Про затвердження Змін до Положення про організацію операційної діяльності в банках України

Відповідно до статті 41 Закону України "Про Національний банк України" та статті 68 Закону України "Про банки і банківську діяльність" Правління Національного банку України

1. Затвердити Зміни до Положення про організацію операційної діяльності в банках України, затвердженого постановою Правління Національного банку України від 18.06.2003 N 254, зареєстрованого в Міністерстві юстиції України 08.07.2003 за N 559/7880 (зі змінами) (далі - Зміни до Положення), що додаються.

2. Департаменту бухгалтерського обліку (Ричаківська В.І.) після державної реєстрації в Міністерстві юстиції України довести зміст цієї постанови до відома структурних підрозділів центрального апарату, територіальних управлінь Національного банку України та банків України для керівництва і використання в роботі.

3. Контроль за виконанням цієї постанови покласти на територіальні управління Національного банку України.

4. Ця постанова набирає чинності через 10 днів після державної реєстрації в Міністерстві юстиції України, крім абзацу другого пункту 1 та пункту 6 Змін до Положення, що набирають чинності з 01.01.2011.

1. У главі 1:

доповнити пункт 1.4 новим реченням такого змісту: "Оброблення інформації про операції та її зберігання мають виконуватися на серверах та/або іншій комп'ютерній техніці, які/яка повинні/а фізично розташовуватися на території України";

в абзаці третьому пункту 1.8 слово "балансі" замінити словами "регістрах бухгалтерського обліку";

у пункті 1.10:

у першому реченні абзацу дванадцятого слово "балансі" замінити словами "регістрах бухгалтерського обліку";

доповнити пункт з урахуванням алфавітного порядку терміном такого змісту:

"сховище даних - це предметно орієнтована, інтегрована система накопичення та розрахунку економічних показників, що призначена для формування інформації для аналізу діяльності банку".

2. У главі 2:

у третьому реченні пункту 2.5 слово "балансі" замінити словами "регістрах бухгалтерського обліку";

пункт 2.11 після слів "та відображені" доповнити словами "в регістрах бухгалтерського обліку".

3. У главі 3:

пункт 3.5 викласти в такій редакції:

"3.5. Виконувати функції фронт-офісу банку можуть працівники казначейства, кредитного підрозділу, підрозділу, що здійснює операції з цінними паперами, а також інших підрозділів банку, які відповідають за ініціювання операцій з клієнтами банку, у тому числі здійснюють оцінку активів та зобов'язань банку (визначають їх справедливу вартість та зменшення корисності), розраховують ефективну ставку відсотка за фінансовими інструментами тощо";

в абзаці другому пункту 3.7 слово "достовірності" замінити словом "відповідності";

в абзаці третьому пункту 3.8 слова "законодавству України та" виключити.

4. Пункт 4.10 глави 4 доповнити новим першим абзацом такого змісту:

"4.10. Первинні документи складаються на бланках форм, затверджених відповідно до законодавства України. Документування операцій може здійснюватися з використанням бланків, виготовлених банками самостійно, які повинні містити обов'язкові реквізити чи реквізити форм, затверджених відповідно до законодавства України".

У зв'язку з цим абзаци перший - сьомий уважати відповідно абзацами другим - восьмим.

В абзаці другому цифри "4.10" виключити.

5. У главі 8:

в абзацах другому та третьому пункту 8.14 слово "початку" замінити словом "ініціювання";

в абзаці третьому пункту 8.16 слово "балансі" замінити словами "регістрах бухгалтерського обліку".

6. Главу 9 викласти в такій редакції:

9.1. Інформаційне забезпечення операційної діяльності банків включає програмно-технічні комплекси автоматизації банківської діяльності, взаємозв'язки для обміну інформацією між ними, телекомунікаційну інфраструктуру, внутрішні нормативні документи та інструкції щодо їх застосування.

9.2. Банки розробляють вимоги до інформаційного забезпечення з урахуванням потреб бізнес-процесів, які забезпечують операційну діяльність відповідно до кращого світового досвіду управління інформаційними технологіями та нормативно-правових актів Національного банку.

9.3. Керівник банку має забезпечити контроль за надійним та безперервним функціонуванням інформаційного забезпечення та виконанням вимог інформаційної безпеки. Заходи контролю за інформаційним забезпеченням операційної діяльності банків мають передбачати перевіряння:

відповідності інформаційного забезпечення операційної діяльності банків вимогам нормативно-правових актів Національного банку;

виконання вимог розробників систем автоматизації банківської діяльності щодо технічного та технологічного забезпечення;

виконання розробниками систем автоматизації банківської діяльності вимог законодавства України, у тому числі нормативно-правових актів Національного банку щодо технологічного забезпечення бухгалтерського обліку операцій банку;

виконання вимог щодо організації захисту інформації згідно з нормативно-правовими актами Національного банку та вимогами розробників систем захисту інформації.

9.4. За допомогою інформаційного забезпечення операційної діяльності має забезпечуватися:

хронологічне та систематичне відображення всіх операцій у регістрах бухгалтерського обліку на підставі первинних документів;

своєчасне та повне відображення всіх операцій банку та його відділень у регістрах бухгалтерського обліку банку (філії);

складання звітності (фінансової, статистичної, управлінської, податкової тощо);

взаємозв'язок даних синтетичного та аналітичного обліку. Банк у разі невідповідності структури рахунків аналітичного і синтетичного обліку забезпечує їх взаємозв'язок за допомогою перехідних таблиць;

накопичення та систематизація операцій у розрізі економічних показників, потрібних для складання звітності;

розрахунок економічних показників, що визначені відповідними методиками Національного банку;

можливість оперативного аналізу фінансової діяльності банку в розрізі структурних підрозділів;

інтегрованість з інформаційними системами Національного банку;

інтегрованість усіх складових систем автоматизації банківської діяльності, можливість отримувати інформацію про здійснені операції в будь-якому розрізі;

уніфікація програмно-технічних рішень та технологій для структурних підрозділів банку;

можливість нарощування функціональних характеристик програмного забезпечення, а також його адаптація в разі зміни нормативної бази щодо операцій.

9.5. Інформаційне забезпечення операційної діяльності повинно відповідати таким вимогам:

реалізація принципу надання користувачам мінімально необхідних повноважень;

доступ з робочого місця працівника лише до тієї інформації, що потрібна йому для безпосереднього виконання його обов'язків;

можливість детального аналізу всієї вхідної інформації до часу її відображення в регістрах бухгалтерського обліку;

можливість перегляду етапів проходження операції в такому порядку:

регістри аналітичного обліку;

регістри синтетичного обліку;

звітність;

та в зворотному порядку;

реалізація правила "двох рук" (операція не може бути ініційована та виконана одним користувачем системи). Виняток може бути зроблений для операцій, що здійснюються автоматично системами автоматизації банківської діяльності;

реалізація банківського продукту згідно із затвердженою технологією оброблення інформації;

надання відповідальному виконавцю повідомлення про наявність викривленої та/або суперечливої інформації;

можливість автоматичного визначення джерела надходження суперечливої інформації та термінового інформування відповідних працівників банку про це і блокування роботи користувачів чи робочих місць до часу надання їм дозволу на проведення подальшої роботи;

прийняття користувачами правильного рішення про те, яке з джерел інформації слід уважати сумнівним, а яке - достовірним;

неможливість ігнорування інформації, що надійшла з будь-якого джерела;

автоматичне присвоєння протягом одного операційного дня кожній операції певного ідентифікатора (номера). Цей ідентифікатор (номер) має вноситися до відповідного електронного документа;

надійність та здатність до швидкого відновлення робочого процесу в разі виникнення технічних або програмних збоїв. Наявність резервного накопичення та зберігання всієї інформації для забезпечення відновлення роботи банку внаслідок виникнення форс-мажорних обставин або в разі ліквідації банку;

автоматизація роботи з архівами системи. Можливість ознайомлення з будь-якою потрібною архівною інформацією протягом терміну її зберігання, у тому числі в розрізі структурних підрозділів банку (філій, відділень тощо). У цьому разі виконуються лише операції з перегляду, пошуку та формування вихідних документів;

архівація - регламентна або позапланова (у разі потреби).

9.6. Банк для отримання звітності та розрахунку економічних показників діяльності може використовувати сховище даних, яке має відповідати таким вимогам:

базується на багатовимірній базі даних;

дані накопичуються протягом часу і чітко хронологізовані;

дані лише накопичуються і не знищуються;

має опис сховища даних, специфікації та формалізований опис економічних показників як первинних, так і вторинних (репозитарій).

Сховище даних має відповідати загальним вимогам, зазначеним у пункті 9.8 цієї глави, і додатково вимогам інформаційної безпеки, а саме:

економічні показники, що внесені до сховища даних, мають бути захищеними від модифікації та знищення;

користувачі мають доступ до сховища даних у режимі "читання" з мінімально необхідними для виконання службових обов'язків правами доступу до економічних показників;

тільки за допомогою спеціалізованих засобів завантаження є змога поповнювати сховище даних інформацією.

9.7. Банк для забезпечення надійності та безперервного захисту на всіх етапах формування, оброблення, передавання та зберігання електронних банківських документів має створити систему управління інформаційною безпекою відповідно до нормативних документів Національного банку.

9.8. Інформаційне забезпечення операційної діяльності має відповідати таким вимогам інформаційної безпеки:

наявність системи захисту інформації, яку не можна відключити і неможливо здійснити оброблення інформації без її використання;

забезпечення належного захисту інформації під час її передавання між різними підсистемами формування та оброблення інформації;

для автоматизованих систем, що функціонують у режимі "клієнт-сервер", доступ користувачів до бази даних має відбуватися лише через додаткове програмне забезпечення, за допомогою якого здійснюється автентифікація осіб, яким дозволено користуватися цією базою даних;

автентифікація користувача на кожному робочому місці та під час здійснення будь-яких операцій;

забезпечення блокування роботи на кожному робочому місці під час багаторазових спроб (не більше трьох) неправильного введення пароля, якщо використовується парольний захист;

наявність безперервного технологічного контролю за цілісністю інформації та накладання/перевіряння цифрового підпису на всіх електронних банківських документах на всіх етапах їх оброблення;

передавання електронних банківських документів, втрата або несанкціоноване ознайомлення з якими може завдати збитків банку, його структурним підрозділам або клієнту банку, відповідними каналами зв'язку електронною поштою або в режимі on-line лише зашифрованими з обов'язковим наданням підтвердження про їх отримання;

обов'язкова реєстрація всіх спроб доступу, усіх операцій та інших дій, їх фіксація в автоматизованій системі в захищеному від модифікації електронному журналі із здійсненням постійного контролю за його цілісністю;

інформація з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації.

Банкам необхідно додатково:

суворо дотримуватися і перевіряти виконання вимог щодо технічного та технологічного забезпечення їх діяльності, зокрема розміщення програмно-апаратних комплексів на таких комп'ютерах, що мають забезпечити їх надійне функціонування;

уживати заходів для забезпечення безперебійного електроживлення та наявності резервних каналів зв'язку;

перевіряти виконання вимог щодо організації захисту інформації в програмно-технічних комплексах згідно з нормативно-правовими актами Національного банку та вимогами розробників систем захисту інформації".

7. У тексті Положення слова "облікових регістрах" у всіх відмінках замінити словами "регістрах бухгалтерського обліку" у відповідних відмінках.