне середовище”
21. Суб’єктами внутрішнього контролю фінансової компанії є:
1) відповідальний орган фінансової компанії та його комітети (у разі створення);
2) виконавчий орган фінансової компанії та його комітети (у разі створення);
3) підрозділи / працівники, безпосередньо залучені до процесу надання послуг (бізнес-підрозділи) та підрозділи підтримки діяльності фінансової компанії;
4) підрозділ / особа, на яку покладена функція з управління ризиками;
5) підрозділ / особа, на яку покладена функція контролю за дотриманням норм (комплаєнс);
6) служба внутрішнього аудиту .
22. Компонент “контрольне середовище” складається з методологічних та організаційних заходів для функціонування системи внутрішнього контролю фінансової компанії.
23. Заходами, дотримання яких свідчить про належне впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю фінансової компанії, є такі:
1) фінансовою компанією затверджено, доведено до відома всіх працівників та контролюється дотримання і належне виконання внутрішніх документів, що містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень (опис функціональних обов’язків та посадові інструкції), та визначають стандарти етичної поведінки працівників, порядок здійснення внутрішніх та зовнішніх комунікацій, містять інформацію щодо відповідальності, підзвітності та підконтрольності;
2) фінансовою компанією визначено порядок дій та повноваження осіб, відповідальних за здійснення контролю за діяльністю підрозділів / працівників, на яких покладено виконання окремих функцій у системі трьох ліній захисту щодо належності функціонування системи внутрішнього контролю фінансової компанії;
3) створено організаційну структуру фінансової компанії, яка забезпечує побудову системи внутрішнього контролю, у межах якої визначено та розподілено функції, обов’язки та повноваження між суб’єктами внутрішнього контролю, а також забезпечує належний рівень системи стримування і противаг;
4) фінансова компанія з урахуванням цілей її діяльності забезпечує створення умов, потрібних для залучення компетентних осіб, які володіють необхідним досвідом, професійними навичками та якостями для виконання функцій та обов’язків, та навчання працівників, шляхом опису відповідних процесів у внутрішньому документі / внутрішніх документах;
5) відповідальний орган фінансової компанії (з урахуванням компетенції) забезпечує функціонування та контроль за ефективністю комплексної та адекватної системи внутрішнього контролю;
6) виконавчий орган фінансової компанії в межах своїх повноважень забезпечує виконання рішень відповідального органу фінансової компанії щодо забезпечення організації та функціонування системи внутрішнього контролю фінансової компанії;
7) суб’єкти внутрішнього контролю фінансової компанії несуть відповідальність за неналежне виконання та/або невиконання ними своїх обов’язків, включаючи дії та/або бездіяльність, наслідком чого стало застосування коригувальних заходів, заходів раннього втручання, заходів впливу відповідно до Положення про застосування Національним банком України коригувальних заходів, заходів раннього втручання, заходів впливу у сфері державного регулювання діяльності на ринках небанківських фінансових послуг, затвердженого постановою Правління Національного банку України від 25 грудня 2023 року № 183 (зі змінами).
24. Фінансова компанія створює комплексну та адекватну систему управління ризиками як компонент системи внутрішнього контролю, що відповідає вимогам, визначеним у розділі IV цього Положення.
25. Заходами, дотримання яких свідчить про впровадження та ефективність, комплексність та адекватність функціонування системи управління ризиками як компонента системи внутрішнього контролю фінансової компанії, є:
1) відповідність затверджених відповідальним органом фінансової компанії стратегії управління ризиками та декларації схильності до ризиків фінансової компанії документам із планування діяльності фінансової компанії та вимогам цього Положення;
2) відповідність профілю ризику фінансової компанії, затвердженому відповідальним органом фінансової компанії, рівню ризик-апетиту;
3) повнота та ефективність упровадження внутрішнього документа / внутрішніх документів із питань управління ризиками;
4) створення та дотримання культури управління ризиками, включаючи забезпечення обізнаності та залучення членів органу управління фінансової компанії, а також інших працівників фінансової компанії до управління ризиками (періодичність засідань органу управління фінансової компанії, комітетів органу управління фінансової компанії за участю головного ризик-менеджера / працівників підрозділу з управління ризиками, документування таких засідань), навчання працівників фінансової компанії з питань управління ризиками;
5) відповідність внутрішніх документів щодо управління ризиками вимогам цього Положення;
6) забезпечення моніторингу та контролю за функціями, що виконуються третіми особами, які залучаються фінансовою компанією до виконання її ключових функцій (у разі залучення таких осіб на аутсорсинг);
7) наявність в особи, на яку покладена функція з управління ризиками, належного статусу та відповідної кваліфікації для виконання покладених на неї функцій;
8) виконання фінансовою компанією інших вимог щодо системи управління ризиками, установлених цим Положенням.
26. Фінансова компанія зобов’язана забезпечити розподіл обов’язків, що ґрунтується на системі трьох ліній захисту, яка передбачає, що:
1) до першої лінії захисту належать підрозділи, безпосередньо залучені до процесу надання послуг (бізнес-підрозділи), підрозділи підтримки діяльності фінансової компанії, а також працівники цих підрозділів (далі - суб’єкти першої лінії), які ініціюють, здійснюють або відображають господарські операції, приймають ризики в процесі своєї діяльності та відповідають за поточне управління цими ризиками, здійснюють заходи з контролю в межах своєї компетенції;
2) до другої лінії захисту належать підрозділи / особи, на яких покладена функція з управління ризиками, контролю за дотриманням норм (комплаєнс), а також інші підрозділи / працівники, які відповідно до внутрішнього документа / внутрішніх документів належать до другої лінії захисту (далі - суб’єкти другої лінії), які забезпечують ефективність упроваджених першою лінією захисту заходів із контролю та управління ризиками, їх відповідність до вимог законодавства України та внутрішнього документа / внутрішніх документів фінансової компанії;
3) до третьої лінії захисту належить підрозділ / окрема особа, визначений / визначена відповідальним органом фінансової компанії для проведення внутрішнього аудиту, що здійснює оцінювання ефективності діяльності першої та другої ліній захисту, загальне оцінювання ефективності системи внутрішнього контролю в межах виконання функції внутрішнього аудиту (далі - суб’єкти третьої лінії).
27. Фінансова компанія зобов’язана забезпечити розподіл функцій у межах системи трьох ліній захисту з дотриманням обмежень щодо конфлікту інтересів на рівні керівників, підрозділів, працівників першої, другої й третьої ліній захисту, а також незалежність другої та третьої ліній захисту.
28. Суб’єкти першої лінії захисту не можуть поєднувати функції суб’єктів другої, третьої ліній захисту та зобов’язані забезпечити належне виконання покладених на них обов’язків. Суб’єкти другої лінії захисту не можуть поєднувати функції суб’єктів першої та/або третьої ліній захисту та зобов’язані забезпечити належне виконання покладених на них обов’язків. Суб’єкти третьої лінії захисту не можуть поєднувати функції суб’єктів першої та/або другої лінії захисту та зобов’язані забезпечити належне виконання покладених на них обов’язків.
29. Відокремлені підрозділи фінансової компанії залежно від їх розміру, функцій та повноважень, якими вони наділені відповідно до внутрішніх документів, можуть бути віднесені фінансовою компанією до першої лінії захисту та/або мати у своїй структурі розподіл функцій за трьома лініями захисту.
30. Суб’єкти трьох ліній захисту фінансової компанії зобов’язані:
1) дотримуватися вимог законодавства України, внутрішніх документів фінансової компанії, у межах повноважень виконувати рішення про застосування заходів щодо усунення / мінімізації порушень / недоліків, виявлених у системі внутрішнього контролю уповноваженими суб’єктами першої - третьої ліній захисту, суб’єктами аудиторської діяльності та/або Національним банком;
2) діяти в межах своїх повноважень, виконувати покладені на них органом управління фінансової компанії обов’язки щодо внутрішнього контролю;
3) проходити навчання, призначене / організоване фінансовою компанією із метою підвищення рівня кваліфікації у сфері внутрішнього контролю, порядок, умови та періодичність проведення якого визначає фінансова компанія у внутрішньому документі / внутрішніх документах.
31. Суб’єкти першої лінії захисту в межах компетенції:
1) здійснюють виконання покладених на них обов’язків та повноважень відповідно до внутрішніх документів фінансової компанії, забезпечують дотримання вимог, визначених внутрішніми документами;
2) постійно здійснюють заходи з контролю, періодичність та обов’язок із виконання яких визначаються у внутрішніх документах фінансової компанії, та відповідають за їх належне і своєчасне виконання;
3) здійснюють заходи з виявлення та інформування про ризики, пов’язані з діяльністю суб’єктів першої лінії захисту, відповідно до вимог цього Положення;
4) мають право ініціювати / брати участь у періодичному перегляді / розробленні заходів процесу внутрішнього контролю.
32. Суб’єкти другої лінії захисту в межах повноважень під час виконання функцій з контролю за дотриманням норм (комплаєнс) та функції з управління ризиками фінансової компанії:
1) надають пропозиції щодо вибору та визначення органом управління фінансової компанії видів контрольної діяльності;
2) консультують виконавчий орган фінансової компанії з питань розроблення / перегляду внутрішніх документів, які визначають процес здійснення кожного з видів діяльності в межах системи внутрішнього контролю, та окремих процедур внутрішнього контролю;
3) забезпечують організацію виявлення, моніторинг та контроль суттєвих ризиків, вимірювання ризиків та складання (обчислення) профілю ризиків, здійснюють контроль та моніторинг упровадження внутрішніх документів, включаючи документи з питань культури управління ризиками, та виконання суб’єктами першої лінії захисту покладених на них функцій, включаючи виконання заходів з контролю;
4) здійснюють контроль за виявленням та своєчасним інформуванням про виявлені ризики, пов’язані з їх діяльністю;
5) контролюють дотримання лімітів ризиків (якісних та/або кількісних, єдиним значенням або діапазоном чи межами), установлених для окремих підрозділів / відповідальних працівників фінансової компанії та в межах таких підрозділів, лімітів ризику концентрації, лімітів дотримання повноважень, лімітів щодо продуктів та сервісів, інших лімітів, установлених внутрішніми документами фінансової компанії;
6) забезпечують складання висновків щодо ризиків, притаманних діяльності фінансової компанії, включаючи висновки щодо ризиків, що виникають під час запровадження нових продуктів / послуг;
7) ураховують у процесі прийняття рішень інформацію, отриману в межах системи управління ризиками;
8) забезпечують складання та своєчасне звітування, підготовка якого належить до компетенції відповідного підрозділу / відповідального працівника, включаючи звітування щодо ризиків, притаманних діяльності фінансової компанії, включаючи висновки щодо ризиків, що виникають під час запровадження нових продуктів / послуг);
9) здійснюють контроль за дотриманням вимог законодавства України про захист прав споживачів фінансових послуг, внутрішніх документів та процесів;
10) здійснюють контрольну діяльність за інформаційними системами й технологіями, надають рекомендації щодо їх удосконалення, усунення виявлених недоліків у їх роботі виконавчому органу фінансової компанії;
11) перевіряють відповідність внутрішніх документів фінансової компанії законодавству України, забезпечують здійснення моніторингу змін у законодавстві України та здійснюють оцінку впливу таких змін на процеси та процедури, запроваджені в фінансовій компанії, а також забезпечують контроль за імплементацією відповідних змін у внутрішні документи;
12) перевіряють відповідність здійснюваних суб’єктами першої лінії захисту заходів із контролю внутрішнім документам фінансової компанії;
13) забезпечують управління ризиками, пов’язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури фінансової компанії;
14) забезпечують організацію контролю за захистом і обробкою персональних даних відповідно до законодавства України;
15) відповідають за належне та своєчасне інформування суб’єктів внутрішнього контролю щодо внутрішніх документів та внесених до них змін, які визначають процедури здійснення кожного з видів контрольної діяльності та окремих процедур внутрішнього контролю;
16) складають звіти в межах компетенції щодо реалізації контрольної діяльності / моніторингу, які мають бути подані для оцінки та розгляду органу управління фінансової компанії.
33. Суб’єкти третьої лінії захисту:
1) здійснюють оцінку ефективності діяльності першої та другої ліній захисту та загальну оцінку ефективності системи внутрішнього контролю;
2) надають пропозиції з питань розроблення / перегляду процесу здійснення заходів з контролю та/або окремих процедур внутрішнього контролю.
34. Фінансова компанія зобов’язана визначити у внутрішніх документах письмовий опис процесів, які забезпечують організацію та функціонування системи внутрішнього контролю, включаючи завдання, порядок та етапи здійснення заходів з контролю, відповідальних працівників, а також способи досягнення результатів щодо кожного процесу.
35. Положення про систему внутрішнього контролю фінансової компанії має містити:
1) мету, завдання та принципи побудови системи внутрішнього контролю фінансової компанії;
2) організаційну структуру процесу внутрішнього контролю з урахуванням розподілу функціональних обов’язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;
3) принципи та підходи щодо впровадження компонентів системи внутрішнього контролю у фінансовій компанії;
4) порядок, види, періодичність підготовки та розгляду звітів;
5) процедуру виправлення недоліків, виявлених у системі внутрішнього контролю уповноваженими суб’єктами першої - третьої ліній захисту, зовнішніми аудиторами та/або відповідно до рішення Національного банку про застосування коригувальних заходів.
Відповідальний орган фінансової компанії з урахуванням компетенції затверджує та регулярно (не рідше одного разу на три роки) переглядає положення про систему внутрішнього контролю фінансової компанії.
36. Фінансова компанія має право об’єднувати окремі внутрішні документи щодо побудови та організації системи внутрішнього контролю в один або кілька документів із дотриманням вимог цього Положення та іншого законодавства України щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.
37. Фінансова компанія доводить до відома працівників внутрішні документи, які містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень, включно з повноваженнями щодо здійснення внутрішнього контролю.
Фінансова компанія зобов’язана письмово фіксувати кожен факт ознайомлення працівника із такими документами в спосіб, що дає змогу підтвердити факт такого ознайомлення, включно з ознайомленням під підпис працівника та особи, яка забезпечила проведення ознайомлення, а також дати такого ознайомлення.
38. Фінансова компанія визначає у внутрішніх документах процедури та заходи з контролю, які застосовуються підрозділами кожної з трьох ліній захисту, а також порядок та процедури:
1) вертикальної взаємодії, що застосовуються під час здійснення внутрішнього контролю між структурними підрозділами / особами, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі внутрішнього контролю / суб’єктами різних ліній захисту, органами управління фінансової компанії;
2) горизонтальної взаємодії, що застосовуються в разі здійснення внутрішнього контролю в межах одного підрозділу / функції та/або між підрозділами / особами, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі внутрішнього контролю / функціями однієї лінії захисту.
IV. Система управління ризиками у фінансовій компанії
8. Загальні засади організації системи управління ризиками
39. Система управління ризиками фінансової компанії має забезпечувати можливість виявлення, вимірювання, моніторинг, контроль, звітування та мінімізацію (зниження до контрольованого рівня) ризиків, на які наражається фінансова компанія, як наявних (реалізовані, поточні), так і потенційних (нереалізовані).
40. Фінансова компанія зобов’язана забезпечити наявність системи управління такими ризиками:
41. Фінансова компанія, що надає фінансові платіжні послуги з переказу коштів без відкриття рахунку та/або із здійснення еквайрингу платіжних інструментів, здійснює управління операційним ризиком, пов’язаним із наданням платіжних послуг, у порядку, визначеному в розділі VII Положення про вимоги до системи управління надавача фінансових платіжних послуг, затвердженого постановою Правління Національного банку України від 10 жовтня 2024 року № 123.
42. Фінансова компанія на підставі ліцензії на діяльність фінансової компанії має право надавати фінансові послуги з надання коштів та банківських металів у кредит, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок неспроможності боржника забезпечити в повному обсязі виконання зобов’язань перед фінансовою компанією в установлений договором / договорами строк без застосування фінансовою компанією процедури примусового повернення боргу, включно шляхом звернення стягнення на забезпечення (за наявності).
Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати фінансові послуги з надання коштів та банківських металів у кредит, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання надати грошові кошти за договорами, укладеними з клієнтами через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.
43. Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з фінансового лізингу, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок недостатності надходжень від реалізації предмета фінансового лізингу для покриття некомпенсованої вартості предмета лізингу в разі неспроможності лізингоодержувача забезпечити в повному обсязі виконання зобов’язань перед фінансовою компанією в установлений договором / договорами строк.
Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з фінансового лізингу, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання з передавання клієнту предмета фінансового лізингу згідно з умовами укладеного договору через неможливість оплати постачальнику його вартості через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.
44. Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з факторингу, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок неспроможності боржника за відступленими грошовими зобов’язаннями забезпечити в повному обсязі виконання такого зобов’язання та/або неспроможності клієнта виконати зобов’язання перед фінансовою компанією в установлений договором / договорами строк без процедури примусового повернення боргу, включно шляхом звернення стягнення на забезпечення (за наявності).
Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з факторингу, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання з передавання грошових коштів у розпорядження клієнта за договорами, укладеними з клієнтами через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.
45. Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право здійснювати діяльність із надання гарантій, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок невиконання боржником (принципалом) вимоги забезпеченої гарантією та/або не спроможності принципала забезпечити в повному обсязі виконання зворотної вимоги (регресу) фінансової компанії в установлений договором / договорами строк без процедури примусового повернення боргу, включно шляхом звернення стягнення на забезпечення (за наявності).
Фінансова компанія, що здійснює діяльність із надання гарантій, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання за наданими гарантіями, щодо яких надійшла вимога бенефіціара про сплату через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.
46. Фінансова компанія, що поміж інших ліцензій на здійснення фінансових послуг має ліцензію на здійснення валютних операцій згідно з вимогами, установленими Законом України “Про валюту і валютні операції”, забезпечує наявність управління валютним ризиком додатково до ризиків, визначених у пункті 40 глави 8 розділу IV цього Положення, шляхом запровадження підходів для запобігання виникненню втрат унаслідок переоцінки відкритої валютної позиції у зв’язку зі зміною валютних курсів валютних цінностей.
47. Фінансова компанія має право самостійно встановлювати критерії, за якими визначатимуться інші види ризиків, притаманних її діяльності з урахуванням складності, обсягів, видів, характеру здійснюваних операцій, організаційної структури та профілю ризику фінансової компанії, визначати порядок виявлення таких ризиків та управління ними. Національний банк має право рекомендувати фінансовій компанії розширювати перелік видів ризиків, визначений у пунктах 40, 46 глави 8 розділу IV цього Положення.
48. Комплексна та адекватна система управління ризиками фінансової компанії має передбачати:
1) організацію системи управління ризиками, що ґрунтується на застосуванні моделі трьох ліній захисту та забезпечує чіткий розподіл функцій, обов’язків і повноважень з управління ризиками між усіма суб’єктами системи управління ризиками, а також між працівниками фінансової компанії та передбачає їх відповідальність згідно з таким розподілом;
2) культуру управління ризиками та кодекс поведінки (етики);
3) внутрішні документи з питань управління ризиками;
4) інструменти для ефективного управління ризиками.
49. Суб’єктами системи управління ризиками фінансової компанії є:
1) відповідальний орган фінансової компанії та створені ним комітети (у разі створення);
2) виконавчий орган фінансової компанії та створені ним комітети (у разі створення);
3) бізнес-підрозділи, підрозділи підтримки діяльності фінансової компанії;
4) підрозділ з управління ризиками, головний ризик-менеджер (керівник підрозділу з управління ризиками) або особа, на яку покладена функція такого підрозділу, підрозділ контролю за дотриманням норм (комплаєнс), керівник підрозділу контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу;
5) внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);
6) керівники та працівники фінансової компанії, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішніми документами, та не входять до складу органів управління фінансової компанії й підрозділів фінансової компанії.
50. Фінансова компанія встановлює ліміти (обмеження) для ризиків, що підлягають кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо кредитного ризику, ризику ліквідності, комплаєнс-ризику, валютного ризику, операційного ризику та зобов’язана здійснювати вимірювання (оцінку) ризиків з урахуванням взаємозв’язку ризиків та впливу окремого ризику на інші ризики, притаманні її діяльності. Перелік та значення лімітів ризиків визначає та затверджує відповідальний орган фінансової компанії.
Вимірювання ризиків, проведене фінансовою компанією, має бути задокументоване, включаючи детальний опис та пояснення ризиків, що охоплюються вимірюванням, використані підходи, а також ключові судження та припущення, що були зроблені під час такого вимірювання.
51. Система управління ризиками фінансової компанії має передбачати визначення ризиків, притаманних діяльності, установлення лімітів ризиків (якісних та/або кількісних, єдиним значенням або діапазоном чи межами) вимірювання ризиків за новими продуктами та значними змінами в діяльності до початку їх упровадження, включаючи зміни в реалізації продуктів та в системі управління ризиками фінансової компанії, установлення допустимого рівня ризиків за новими продуктами.
52. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити процеси та інструменти для моніторингу ризиків, що забезпечують своєчасне виявлення ризиків та адекватне управління ними.
53. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити методи (інструменти) управління виявленими ризиками в межах підходів до управління ризиками. Такими методами управління ризиками можуть бути:
1) прийняття ризику, що передбачає прийняття фінансовою компанією ідентифікованого ризику та неприйняття будь-яких інших дій для його зниження;
2) передавання фінансовою компанією ризику третім особам за винагороду, водночас для здійснення контролю за ризиками фінансовою компанією, наявний рівень ризику не змінюється;
3) пом’якшення або зниження ризику, що передбачає коригування певних процесів та/або впровадження додаткових контрольних заходів, спрямованих на зменшення ймовірності виникнення ризику, запобігання перевищенню допустимого рівня ризику та/або зменшенню впливу ризику на результати діяльності фінансової компанії;
4) уникнення ризику, що передбачає припинення здійснення або зміну діяльності (включаючи розірвання ділових відносин, продаж активу), яка створює ризик;
5) інші методи, доступні для застосування фінансовою компанією.
54. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити порядок звітування про ризики, загальну оцінку ризиків та пов’язані з ними плани дій органу управління фінансової компанії. Процедура ескалації ризиків фінансової компанії має забезпечити змогу звітувати про проблеми, пов’язані з ризиками, у межах періодичного звітування, а також поза періодичним звітуванням для термінових питань. Будь-яка діяльність фінансової компанії, що виходить за межі затвердженого ризик-апетиту, лімітів ризиків, має бути предметом відповідних аналізу та схвалення відповідальним органом фінансової компанії.
9. Внутрішні документи з питань управління ризиками
55. Фінансова компанія в межах системи управління ризиками розробляє і впроваджує внутрішні документи з питань управління ризиками.
56. Фінансова компанія зобов’язана мати такі затверджені відповідальним органом фінансової компанії внутрішні документи в межах системи управління ризиками:
1) стратегію управління ризиками;
2) декларацію схильності до ризиків;
3) політику управління ризиками, включаючи ліміти ризиків, та політику управління окремими видами ризиків у випадках, визначених цим Положенням.
57. Орган управління фінансової компанії здійснює контроль за дотриманням внутрішніх документів з урахуванням цього Положення та законодавства України.
58. Фінансова компанія своєчасно та періодично переглядає (не рідше одного разу на три роки) та оновлює (актуалізує) внутрішні документи з питань управління ризиками з урахуванням змін у законодавстві України, дія яких поширюється на фінансові компанії, змін у профілі ризиків фінансової компанії, а також з урахуванням інших внутрішніх чи зовнішніх подій та/або обставин.
Зміни в системі управління ризиками фінансової компанії, а також причини таких змін мають бути задокументовані й підлягають затвердженню відповідальним органом фінансової компанії. Внутрішні документи з питань управління ризиками фінансової компанії мають бути доступними для внутрішнього аудиту, зовнішнього аудиту та оцінювання якості системи внутрішнього контролю фінансової компанії з урахуванням характеру її діяльності, оцінювання та контролю рівня, характеру та особливостей ризиків діяльності особи, що охоплюється наглядовою діяльністю Національного банку.
59. Стратегія управління ризиками фінансової компанії обов’язково має містити:
1) основні цілі управління ризиками;
2) перелік ризиків із зазначенням видів операцій та категорій клієнтів (профілю клієнта, цільової аудиторії), які генерують ці ризики;
3) принципи та підходи щодо визначення прийнятного співвідношення дохідності та ризиків;
4) загальні принципи управління ризиками.
60. Декларація схильності до ризиків визначає:
1) рівень ризик-апетиту щодо кожного з видів ризиків, який повинен стати основою для встановлення лімітів та який повинен узгоджуватися з установленим сукупним рівнем ризик-апетиту та документами з планування діяльності фінансової компанії;
2) види ризиків, щодо яких фінансова компанія прийняла рішення про доцільність / необхідність їх утримання з метою досягнення її цілей, установлених документами з планування діяльності;
3) види ризиків, яких фінансова компанія має уникати.
61. Політика управління ризиками фінансової компанії має містити:
1) визначення та класифікацію ризиків, включаючи інші визначені фінансовою компанією ризики, притаманні фінансовій компанії, за видами ризиків;
3) процеси та інструменти щодо виявлення, вимірювання (оцінки), моніторингу, контролю та звітування щодо ризиків, що застосовуються фінансовою компанією до нових ризиків, порядок їх виявлення та пом’якшення;
4) ліміти ризиків за визначеними фінансовою компанією видами ризиків відповідно до ризик-апетиту фінансової компанії та порядок контролю за їх дотриманням;
5) методи, інструменти, положення, методичні вказівки, ключові припущення та обмеження в управлінні ризиками;
6) зміст та форму звітування щодо ризиків, його порядок і періодичність / терміни;
7) процедуру ескалації ризиків, що встановлює порядок інформування органу управління фінансової компанії про порушення лімітів ризиків, ризик-апетиту;
8) процес погодження з відповідальним органом фінансової компанії, що потрібний у разі будь-яких очікуваних відхилень від стратегії управління ризиками, декларації схильності до ризику, лімітів ризиків;
9) положення, що регламентують діяльність підрозділу з управління ризиками (особи, на яку покладена функція такого підрозділу), з урахуванням вимог, установлених цим Положенням;
10) опис організаційної структури підрозділу з управління ризиками (у разі його створення);
11) розподіл обов’язків, повноважень учасників системи управління ризиками та їх відповідальності щодо управління ризиками, що є добре інтегрованим в організаційну структуру фінансової компанії та в процеси прийняття рішень;
12) порядок звітування перед органом управління фінансової компанії;
13) іншу інформацію у випадках, визначених цим Положенням.
62. Фінансова компанія має право включити до політики управління ризиками інші положення щодо управління ризиками додатково до встановлених цим Положенням, які не суперечать вимогам цього Положення.
63. Політика управління ризиками фінансової компанії має бути викладена таким чином, щоб учасникам системи управління ризиками були зрозумілі завдання та обов’язки щодо управління ризиками, також відображений зв’язок системи управління ризиками із загальною системою корпоративного управління.
10. Управління операційним ризиком
64. Фінансова компанія створює ефективну систему управління операційним ризиком, що має повністю інтегруватися в загальну систему управління ризиками.
Фінансова компанія оцінює операційний ризик з урахуванням його взаємозв’язку та впливу на інші ризики, притаманні її діяльності.
Фінансова компанія самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику, що має обов’язково включати показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців.
Фінансова компанія створює та веде базу внутрішніх подій операційного ризику, здійснює аналіз накопиченої в ній інформації.
65. Політика управління операційним ризиком може бути складовою політики управління ризиком фінансової компанії або окремим документом та має обов’язково містити:
1) мету, завдання та принципи управління операційним ризиком;
2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціональних обов’язків відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;
3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення операційного ризику;
4) критерії визначення значних подій операційного ризику, порядок їх дослідження та ескалації інформації щодо таких подій;
5) ліміти, порядок установлення лімітів операційного ризику та порядок їх контролю;
6) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);
7) перелік та інформаційне наповнення форм управлінського звітування щодо операційного ризику, порядок і періодичність / терміни його надання суб’єктам системи управління ризиками;
8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв;
9) порядок запобігання ризику внутрішнього та зовнішнього шахрайства.
66. Порядок та процедури управління операційним ризиком мають обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення операційного ризику, включаючи інструменти / індикатори, що використовуються;
2) процедури контролю за повнотою та якістю даних про події операційного ризику, включаючи інструменти, що використовуються для такого контролю;
3) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-процесами, категоріями клієнтів;
4) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов’язаних із кредитним ризиком;
5) критерії визначення груп пов’язаних операційних подій;
6) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;
7) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;
8) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком із метою уникнення їх дублювання;
9) порядок обміну інформацією між учасниками процесу управління операційним ризиком, включаючи види, форми й терміни подання інформації.
67. Фінансова компанія розробляє та впроваджує процедури контролю за повнотою та якістю даних про події операційного ризику, що передбачають:
1) розподіл обов’язків та відповідальності між підрозділами фінансової компанії щодо контролю за повнотою та якістю даних про події операційного ризику під час їх збору, унесення до бази внутрішніх подій операційного ризику та подальшої перевірки;
2) заходи поточного (під час збору та внесення даних до бази внутрішніх подій операційного ризику) та подальшого контролю за повнотою та якістю даних про події операційного ризику, включаючи автоматизовані та/або ручні перевірки щодо наявності помилок та суперечливості даних, відповідності обліковим, фінансовим, статистичним даним та даним управлінської звітності;
3) підходи з управління операційним ризиком із дотриманням моделі трьох ліній захисту.
11. Управління кредитним ризиком
68. Фінансова компанія створює ефективну систему управління кредитним ризиком, що забезпечує виявлення, вимірювання, моніторинг, звітування, контроль і зменшення кредитного ризику як на індивідуальній, так і на портфельній основі.
69. Фінансова компанія під час оцінки кредитного ризику враховує ризик концентрації в розрізі:
1) величини заборгованості за клієнтами та/або групою пов’язаних клієнтів;
2) строків виконання зобов’язань;
4) мети отримання фінансової послуги;
5) видів забезпечення за договорами про надання фінансових послуг;
6) операцій з пов’язаними особами або групою пов’язаних осіб.
70. Фінансова компанія розробляє та періодично (не рідше одного разу на три роки) переглядає кредитну політику з метою забезпечення її ефективності та відповідності рівню ризик-апетиту фінансової компанії.
71. Фінансова компанія доводить кредитну політику до відома працівників, які беруть участь у процесі видачі та супроводження кредитів відповідно до функціональних обов’язків і зобов’язані чітко розуміти підхід до процесу кредитування та нести відповідальність за невиконання політики, порядків і процедур.
72. Кредитна політика має містити:
1) перелік цільових напрямів надання фінансових послуг;
2) загальні критерії кредитування та категорії клієнтів (профіль клієнта, цільова аудиторія), включаючи категорії клієнтів, з якими фінансова компанія відмовляється від установлення ділових відносин;
3) принципи управління ризиком концентрації;
4) загальні умови, на яких мають надаватися такі фінансові послуги: цінові умови, строковість, обсяги, види забезпечення та рівень забезпечення (покриття) заборгованості;
5) порядок ухвалення рішень про надання фінансових послуг;
6) процедуру делегування повноважень щодо ухвалення рішень про надання фінансових послуг;
7) підходи до операцій з пов’язаними особами;
8) ліміти кредитного ризику, порядок установлення лімітів кредитного ризику та порядок їх контролю.
73. Порядок та процедури з управління кредитним ризиком фінансової компанії мають обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення кредитного ризику, включаючи інструменти / індикатори, що використовуються;
2) перелік документів, які має надати клієнт для розгляду запиту (заяви), на підставі якого (якої) фінансова компанія визначає можливість укладення з ним договору про надання фінансових послуг (далі - запит);
3) порядок розгляду запиту, підстави для ухвалення рішень щодо надання фінансової послуги;
4) порядок роботи фінансової компанії з клієнтом до і під час надання фінансових послуг, включаючи розкриття клієнту інформації про умови і порядок надання кредиту, а також про орієнтовну загальну вартість кредиту для споживача фінансових послуг за весь строк користування кредитом;
5) вимоги до оцінки майна, що отримується фінансовою компанією в заставу або забезпечення за договорами про надання фінансових послуг;
6) порядок формування резервів під очікувані збитки за фінансовими активами у відповідності до міжнародних стандартів фінансової звітності;
7) порядок перегляду умов надання фінансової послуги;
8) порядок роботи із заборгованістю, яка не була сплачена клієнтом у строк, визначений договором;
9) порядок обміну інформацією між учасниками процесу управління кредитним ризиком, включаючи види, форми й терміни надання інформації.
74. Фінансова компанія створює та застосовує механізми внутрішнього контролю, інші механізми, що забезпечують своєчасне інформування органу управління фінансової компанії про відхилення від кредитної політики, порядку і процедур управління кредитним ризиком та порушення встановлених лімітів ризиків для прийняття своєчасних і адекватних управлінських рішень.
12. Управління комплаєнс-ризиком
75. Фінансова компанія створює ефективну систему управління комплаєнс-ризиком, що має бути повністю інтегрована в загальну систему управління ризиками.
76. Фінансова компанія розробляє та запроваджує:
1) процедури та процеси забезпечення відповідності діяльності фінансової компанії вимогам законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, законодавства України про захист прав споживачів фінансових послуг, включаючи вимоги щодо взаємодії зі споживачами фінансових послуг при врегулюванні простроченої заборгованості (вимоги щодо етичної поведінки), нагляду (контролю) за дотриманням вимог законодавства України про рекламу (у частині реклами фінансових послуг), контролю за поширенням інформації про фінансові та супровідні послуги (далі - законодавство України про захист прав споживачів фінансових послуг) та внутрішнім документам фінансової компанії, включно за новими продуктами та значними змінами в діяльності до початку їх упровадження, включаючи зміни в реалізації продуктів;
2) політику виявлення, запобігання та управління конфліктами інтересів у фінансовій компанії;
3) процедуру забезпечення контролю за достовірністю фінансової та регуляторної звітності;
4) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, включаючи види, форму й терміни надання інформації;
5) процедуру забезпечення контролю за виконанням вимог законодавства України щодо залучення коштів фінансовими компаніями (якщо компанія здійснює залучення коштів);
6) правила взаємодії фінансової компанії з Національним банком, іншими органами державної влади та державного управління, які в межах компетенції здійснюють нагляд за діяльністю фінансової компанії, з питань дотримання фінансовою компанією вимог законодавства України.
77. Фінансова компанія забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом’якшення.
78. Головний комплаєнс-менеджер [керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу] подає звіти щодо оцінки комплаєнс-ризику органу управління не рідше одного разу на квартал або частіше у випадках, установлених законодавством України.
Головний комплаєнс-менеджер [керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу] відповідає за організацію навчання суб’єктів внутрішнього контролю з питань дотримання встановлених фінансовою компанією вимог системи внутрішнього контролю.
Головний комплаєнс-менеджер [керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу] має право з виконанням основних функцій поєднувати виконання функції відповідального працівника фінансової компанії за проведення фінансового моніторингу з урахуванням вимог цього Положення, Положення про авторизацію надавачів фінансових послуг та умови здійснення ними діяльності з надання фінансових послуг, затвердженого постановою Правління Національного банку України від 29 грудня 2023 року № 199 (зі змінами) (далі - Положення № 199), та вимог Положення про здійснення установами фінансового моніторингу, затвердженого постановою Правління Національного банку України від 28 липня 2020 року № 107 (зі змінами).
79. Фінансова компанія зобов’язана запровадити культуру управління ризиками з метою просування обізнаності органу управління фінансової компанії, а також працівників фінансової компанії (включаючи осіб, які виконують функції або окремі завдання та процеси в межах функцій на аутсорсингу) щодо ризиків, ризик-апетиту, стратегії управління ризиками на всіх організаційних рівнях, що сприяє:
1) усвідомленню ризик-апетиту та пов’язаних із ним лімітів ризиків (включаючи ліміти ризиків, установлені для окремих підрозділів фінансової компанії та в межах таких підрозділів);
2) послідовному впровадженню системи управління ризиками в усіх підрозділах / функціях фінансової компанії;
3) підтримці своєчасного вимірювання (оцінки) та інформування про нові ризики.
80. Фінансова компанія зобов’язана передбачити процедури та процеси забезпечення дотримання компанією пруденційних вимог, включаючи пруденційні нормативи, установлені нормативно-правовими актами Національного банку для видів діяльності, які здійснює фінансова компанія, безперервного моніторингу їх виконання, виявлення ризику їх порушення, а також негайного повідомлення про такий ризик органу управління фінансової компанії, та порядку такого повідомлення.
81. Фінансова компанія, що залучає кошти від інвестора - фізичної особи, додатково до вимог пункту 76 глави 12 розділу IV цього Положення забезпечує отримання та збереження доказів відповідності такої фізичної особи вимогам, установленим Положенням № 199.
82. Фінансова компанія призначає з-поміж своїх штатних працівників особу (осіб), відповідальну (відповідальних) за дотримання вимог цього Положення, Положення № 199 та законодавства України, при передачі на аутсорсинг будь-яких функцій, окремих процесів у межах таких функцій.
13. Управління ризиком ліквідності
83. Фінансова компанія створює ефективну систему управління ризиком ліквідності для забезпечення підтримання достатнього рівня ліквідності як у звичайних, так і в стресових ситуаціях, що має бути повністю інтегрована в загальну систему управління ризиками.
Фінансова компанія оцінює ризик ліквідності з урахуванням його взаємозв’язку та впливу на інші ризики, притаманні її діяльності.
Фінансова компанія визначає мінімальний перелік кількісних показників ризик-апетиту до ризику ліквідності, до якого належать тривалість періоду повного і своєчасного виконання фінансовою компанією своїх зобов’язань за договорами, укладеними з клієнтами під час стресової ситуації, та потрібний для цього обсяг ліквідних активів.
84. Фінансова компанія здійснює планування діяльності та планує укладення нових договорів про надання фінансових послуг з урахуванням можливості реалізації факторів ризику, включаючи втрату або погіршення умов залучення незабезпечених і доступних у нормальних умовах джерел фінансування, а також наявного обсягу необтяжених ліквідних активів.
85. Фінансова компанія розробляє та запроваджує порядок і процедури управління ризиком ліквідності, що повинні обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення ризику ліквідності, включаючи інструменти / індикатори, що використовуються;
2) перелік стабільних джерел фінансування, а також вимоги до складу, обсягу та характеристик високоякісних ліквідних активів, які фінансова компанія планує використати для покриття можливого дефіциту ліквідності;
3) перелік індикаторів раннього попередження про настання / загрозу настання кризи ліквідності;
4) порядок обміну інформацією між учасниками процесу управління ризиком ліквідності, включаючи види, форму й терміни надання інформації.
86. Головний ризик-менеджер (керівник підрозділу з управління ризиками або особа, на яку покладена функція такого підрозділу такого підрозділу) подає звіти щодо ризику ліквідності відповідальному органу фінансової компанії не рідше одного разу на квартал, виконавчому органу - не рідше одного разу на місяць.
V. Організація внутрішнього аудиту у фінансовій компанії
14. Підходи в організації аудиту
87. Служба внутрішнього аудиту підпорядковується відповідальному органу фінансової компанії та звітує перед ним.
88. Служба внутрішнього аудиту організаційно не залежить від інших підрозділів фінансової компанії (не підпорядковується таким підрозділам).
89. Порядок діяльності служби внутрішнього аудиту, її статус, функціональні обов’язки та повноваження визначаються положенням про службу внутрішнього аудиту, яке розробляється фінансовою компанією та затверджується, відповідальним органом фінансової компанії.
90. Виконання функції внутрішнього аудиту фінансової компанії передбачає здійснення внутрішніх аудиторських перевірок фінансової компанії (далі - внутрішній аудит) не рідше одного разу на рік відповідно до глобальних стандартів внутрішнього аудиту та річного плану проведення аудиторських перевірок на звітний рік, який готується службою внутрішнього аудиту фінансової компанії на основі ризик орієнтованого підходу, затверджується відповідальним органом фінансової компанії та доводиться до відома виконавчого органу фінансової компанії.
Позапланові внутрішні аудиторські перевірки можуть здійснюватися на вимогу відповідального органу управління, його аудиторського комітету (у разі його утворення) та/або за погодженою з відповідальним органом управління ініціативою виконавчого органу управління або служби внутрішнього аудиту.
15. Звітність за результатами аудиту
91. Служба внутрішнього аудиту готує та подає відповідальному органу фінансової компанії звіт за результатами внутрішнього аудиту.
92. В аудиторському звіті за результатами внутрішнього аудиту викладаються виявлені недоліки в діяльності фінансової компанії, випадки не дотримання внутрішніх документів фінансової компанії, причини, що зумовили такі недоліки та/або порушення, пропозиції з визначенням строків щодо їх усунення.
93. Аудиторський звіт за результатами внутрішнього аудиту складається з урахуванням вимог глобальних стандартів внутрішнього аудиту, підписується (власноруч або електронним підписом) особою, яка безпосередньо виконувала перевірку, внутрішнім аудитором / головним внутрішнім аудитором (штатним працівником, на якого покладена функція проведення внутрішнього аудиту) / керівником структурного підрозділу, відповідального за проведення внутрішнього аудиту, та власником процесу, що перевірявся.
94. Аудиторський звіт за результатами внутрішнього аудиту надається керівникам підрозділів, що підлягали аудиту, виконавчому органу фінансової компанії для вжиття своєчасних і належних організаційних заходів.
95. Процес моніторингу (відстеження) службою внутрішнього аудиту результатів внутрішніх аудиторських перевірок фінансової компанії починається після підписання / затвердження аудиторського звіту та закінчується після виконання усіх наданих рекомендацій (пропозицій).
96. Подальший моніторинг (відстеження) результатів внутрішніх аудиторських перевірок завершується після підтвердження службою внутрішнього аудиту фінансової компанії виконання підрозділом / підрозділами фінансової компанії, що підлягав / підлягали аудиту, усіх та повною мірою рекомендацій (пропозицій), що надавалися за результатами аудиту.
VI. Контрольна діяльність у фінансовій компанії
16. Процедури контролю у фінансовій компанії
97. Фінансова компанія забезпечує здійснення процедур контролю шляхом:
1) розмежування функцій - працівники, відповідальні за вчинення правочинів, не мають здійснювати бухгалтерський облік операцій, що виконуються за такими правочинами. В одному підрозділі не може бути зосереджено проведення операції, починаючи з її ініціювання до відображення в регістрах бухгалтерського обліку, обліковій та реєстраційній системі фінансової компанії, крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
2) контролю за введенням даних в облікову та реєстраційну систему, інші інформаційні системи фінансової компанії - уведення інформації / операції в облікову та реєстраційну системи, інші інформаційні системи одним працівником (виконавцем) має бути перевірено іншим працівником (контролером), крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
3) звіряння даних - звіряння даних має відбуватися між різними інформаційними та обліковими системами, а також на різних етапах оброблення даних, що реалізується шляхом порівняння детальної інформації та/або кінцевих даних;
4) контролю за виправленнями - унесення будь-яких виправлень до вхідної інформації в обліковій та реєстраційній системі, інших системах фінансової системи має бути додатково проконтрольовано особою, яка є штатним працівником фінансової компанії та не є виконавцем такого виправлення.
98. Фінансова компанія здійснює контрольну діяльність шляхом:
1) запровадження та виконання заходів із контролю щодо всіх процесів та на всіх організаційних рівнях;
2) розгляду звітів, підготовлених за результатами здійснення контрольних заходів;
3) налаштування надійної системи звітування структурних / відокремлених підрозділів перед фінансовою компанією про інциденти, що сталися (визначаються фінансовою компанією самостійно у внутрішніх документах).
99. Фінансова компанія, розробляє та контролює виконання внутрішніх документів, що встановлюють:
1) види, періодичність та порядок здійснення заходів із контролю;
2) підрозділи / працівників, відповідальних за проведення заходів із контролю;
3) облікову політику фінансової компанії;
4) правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності фінансової компанії (фінансової та регуляторної), звітів у межах системи внутрішнього контролю, їх види, періодичність та порядок підготовки;
5) періодичність та порядок розгляду звітів;
6) осіб / орган управління фінансової компанії, уповноважених / уповноважений здійснювати розгляд звітів;
7) регламенти / порядки складання звітів у межах системи внутрішнього контролю;
8) перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту та обробки персональних даних працівників та клієнтів фінансової компанії;
9) інформацію про механізм захисту прав споживачів фінансових послуг та порядок урегулювання спірних питань, що виникають у процесі надання фінансових та інших послуг фінансовою компанією, а саме: порядок звернення споживача до фінансової компанії, включно зі скаргою на дії фінансової компанії, із зазначенням форми, у якій приймаються такі звернення (усна, письмова, усна та письмова), та каналів для їх прийняття (контактний номер телефону, електронна або поштова адреса для листування або інший спосіб зв’язку з фінансовою компанією); порядок реєстрації, розгляду та опрацювання заяви (повідомлення), звернення, скарги споживача фінансових послуг; порядок надання інформації споживачу фінансових послуг про хід розгляду заяви (повідомлення), звернення, скарги споживача фінансових послуг; опис альтернативних схем вирішення спорів зі споживачем фінансових послуг (якщо застосовується); опис аналізу даних щодо заяв (повідомлень), звернень, скарг споживачів фінансових послуг, що застосовується фінансовою компанією, та заходи (дії) за результатами такого аналізу для припинення виявлених порушень;
10) порядок реєстрації, розгляду та опрацювання звернень громадян, юридичних осіб, фізичних осіб-підприємців, громадських формувань, органів державної влади та місцевого самоврядування;
11) види, періодичність та порядок здійснення заходів із контролю, підрозділи / працівники, відповідальні за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та осіб, уповноважених здійснювати розгляд звітів;
12) перелік та опис способів здійснення моніторингу та контролю за функціями, що виконуються третіми особами, які залучаються до виконання ключових функцій (у разі залучення таких осіб на аутсорсинг);
13) перелік та опис способів здійснення моніторингу та контролю за наданням фінансової послуги з торгівлі валютними цінностями в готівковій формі відокремленими підрозділами та/або комерційними агентами / посередниками (за їх наявності / залучення).
100. Фінансова компанія здійснює заходи з контролю з метою запобігання, виявлення та усунення порушень законодавства України та внутрішніх документів фінансової компанії.
101. Фінансова компанія зобов’язана здійснювати внутрішній контроль за дотриманням законодавства України про захист прав споживачів фінансових послуг.
102. Фінансова компанія зобов’язана забезпечити розроблення, упровадження та застосування механізмів внутрішнього контролю під час організації внутрішніх процесів, а також у разі залучення третіх осіб до надання та/або рекламування послуг за умови дотримання законодавства України про захист прав споживачів фінансових послуг та несе відповідальність за недотримання вимог такими особами.
103. Заходами, дотримання яких свідчить про впровадження та ефективне функціонування контрольної діяльності як компонента системи внутрішнього контролю фінансової компанії, є:
1) фінансова компанія затвердила внутрішні документи щодо системи внутрішнього контролю та довела їх до відома всіх суб’єктів внутрішнього контролю (у межах їх компетенції);
2) фінансова компанія визначила у внутрішніх документах види контрольної діяльності за інформаційними та обліковими системами й технологіями (за потреби).
104. Процедурами контролю, наявність яких свідчить про належне впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю фінансової компанії, є дотримання заходів, установлених у пункті 23 глави 7 розділу III цього Положення, та:
1) фінансова компанія враховує ефективність застосовуваних у минулих періодах окремих видів заходів із контролю;
2) фінансовою компанією забезпечено можливість моніторингу здійснення відповідного виду контролю.
17. Контрольні заходи в контрольній діяльності
105. Фінансова компанія зобов’язана враховувати під час розроблення та перегляду контрольних заходів:
1) зміни в ринковому середовищі та законодавстві України;
2) адекватність установлених заходів із контролю щодо кожного з операційних та комплаєнс-ризиків;
3) ефективність застосовуваних у минулих періодах окремих видів заходів із контролю;
4) можливість моніторингу здійснення відповідного виду контролю.
106. Фінансова компанія визначає осіб, відповідальних за здійснення контрольних заходів, підготовку та опрацювання звітів про результати здійснення контрольних заходів за горизонтальною та вертикальною взаємодією з урахуванням принципу недопущення конфлікту інтересів.
107. Фінансова компанія зобов’язана проводити щорічну самостійну оцінку відповідності системи внутрішнього контролю (далі - щорічна самооцінка) її цілям, розміру, видам діяльності, вимогам законодавства України з обов’язковим урахуванням результатів здійснення контрольної діяльності та заходів із моніторингу ефективності системи внутрішнього контролю.
Результати проведеної щорічної самооцінки мають бути викладені у формі звіту про результати щорічної самооцінки за підписом уповноваженого працівника фінансової компанії / керівника підрозділу, відповідального за складання такого звіту.
Звіт про результати щорічної самооцінки має включати оцінку системи внутрішнього контролю. Звіт про результати щорічної самооцінки може містити іншу інформацію, обов’язковість включення якої визначено у внутрішньому документі / внутрішніх документах щодо системи внутрішнього контролю.
108. Звіт про результати щорічної самооцінки має бути доведений до відома відповідального органу, виконавчого органу та ключових осіб фінансової компанії.
18. Контроль за інформаційними потоками та комунікаціями
109. Фінансова компанія визначає у внутрішньому документі / внутрішніх документах порядок здійснення суб’єктами внутрішнього контролю зовнішніх та внутрішніх комунікацій, порядок використання та отримання інформації з урахуванням установлення вимог до:
1) порядку роботи із зовнішньою / внутрішньою кореспонденцією, визначення відповідальних за адміністрування вхідної кореспонденції (права доступу, періодичність та терміни опрацювання);
2) процедури визначення кінцевих отримувачів та відповідальних за підготовку відповідей на вхідну кореспонденцію;
3) установлення обмежень на поширення інформації за межі фінансової компанії, надісланої фінансовій компанії Національним банком, як цільовому респонденту.
110. Фінансова компанія в разі настання технічного збою або інших невідворотних обставин (за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) зобов’язана невідкладно, але не пізніше другого робочого дня, а в разі настання технічного збою або інших невідворотних обставин у вихідний, святковий або неробочий день наступного робочого дня від дня настання технічного збою або інших невідворотних обставин повідомити Національний банк про факт настання технічного збою або інших невідворотних обставин будь-яким технічним засобом електронних комунікацій на гарячу лінію (контактний центр) Національного банку. Факт повідомлення Національного банку про технічний збій має бути зафіксовано в базі подій операційного ризику із зазначенням інформації про причини настання технічного збою, оцінку критичності наслідків та вжиті фінансовою компанією заходи для усунення наслідків технічного збою.
111. Фінансова компанія має право не повідомляти Національний банк про факт настання технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29), якщо тривалість такого технічного збою або інших невідворотних обставин не перевищує 24 години поспіль із моменту настання технічного збою або інших невідворотних обставин, за умови, що такий технічний збій або інші невідворотні обставини не призвели до невиконання фінансовою компанією вимог законодавства України. Інформація про технічний збій має бути зафіксована в базі подій операційного ризику із зазначенням причини настання технічного збою, оцінки критичності наслідків, ужитих заходів для усунення наслідків технічного збою.
112. Відокремлені / структурні підрозділи фінансової компанії зобов’язані протягом 30 хвилин із моменту виявлення технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) інформувати уповноважену особу фінансової компанії про їх настання в порядку, визначеному у внутрішньому документі / внутрішніх документах фінансової компанії.
113. Керівник фінансової компанії (уповноважена особа) зобов’язаний (зобов’язана) подавати до Національного банку повідомлення про факт настання технічного збою або інших невідворотних обставин у строки, спосіб та відповідно до вимог, установлених Положенням № 29. У повідомленні мають бути зазначені причини настання технічного збою, оцінка критичності наслідків та описані вжиті заходи для усунення наслідків технічного збою.
114. Критеріями, які свідчать про забезпечення якості інформації, що створюється, використовується та отримується фінансовою компанією у своїй діяльності є її:
1) актуальність, що полягає у внесенні змін до інформації та повідомленні заінтересованих осіб про такі зміни протягом розумного строку з моменту настання обставин, що спричинили необхідність їх внесення;
2) коректність, що полягає в забезпеченні достовірності та повноти інформації;
3) цілісність, що полягає у вжитті заходів із метою захисту інформації, включно з використанням інформаційних систем і технологій, спрямованих на захист інформації від спотворення, пошкодження, втрати або знищення;
4) збереження, що полягає в збереженні інформації протягом усього строку її використання фінансовою компанією, але не менше строків, визначених законодавством України та внутрішнім документом / внутрішніми документами;
5) доступність, що полягає у визначенні у внутрішньому документі / внутрішніх документах переліків інформації, яка є:
з обмеженим доступом - може бути отримана та/або використана суб’єктами внутрішнього контролю виключно в межах їх повноважень;
6) достатність, що полягає у відповідності рівня деталізації інформації потребам внутрішніх та зовнішніх користувачів.
115. Фінансова компанія зобов’язана визначити у внутрішньому документі / внутрішніх документах порядок проведення перевірки якості інформації, достовірність джерела походження такої інформації.
Перевірка якості інформації має проводитись уповноваженими суб’єктами внутрішнього контролю.
116. Фінансова компанія зобов’язана забезпечити суб’єктів внутрішнього контролю можливістю використовувати інформаційні системи та технології, функціональні можливості яких дають змогу проведення перевірки дотримання критеріїв якості інформації.
117. Фінансова компанія має право запроваджувати внутрішню систему повідомлення працівниками (включаючи конфіденційно) про виявлені ризики порушення вимог законодавства України та внутрішніх документів.
Порядок роботи такої системи в разі її запровадження має бути визначено внутрішніми документами та доведено до відома всіх працівників.
118. Фінансова компанія визначає у внутрішньому документі / внутрішніх документах заходи з контролю під час здійснення зовнішньої комунікації, включаючи порядок отримання інформації від зовнішніх користувачів, її перевірки та передавання цієї інформації в межах організаційної структури фінансової компанії.
119. Суб’єкти внутрішнього контролю, уповноважені здійснювати зовнішні комунікації, зобов’язані дотримуватися вимог законодавства України та внутрішніх документів фінансової компанії щодо нерозголошення інформації з обмеженим доступом.
120. Фінансова компанія, здійснюючи внутрішню та зовнішню комунікацію, зобов’язана дотримуватися критеріїв якості інформації, визначених цим Положенням.
121. Фінансова компанія має право встановити у внутрішньому документі / внутрішніх документах порядок проведення оцінки якості та ефективності внутрішніх та зовнішніх комунікацій, їх впливу на ефективне функціонування системи внутрішнього контролю та на досягнення цілей його діяльності.
19. Моніторинг ефективності системи внутрішнього контролю
122. Фінансова компанія здійснює моніторинг ефективності системи внутрішнього контролю відповідно до вимог цього Положення та внутрішніх документів із метою:
1) оцінки якості роботи системи внутрішнього контролю за певний період часу;
2) визначення здатності системи внутрішнього контролю забезпечити досягнення цілей діяльності фінансової компанії, включаючи визначення ймовірності виникнення та оцінку суттєвості потенційно можливих недоліків системи внутрішнього контролю, що можуть спричинити негативний вплив на досягнення цілей;
3) розроблення заходів, спрямованих на мінімізацію негативного впливу з метою вдосконалення системи внутрішнього контролю.
123. Фінансова компанія обирає види заходів із моніторингу системи внутрішнього контролю, включаючи моніторинг ефективності процедур із контролю та оцінку ефективності системи внутрішнього контролю як комбінацію поточних та періодичних заходів із моніторингу з урахуванням установлених цілей діяльності, кількості та складності видів контролю, ймовірності виникнення недоліків, а також кваліфікації та досвіду працівників.
124. Фінансова компанія має право визначати у внутрішньому документі / внутрішніх документах, крім суб’єктів третьої лінії захисту, й інших працівників фінансової компанії першої й другої ліній захисту, уповноважених здійснювати моніторинг ефективності внутрішнього контролю.
125. Заходами, дотримання яких свідчить про впровадження та функціонування моніторингу ефективності як компонента системи внутрішнього контролю фінансової компанії, є:
1) установлення у внутрішньому документі / внутрішніх документах порядку здійснення поточних і періодичних перевірок відповідності законодавству України та внутрішнім документам, якості та ефективності системи внутрішнього контролю;
2) забезпечення належного здійснення уповноваженими суб’єктами внутрішнього контролю оцінок компонентів системи внутрішнього контролю та своєчасне повідомлення про виявлені недоліки системи внутрішнього контролю та / або допущені суб’єктами внутрішнього контролю порушення та причини їх вчинення, відповідальних за прийняття рішення про здійснення заходів для усунення виявлених недоліків, порушень та/або внесення змін до внутрішніх документів.
126. Суб’єкти третьої лінії захисту фінансової компанії зобов’язані здійснювати не рідше одного разу на рік загальну оцінку ефективності системи внутрішнього контролю відповідно до вимог законодавства України.
127. Фінансова компанія здійснює обов’язкові поточні та періодичні заходи з моніторингу ефективності системи внутрішнього контролю.
Поточні заходи з моніторингу здійснюються з метою оперативного виявлення та усунення недоліків системи внутрішнього контролю. Відповідальність за проведення таких заходів несуть суб’єкти першої та другої ліній захисту в межах повноважень.
Періодичні заходи з моніторингу, включаючи оцінку ефективності системи внутрішнього контролю, здійснюються суб’єктами третьої лінії захисту з метою виявлення недоліків після факту події.
128. Суб’єкти третьої лінії захисту фінансової компанії зобов’язані за результатами здійснення моніторингу ефективності системи внутрішнього контролю складати звіти, що надаються на розгляд органу управління фінансової компанії.
129. Звіти, що надаються органу управління фінансової компанії, мають містити інформацію про виявлені недоліки системи внутрішнього контролю та порушення (за наявності), аналіз причин їх виникнення, ймовірні наслідки, до яких можуть призвести ці недоліки, рекомендації / пропозиції щодо підвищення ефективності функціонування системи внутрішнього контролю, процес контролю за станом виконання рекомендацій / пропозицій, затверджених раніше.
130. Фінансова компанія забезпечує подання звітів щодо результатів моніторингу ефективності системи внутрішнього контролю також працівникам, які відповідають за здійснення заходів коригування, та керівникам у межах визначених повноважень.
Зміни
до Положення про регулювання діяльності фінансових компаній, які мають право здійснювати діяльність з надання гарантій
1. Підпункт 3 пункту 10 розділу I виключити.
2. У розділі II:
1) в абзаці сьомому пункту 12 слова “має право включити до” замінити словами “враховує до складу”;
2) у пункті 13 слова та літери “має право включити субординований борг до РК (збільшити РК на суму субординованого боргу)” замінити словами та літерами “враховує субординований борг до складу РК (збільшує РК на суму субординованого боргу)”;
3) абзац перший пункту 14 викласти в такій редакції:
“14. Небанківський гарант, який відповідно до вимог пункту 13 розділу II цього Положення врахував субординований борг до складу РК, зменшує суму субординованого боргу, врахованого до складу РК:”.
3. У додатку до Положення:
1) у заголовку слова “включається до” замінити словами “враховується до складу”;
2) у заголовку колонки 3 таблиці, абзаці четвертому пункту 1, абзаці четвертому пункту 2 слова “включається до” замінити словами “враховується до складу”.
Зміни
до Положення про вимоги до системи управління страховика
1. Главу 33 розділу VIII після пункту 260 доповнити п’ятьма новими пунктами 2601-2605 такого змісту:
“2601. Страховик після настання технічного збою або інших невідворотних обставин, які об’єктивно унеможливили виконання таким страховиком вимог законодавства України [за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням про порядок повідомлення надавачами фінансових або супровідних послуг про настання технічного збою або інших невідворотних обставин, затвердженим постановою Правління Національного банку України від 14 березня 2024 року № 29 (далі - Положення № 29)], зобов’язаний документально зафіксувати інформацію про:
1) дату та час настання технічного збою або інших невідворотних обставин;
2) тривалість технічного збою або інших невідворотних обставин;
3) причини настання технічного збою або інших невідворотних обставин;
4) види послуг, на які вплинуло настання технічного збою або інших невідворотних обставин;
5) оцінку впливу технічного збою або інших невідворотних обставин на безперервність діяльності страховика;
6) заходи, ужиті для відновлення діяльності та недопущення надалі настання технічного збою або інших невідворотних обставин.
2602. Страховик у разі настання технічного збою або інших невідворотних обставин (за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) зобов’язаний у порядку, строки та спосіб, визначені цим Положенням, повідомити Національний банк про факт настання технічного збою або інших невідворотних обставин.
2603. Страховик зобов’язаний невідкладно, але не пізніше другого робочого дня, а в разі настання технічного збою або інших невідворотних обставин у вихідний, святковий або неробочий день наступного робочого дня від дня настання технічного збою або інших невідворотних обставин надавати Національному банку інформацію, зазначену в пункті 2601 глави 33 розділу VIII цього Положення.
2604. Інформація про настання технічного збою або інших невідворотних обставин надсилається страховиком до Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються в Національному банку для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (за неможливості внаслідок настання технічного збою або інших невідворотних обставин надсилання інформації іншими способами).
2605. Страховик має право не повідомляти Національний банк про факт настання технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29), якщо тривалість такого технічного збою або інших невідворотних обставин не перевищує 24 години поспіль із моменту настання технічного збою або інших невідворотних обставин, за умови, що такий технічний збій або інші невідворотні обставини не призвели до невиконання страховиком вимог законодавства України.”.
Зміни
до Положення про вимоги до системи управління кредитною спілкою
1. Главу 29 розділу VI після пункту 320 доповнити п’ятьма новими пунктами 3201-3205 такого змісту:
“3201. Кредитна спілка після настання технічного збою або інших невідворотних обставин, які об’єктивно унеможливили виконання такою кредитною спілкою вимог законодавства України [за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням про порядок повідомлення надавачами фінансових або супровідних послуг про настання технічного збою або інших невідворотних обставин, затвердженим постановою Правління Національного банку України від 14 березня 2024 року № 29 (далі - Положення № 29)], зобов’язана документально зафіксувати інформацію про:
1) дату та час настання технічного збою або інших невідворотних обставин;
2) тривалість технічного збою або інших невідворотних обставин;
3) причини настання технічного збою або інших невідворотних обставин;
4) види послуг, на які вплинуло настання технічного збою або інших невідворотних обставин;
5) оцінку впливу технічного збою або інших невідворотних обставин на безперервність діяльності кредитної спілки;
6) заходи, ужиті для відновлення діяльності та недопущення надалі настання технічного збою або інших невідворотних обставин.
3202. Кредитна спілка в разі настання технічного збою або інших невідворотних обставин (за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) зобов’язана в порядку, строки та спосіб, визначені цим Положенням, повідомити Національний банк про факт настання технічного збою або інших невідворотних обставин.
3203. Кредитна спілка зобов’язана невідкладно, але не пізніше другого робочого дня, а в разі настання технічного збою або інших невідворотних обставин у вихідний, святковий або неробочий день наступного робочого дня від дня настання технічного збою або інших невідворотних обставин надавати Національному банку інформацію, зазначену в пункті 3201 глави 29 розділу VI цього Положення.
3204. Інформація про настання технічного збою або інших невідворотних обставин надсилається кредитною спілкою Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються в Національному банку для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (за неможливості внаслідок настання технічного збою або інших невідворотних обставин надсилання інформації іншими способами).
3205. Кредитна спілка має право не повідомляти Національний банк про факт настання технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29), якщо тривалість такого технічного збою або інших невідворотних обставин не перевищує 24 години поспіль із моменту настання технічного збою або інших невідворотних обставин, за умови, що такий технічний збій або інші невідворотні обставини не призвели до невиконання кредитною спілкою вимог законодавства України.”.
