Про затвердження Положення про організацію операційної діяльності в банках України

8.13. Управлінські заходи адміністративного контролю мають забезпечувати таке:

регулярне (щоденне, щотижневе або щомісячне) визначення рівня фактичних ризиків та їх відхилення від установлених лімітів. Управлінську звітність має складати особа, на яку не покладається відповідальність за укладення договорів, пов'язаних з фінансовими інструментами;

систематичну підготовку інформації про укладені договори відповідно до контрагентів і встановлених лімітів;

регулярну і своєчасну підготовку та надання управлінської інформації керівництву з різних питань, у тому числі про:

- дотримання правил щодо надання кредитів;

- оцінку кредитного портфеля (якості окремих кредитів та їх забезпечення) з метою своєчасного виявлення сумнівних або прострочених кредитів та їх впливу на фінансовий стан банку;

- депозити та ймовірність їх вилучення;

- реалізовані прибутки і збитки від активів, що використовуються банком для здійснення операцій;

- перевіряння звітів, що містять інформацію про фактичні фінансові результати діяльності банку, їх порівняння з результатами попереднього звітного періоду;

аналіз дотримання вимог, визначених законодавством України;

аналіз стану розрахунків та заборгованості за податковими платежами банку тощо.

8.14. До функцій, що підлягають обов'язковому розподілу, належать такі: санкціонування операцій, їх оформлення, виконання, облік, звіряння, зберігання, розроблення та експлуатація автоматизованих систем обліку.

З метою уникнення помилок під час здійснення операцій слід забезпечувати належне виконання кожним працівником своїх функцій, а також не допускати того, щоб одна особа виконувала операцію від її ініціювання до завершення.

За наявності відповідного програмного забезпечення з належними рівнями контролю окремі операції можуть виконуватись від їх ініціювання до відображення в обліку та/або звітності однією особою за умови здійснення подальшого контролю за цими операціями.

8.15. Банки мають забезпечувати обмежений доступ до активів, документів, облікової інформації, робочих місць програмно-технічних комплексів, ключів тощо. Активи не мають бути доступними для відповідальних виконавців, які відповідно до своїх функціональних обов'язків не розпоряджаються ними.

Відповідальність за організацію збереження активів має покладатися на осіб, які не здійснюють бухгалтерський облік та не мають доступу до активів банку, а саме: прямого (фізичного) або непрямого (документи, робочі місця програмно-технічних комплексів).

Банки повинні забезпечувати захист:

готівкових коштів, цінних паперів (у документарній формі) та інших цінностей і документів, засобів захисту інформації від фізичного пошкодження (випадкового знищення, псування або неправильного зберігання) шляхом використання відповідно обладнаних сховищ, вогнетривких сейфів;

облікової інформації про виконання операцій протягом строку дії договору і після його закінчення відповідно до вимог законодавства України.

У разі звільнення, перебування у відпустці або відсутності відповідального виконавця з інших причин документи та цінності передаються іншому виконавцю, а доступ до інформації з робочих місць програмно-технічних комплексів для цих відповідальних виконавців має бути закритим, а засоби захисту інформації знищені або передані на зберігання адміністратору захисту інформації з належним їх оформленням відповідно до нормативно-правових актів Національного банку.

Передавання документів та цінностей здійснюється в присутності особи, яка раніше забезпечувала їх збереження, або уповноваженої особи на підставі акта про приймання-передавання. Якщо під час передавання справ виявлено порушення, то цей факт має бути зафіксований у відповідному документі.

Фізичні заходи контролю банки мають застосовувати як до власних активів, так і до тих, що розміщені в банку від імені клієнтів.

8.16. Заходи внутрішнього бухгалтерського контролю мають передбачати облік операцій у повному обсязі, а саме:

усі операції мають обліковуватися відповідно до вимог законодавства України;

усі операції мають відображатися в регістрах бухгалтерського обліку банку в тому періоді, протягом якого вони були здійснені.

Підтвердженням повного та своєчасного здійснення операції є документи, які свідчать про те, що ця операція була виконана та інформація про неї внесена в регістри бухгалтерського обліку. До письмових підтверджень належать і самі записи в регістрах бухгалтерського обліку.

Системи ведення бухгалтерського обліку в банках мають забезпечувати таке:

зазначення докладної інформації про операцію;

визначення її вартості та часу проведення;

перевіряння правильності відображення операцій, зокрема забезпечувати арифметичну точність записів, підбиття підсумків та перевіряння узгодження бухгалтерських записів, перевіряння результатів узгодження, повідомлення про помилки і розбіжності тощо.

8.17. Застосування вивіряння як заходу внутрішнього бухгалтерського контролю передбачає регулярне і своєчасне порівняння записів в регістрах бухгалтерського обліку з первинними документами та/або відповідними активами тощо. Якщо виявлено розбіжності, то записи в регістрах бухгалтерського обліку слід привести у відповідність до первинних документів та/або наявних активів тощо.

Банки обов'язково здійснюють контроль за дотриманням умов та строків проведення операцій, а також вивіряння:

сум за транзитними рахунками та рахунками із сумами до з'ясування;

залишків за рахунками дебіторської та кредиторської заборгованості за операціями з клієнтами банку та внутрішньобанківськими операціями. Періодичність здійснення вивіряння залежить від обсягу та суми операцій, а також залишків за цими рахунками;

залишків за рахунками, за якими протягом тривалого часу не було руху коштів;

залишків та проведених сум за рахунками лоро, ностро;

залишків за рахунками оборотних та необоротних активів (готівка, цінні папери, основні засоби тощо);

сум, що обліковуються за позабалансовими рахунками (заставлених цінних паперів, отриманих/наданих гарантій, невикористаних кредитних ліній, акцептів, акредитивів тощо);

правильності застосування цін, курсів та вартості активів.

За результатами вивіряння банк має визначити характер і суми розбіжностей, проаналізувати вивірені записи, перевірити їх обґрунтування. У разі потреби в бухгалтерські записи вносяться відповідні зміни шляхом сторнування та/або додаткових записів.

Якщо після дати балансу слід здійснити коригування відповідних активів і зобов'язань, то воно проводиться згідно з Інструкцією про порядок складання та оприлюднення фінансової звітності банків України, затвердженою постановою Правління Національного банку України від 24.10.2011 N 373, зареєстрованою в Міністерстві юстиції України 10.11.2011 за N 1288/20026.

Виправлення помилкових записів щодо зарахування та/або списання коштів за рахунками клієнтів здійснюється згідно з нормативно-правовими актами Національного банку.

Банки самостійно визначають порядок здійснення проводок щодо виправлення помилкових записів та формування документів за ними з урахуванням вимог нормативно-правових актів Національного банку.

8.18. Заходи бухгалтерського контролю мають забезпечити оцінку вартості активів та зобов'язань банку з урахуванням їх ринкової чи справедливої вартості відповідно до вимог нормативно-правових актів Національного банку та міжнародних стандартів фінансової звітності.

З метою відображення в обліку реального фінансового результату діяльності банки зобов'язані формувати резерви на покриття можливих втрат за активами відповідно до вимог законодавства України.

9.1. Інформаційне забезпечення операційної діяльності банків включає програмно-технічні комплекси автоматизації банківської діяльності, взаємозв'язки для обміну інформацією між ними, телекомунікаційну інфраструктуру, внутрішні нормативні документи та інструкції щодо їх застосування.

9.2. Банки розробляють вимоги до інформаційного забезпечення з урахуванням потреб бізнес-процесів, які забезпечують операційну діяльність відповідно до кращого світового досвіду управління інформаційними технологіями та нормативно-правових актів Національного банку.

9.3. Керівник банку має забезпечити контроль за надійним та безперервним функціонуванням інформаційного забезпечення та виконанням вимог інформаційної безпеки. Заходи контролю за інформаційним забезпеченням операційної діяльності банків мають передбачати перевіряння:

відповідності інформаційного забезпечення операційної діяльності банків вимогам нормативно-правових актів Національного банку;

виконання вимог розробників систем автоматизації банківської діяльності щодо технічного та технологічного забезпечення;

виконання розробниками систем автоматизації банківської діяльності вимог законодавства України, у тому числі нормативно-правових актів Національного банку щодо технологічного забезпечення бухгалтерського обліку операцій банку;

виконання вимог щодо організації захисту інформації згідно з нормативно-правовими актами Національного банку та вимогами розробників систем захисту інформації.

9.4. За допомогою інформаційного забезпечення операційної діяльності має забезпечуватися:

хронологічне та систематичне відображення всіх операцій у регістрах бухгалтерського обліку на підставі первинних документів;

своєчасне та повне відображення всіх операцій банку та його відділень у регістрах бухгалтерського обліку банку (філії);

складання звітності (фінансової, статистичної, управлінської, податкової тощо);

взаємозв'язок даних синтетичного та аналітичного обліку. Банк у разі невідповідності структури рахунків аналітичного і синтетичного обліку забезпечує їх взаємозв'язок за допомогою перехідних таблиць;

накопичення та систематизація операцій у розрізі економічних показників, потрібних для складання звітності;

розрахунок економічних показників, що визначені відповідними методиками Національного банку;

можливість оперативного аналізу фінансової діяльності банку в розрізі структурних підрозділів;

інтегрованість з інформаційними системами Національного банку;

інтегрованість усіх складових систем автоматизації банківської діяльності, можливість отримувати інформацію про здійснені операції в будь-якому розрізі;

уніфікація програмно-технічних рішень та технологій для структурних підрозділів банку;

можливість нарощування функціональних характеристик програмного забезпечення, а також його адаптація в разі зміни нормативної бази щодо операцій.

9.5. Інформаційне забезпечення операційної діяльності повинно відповідати таким вимогам:

реалізація принципу надання користувачам мінімально необхідних повноважень;

доступ з робочого місця працівника лише до тієї інформації, що потрібна йому для безпосереднього виконання його обов'язків;

можливість детального аналізу всієї вхідної інформації до часу її відображення в регістрах бухгалтерського обліку;

можливість перегляду етапів проходження операції в такому порядку:

регістри аналітичного обліку;

регістри синтетичного обліку;

звітність;

та в зворотному порядку;

реалізація правила "двох рук" (операція не може бути ініційована та виконана одним користувачем системи). Виняток може бути зроблений для операцій, що здійснюються автоматично системами автоматизації банківської діяльності;

реалізація банківського продукту згідно із затвердженою технологією оброблення інформації;

надання відповідальному виконавцю повідомлення про наявність викривленої та/або суперечливої інформації;

можливість автоматичного визначення джерела надходження суперечливої інформації та термінового інформування відповідних працівників банку про це і блокування роботи користувачів чи робочих місць до часу надання їм дозволу на проведення подальшої роботи;

прийняття користувачами правильного рішення про те, яке з джерел інформації слід уважати сумнівним, а яке - достовірним;

неможливість ігнорування інформації, що надійшла з будь-якого джерела;

автоматичне присвоєння протягом одного операційного дня кожній операції певного ідентифікатора (номера). Цей ідентифікатор (номер) має вноситися до відповідного електронного документа;

надійність та здатність до швидкого відновлення робочого процесу в разі виникнення технічних або програмних збоїв. Наявність резервного накопичення та зберігання всієї інформації для забезпечення відновлення роботи банку внаслідок виникнення форс-мажорних обставин або в разі ліквідації банку;

автоматизація роботи з архівами системи. Можливість ознайомлення з будь-якою потрібною архівною інформацією протягом терміну її зберігання, у тому числі в розрізі структурних підрозділів банку (філій, відділень тощо). У цьому разі виконуються лише операції з перегляду, пошуку та формування вихідних документів;

архівація - регламентна або позапланова (у разі потреби).

9.6. Банк для отримання звітності та розрахунку економічних показників діяльності може використовувати сховище даних, яке має відповідати таким вимогам:

базується на багатовимірній базі даних;

дані накопичуються протягом часу і чітко хронологізовані;

дані лише накопичуються і не знищуються;

має опис сховища даних, специфікації та формалізований опис економічних показників як первинних, так і вторинних (репозитарій).

Сховище даних має відповідати загальним вимогам, зазначеним у пункті 9.8 цієї глави, і додатково вимогам інформаційної безпеки, а саме:

економічні показники, що внесені до сховища даних, мають бути захищеними від модифікації та знищення;

користувачі мають доступ до сховища даних у режимі "читання" з мінімально необхідними для виконання службових обов'язків правами доступу до економічних показників;

тільки за допомогою спеціалізованих засобів завантаження є змога поповнювати сховище даних інформацією.

9.7. Банк для забезпечення надійності та безперервного захисту на всіх етапах формування, оброблення, передавання та зберігання електронних банківських документів має створити систему управління інформаційною безпекою відповідно до нормативних документів Національного банку.

9.8. Інформаційне забезпечення операційної діяльності має відповідати таким вимогам інформаційної безпеки:

наявність системи захисту інформації, яку не можна відключити і неможливо здійснити оброблення інформації без її використання;

забезпечення належного захисту інформації під час її передавання між різними підсистемами формування та оброблення інформації;

для автоматизованих систем, що функціонують у режимі "клієнт-сервер", доступ користувачів до бази даних має відбуватися лише через додаткове програмне забезпечення, за допомогою якого здійснюється автентифікація осіб, яким дозволено користуватися цією базою даних;

автентифікація користувача на кожному робочому місці та під час здійснення будь-яких операцій;

забезпечення блокування роботи на кожному робочому місці під час багаторазових спроб (не більше трьох) неправильного введення пароля, якщо використовується парольний захист;

наявність безперервного технологічного контролю за цілісністю інформації та накладання/перевіряння цифрового підпису на всіх електронних банківських документах на всіх етапах їх оброблення;

передавання електронних банківських документів, втрата або несанкціоноване ознайомлення з якими може завдати збитків банку, його структурним підрозділам або клієнту банку, відповідними каналами зв'язку електронною поштою або в режимі on-line лише зашифрованими з обов'язковим наданням підтвердження про їх отримання;

обов'язкова реєстрація всіх спроб доступу, усіх операцій та інших дій, їх фіксація в автоматизованій системі в захищеному від модифікації електронному журналі із здійсненням постійного контролю за його цілісністю;

інформація з обмеженим доступом, вимога щодо захисту якої встановлена законодавством України, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації.

Банкам необхідно додатково:

суворо дотримуватися і перевіряти виконання вимог щодо технічного та технологічного забезпечення їх діяльності, зокрема розміщення програмно-апаратних комплексів на таких комп'ютерах, що мають забезпечити їх надійне функціонування;

уживати заходів для забезпечення безперебійного електроживлення та наявності резервних каналів зв'язку;

перевіряти виконання вимог щодо організації захисту інформації в програмно-технічних комплексах згідно з нормативно-правовими актами Національного банку та вимогами розробників систем захисту інформації.