ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
10.05.2016 № 311
Про затвердження Положення про організацію внутрішнього аудиту в банках України та банківських групах
( Заголовок в редакції Постанови Національного банку № 151 від 19.12.2025 )
( Із змінами, внесеними згідно з Постановами Національного банку № 105 від 24.10.2017 № 152 від 26.12.2018 № 133 від 03.12.2021 № 151 від 15.07.2022 № 38 від 29.03.2023 № 51 від 18.04.2023 № 4 від 05.01.2024 № 6 від 17.01.2025 № 151 від 19.12.2025 )
( У тексті Положення та додатку до нього слово "Міжнародних" замінено словом "міжнародних" згідно з Постановою Національного банку № 133 від 03.12.2021 )
Відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України", статей 9, 39, 45, 66, 67 Закону України "Про банки і банківську діяльність", з метою забезпечення ефективної роботи підрозділу внутрішнього аудиту банку, підвищення стабільності діяльності банків та захисту інтересів вкладників і кредиторів банків Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про організацію внутрішнього аудиту в банках України та банківських групах.
( Пункт 1 в редакції Постанови Національного банку № 151 від 19.12.2025 )
2. Банкам до 01 липня 2016 року привести внутрішні документи щодо організації внутрішнього аудиту у відповідність до вимог Положення про організацію внутрішнього аудиту в банках України.
3. Визнати такими, що втратили чинність:
постанову Правління Національного банку України від 20 березня 1998 року № 114 "Про затвердження Положення про організацію внутрішнього аудиту в комерційних банках України";
постанову Правління Національного банку України від 15 березня 1999 року № 110 "Про внесення змін до Положення про організацію внутрішнього аудиту в комерційних банках України";
постанову Правління Національного банку України від 03 грудня 2001 року № 494 "Про затвердження Змін до Положення про організацію внутрішнього аудиту в комерційних банках України", зареєстровану в Міністерстві юстиції України 20 грудня 2001 року за № 1055/6246;
пункт 2 постанови Правління Національного банку України від 19 червня 2015 року № 392 "Про внесення змін до деяких нормативно-правових актів Національного банку України";
пункт 1 постанови Правління Національного банку України від 11 серпня 2015 року № 517 "Про внесення змін до деяких нормативно-правових актів Національного банку України".
4. Департаменту методології (Іваненко Н.В.) довести зміст цієї постанови до відома банків України для використання в роботі.
5. Контроль за виконанням цієї постанови покласти на в.о. заступника Голови Національного банку України Рожкову К.В.
6. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
| В.о. Голови | Я.В. Смолій |
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
10 травня 2016 року № 311
(у редакції постанови Правління
Національного банку України
від 19 грудня 2025 року № 151)
Положення
про організацію внутрішнього аудиту в банках України та банківських групах
I. Загальні положення
1. Основні положення та терміни
1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про банки і банківську діяльність", з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду щодо функції внутрішнього аудиту в банках, положень Директиви Європейського Парламенту і Ради 2013/36/ЄС від 26 червня 2013 року про доступ до діяльності кредитних установ і пруденційний нагляд за кредитними установами та інвестиційними фірмами, про внесення змін до Директиви 2002/87/ЄС та про скасування директив 2006/48/ЄС та 2006/49/ЄС, Підсумкового звіту Європейського органу банківського нагляду щодо Настанов з внутрішнього управління відповідно до Директиви 2013/36/ЄС (EBA/GL/2021/05 від 02 липня 2021 року), а також документів міжнародних стандартів професійної практики внутрішнього аудиту, включаючи Глобальні стандарти внутрішнього аудиту, прийняті Радою з міжнародних стандартів внутрішнього аудиту (International Internal Audit Standards Board - IIASB) та опубліковані 09 січня 2024 року міжнародним Інститутом внутрішніх аудиторів (далі - Міжнародні стандарти внутрішнього аудиту).
2. Терміни, що використовуються в цьому Положенні, вживаються в таких значеннях:
1) аудиторська перевірка - діяльність підрозділу внутрішнього аудиту, що полягає у проведенні незалежної, об’єктивної та основаної на ризик-орієнтованому підході оцінці для надання впевненості, яка, серед іншого, включає виконання завдань внутрішнього аудиту для оцінки відповідності, завдань у сфері фінансів, операційної діяльності та інформаційно-комунікаційних технологій з метою надання впевненості щодо ефективності та адекватності корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі;
2) аудиторський звіт (висновок за результатами завдання внутрішнього аудиту) - професійне судження внутрішніх аудиторів щодо спостережень, виявлених під час виконання завдання, яке ґрунтується на об’єктивній оцінці сукупності фактів та доказів;
3) внутрішній аудитор - керівник та/або працівник підрозділу внутрішнього аудиту банку;
4) завдання внутрішнього аудиту - окреме завдання внутрішнього аудиту з надання впевненості або консультаційних послуг, що включає завдання та/або види діяльності, спрямовані на досягнення очікуваних результатів та чіткий кінцевий результат, якого необхідно досягти під час виконання такого завдання;
5) зацікавлена особа - сторона, прямо або опосередковано зацікавлена в результатах діяльності банку / банківської групи, включаючи акціонерів банку, раду банку, комітет з питань аудиту (аудиторський комітет) (у разі його створення), правління банку, органи управління учасників банківської групи, Національний банк України (далі - Національний банк) та зовнішніх аудиторів;
6) зовнішній аудитор - аудиторська фірма, яка відповідно до законодавства України здійснює аудит річної фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності банку / консолідованої річної фінансової звітності банківської групи / учасника банківської групи, а також надає аудиторські послуги банку / відповідальній особі банківської групи / учаснику банківської групи;
7) керівник підрозділу внутрішнього аудиту - посадова особа банку / відповідальної особи банківської групи, відповідальна за ефективне управління всіма аспектами функції внутрішнього аудиту відповідно до Міжнародних стандартів внутрішнього аудиту та законодавства України;
8) комітет з питань аудиту (аудиторський комітет) - комітет, що створюється радою банку зі складу її членів, з яких хоча б одна особа має практичний досвід у сфері аудиту, фінансової звітності та бухгалтерського обліку, для забезпечення контролю за впровадженням адекватної системи внутрішнього контролю, формуванням політики внутрішнього аудиту, бухгалтерського обліку та фінансової звітності, проведенням зовнішнього аудиту;
9) консультаційні послуги - діяльність підрозділу внутрішнього аудиту, що полягає у наданні внутрішніми аудиторами консультацій зацікавленим особам з метою вдосконалення корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, без надання впевненості та без виконання обов’язків органів управління банку / відповідальної особи банківської групи;
10) куратор завдання внутрішнього аудиту - внутрішній аудитор, уповноважений керівником підрозділу внутрішнього аудиту на здійснення контролю за виконанням завдання внутрішнього аудиту та за його результатами;
11) надання впевненості - свідчення, спрямоване на надання впевненості та/або підвищення рівня впевненості зацікавлених осіб щодо організаційних процесів ефективного та адекватного корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі;
12) підрозділ внутрішнього аудиту - незалежний постійно діючий підрозділ банку / відповідальної особи банківської групи, що забезпечує виконання функції внутрішнього аудиту та діє на підставі положення про підрозділ внутрішнього аудиту та статуту внутрішнього аудиту;
13) положення про підрозділ внутрішнього аудиту - внутрішньобанківський / внутрішньогруповий документ, затверджений радою банку / відповідальної особи банківської групи з урахуванням пропозицій, наданих комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), що визначає статус, права та обов’язки підрозділу внутрішнього аудиту;
14) програма завдання внутрішнього аудиту - документ, який визначає завдання, що мають бути виконані працівником / групою працівників підрозділу внутрішнього аудиту для досягнення цілей завдання, строк виконання, а також методологію та необхідні для виконання таких завдань інструменти і перелік внутрішніх аудиторів, призначених для виконання цих завдань;
15) професійний скептицизм - ставлення внутрішнього аудитора до отриманої під час виконання завдання внутрішнього аудиту інформації, що включає ставлення під сумнів і критичну оцінку достовірності інформації, та уважність до обставин, які можуть свідчити про можливі викривлення внаслідок шахрайства чи помилки;
16) річний план внутрішнього аудиту - затверджений радою банку / відповідальної особи банківської групи документ, що ґрунтується на ризик-орієнтованому підході, стратегії банку / банківської групи та визначає завдання та інші послуги внутрішнього аудиту, визначені для проведення аудиту впродовж року;
17) робочі документи - документи та/або записи в електронній або паперовій формі, що створюються під час планування та виконання завдань внутрішнього аудиту;
18) спостереження внутрішнього аудиту - встановлення факту наявності невідповідності між критеріями оцінки і фактичним станом діяльності, що перевіряється;
19) статут внутрішнього аудиту - політика функції внутрішнього аудиту, що є внутрішньобанківським / внутрішньогруповим документом, затвердженим радою банку / відповідальної особи банківської групи з урахуванням пропозицій, наданих комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), що визначає мандат внутрішнього аудиту (повноваження, відповідальність і роль внутрішнього аудиту), цілі, підзвітність та організаційну структуру функції внутрішнього аудиту, види завдань внутрішнього аудиту відповідно до вимог законодавства України та Міжнародних стандартів внутрішнього аудиту, а також порядок взаємодії внутрішніх аудиторів з радою банку / відповідальної особи банківської групи / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), правлінням банку, зовнішніми аудиторами, керівниками структурних підрозділів банку, Національним банком та іншими зацікавленими особами;
20) функція внутрішнього аудиту - діяльність підрозділу внутрішнього аудиту, що забезпечує виконання функції третьої лінії захисту шляхом надання впевненості та/або консультаційних послуг щодо реалізації стратегії та бізнес-плану банку, застосовуючи систематичний, послідовний підхід до оцінки та вдосконалення процесів корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, а також надання рекомендацій щодо їх удосконалення.
Інші терміни, які вживаються в цьому Положенні, використовуються в значеннях, визначених Законом України "Про банки і банківську діяльність", іншими законами України, нормативно-правовими актами Національного банку, якщо в них немає відповідних визначень, - Міжнародними стандартами внутрішнього аудиту.
3. Це Положення визначає основні принципи та встановлює мінімальні вимоги до організації в банках і банківських групах незалежної та ефективної функції внутрішнього аудиту.
4. Банк / відповідальна особа банківської групи у своїх внутрішньобанківських / внутрішньогрупових документах має право встановити детальніші вимоги до організації функції внутрішнього аудиту, що враховують особливості діяльності банку / учасників банківської групи, характер та обсяги банківських та інших фінансових послуг, корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, особливості взаємодії між відповідальною особою та учасниками банківської групи, дотримуючись мінімальних вимог, визначених у цьому Положенні.
Банк / відповідальна особа банківської групи у своїх внутрішньобанківських / внутрішньогрупових документах мають право встановлювати поглибленіший підхід до організації функції внутрішнього аудиту, адекватний особливостям його діяльності, характеру і обсягам банківських та інших фінансових послуг, дотримуючись мінімальних вимог, визначених у цьому Положенні, та враховуючи рекомендації Базельського комітету з банківського нагляду щодо функції внутрішнього аудиту в банках, Міжнародні стандарти внутрішнього аудиту та документи Європейського органу банківського нагляду з внутрішнього управління щодо внутрішнього аудиту.
5. Банк / відповідальна особа банківської групи організовує незалежну та ефективну функцію внутрішнього аудиту, що відповідає розміру банку / банківської групи, бізнес-моделі, масштабу діяльності, видам та складності операцій банку / учасників банківської групи для забезпечення ефективності корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, а також ефективної взаємодії між відповідальною особою та учасниками банківської групи, реалізації стратегії та бізнес-плану банку / банківської групи.
Банк / відповідальна особа банківської групи не має права передавати функцію внутрішнього аудиту на аутсорсинг, крім передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту, визначених у цьому Положенні.
6. Наявність фактів недотримання вимог щодо організації та функціонування незалежної та ефективної функції внутрішнього аудиту в банку / банківській групі, порушень норм цього Положення та внутрішньобанківських / внутрішньогрупових документів є підставою для негативних висновків щодо організації функції внутрішнього аудиту, а також застосування до банку / відповідальної особи банківської групи заходів впливу в порядку, установленому в Положенні про застосування Національним банком України заходів впливу, затвердженому постановою Правління Національного банку України від 17 серпня 2012 року № 346, зареєстрованому в Міністерстві юстиції України 17 вересня 2012 року за № 1590/21902 (зі змінами) (далі - Положення № 346).
7. Вимоги щодо внутрішніх перевірок дотримання банком вимог законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - у сфері ПВК/ФТ), включаючи оцінку достатності вжитих банком заходів з управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, визначаються в Положенні про здійснення банками фінансового моніторингу, затвердженому постановою Правління Національного банку України від 19 травня 2020 року № 65 (зі змінами) (далі - Положення № 65).
8. Відповідальна особа банківської групи забезпечує дотримання учасниками банківської групи вимог щодо внутрішніх перевірок дотримання банком, небанківською фінансовою установою вимог законодавства України у сфері ПВК/ФТ, включаючи оцінку достатності вжитих банком, небанківською фінансовою установою заходів з управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, визначених у Положенні № 65, Положенні про здійснення установами фінансового моніторингу, затвердженому постановою Правління Національного банку України від 28 липня 2020 року № 107 (зі змінами) (далі - Положення № 107).
9. Рада банку / відповідальної особи банківської групи забезпечує організаційне та функціональне відокремлення підрозділу внутрішнього аудиту від підрозділів першої та другої ліній захисту.
10. Рада банку / відповідальної особи банківської групи забезпечує організацію та функціонування функції внутрішнього аудиту в банку / банківській групі, що передбачає:
1) створення ефективної організаційної структури функції внутрішнього аудиту в банку / банківській групі;
2) розроблення та контроль за дотриманням внутрішньобанківських / внутрішньогрупових документів з питань внутрішнього аудиту, що визначають щонайменше мандат функції внутрішнього аудиту, стратегію внутрішнього аудиту, методологію внутрішнього аудиту, процес оцінки ризиків, річного плану внутрішнього аудиту;
3) інтегрованість функції внутрішнього аудиту в процеси корпоративного управління, включаючи взаємодію з радою, правлінням банку / відповідальної особи банківської групи та зовнішнім аудитором.
11. Рада відповідальної особи банківської групи забезпечує функціонування незалежної та ефективної функції внутрішнього аудиту в банківській групі, що передбачає:
1) ефективну взаємодію між відповідальною особою та учасниками банківської групи;
2) наявність внутрішньогрупових документів, зазначених у пункті 32 глави 9 розділу I цього Положення, що визначають чіткий розподіл функцій, обов’язків та повноважень з внутрішнього аудиту в учасниках банківської групи;
3) забезпечення інтегрованості функції внутрішнього аудиту учасників банківської групи з урахуванням вимог, установлених державними органами, що здійснюють регулювання ринків фінансових послуг, щодо корпоративного управління, системи внутрішнього контролю, системи управління ризиками в таких учасниках банківської групи, на індивідуальній основі.
12. Рада відповідальної особи банківської групи з метою організації функції внутрішнього аудиту в банківській групі та виконання вимог цього Положення має право прийняти рішення щодо здійснення внутрішнього аудиту в учасниках банківської групи в один із таких способів:
1) аудиторська перевірка учасника банківської групи (крім банку) здійснюється підрозділом внутрішнього аудиту відповідальної особи банківської групи;
2) аудиторська перевірка учасника банківської групи здійснюється підрозділом внутрішнього аудиту / головним внутрішнім аудитором учасника банківської групи з дотриманням вимог та процедур, встановлених внутрішньогруповими документами, та звітуванням про результат такої перевірки керівнику підрозділу внутрішнього аудиту відповідальної особи банківської групи.
13. Відповідальна особа банківської групи має право організовувати функцію внутрішнього аудиту в банківській групі без урахування учасників банківської групи, звітність яких вона має право не враховувати під час складання консолідованої звітності банківської групи / субконсолідованої звітності підгрупи банківської групи згідно з вимогами Положення про порядок регулювання діяльності банківських груп, затвердженого постановою Правління Національного банку України від 20 червня 2012 року № 254, зареєстрованого в Міністерстві юстиції України 12 липня 2012 року за № 1178/21490 (зі змінами).
2. Мета та принципи організації функції внутрішнього аудиту
14. Мета функції внутрішнього аудиту в банку / банківській групі (далі - банк) - засноване на ризик-орієнтованому підході надання впевненості зацікавленим особам, включаючи раду та правління банку / відповідальної особи банківської групи (далі - рада та правління банку), щодо:
1) відповідності всіх видів діяльності підрозділів банку (включаючи функції банку, передані на аутсорсинг) порядкам та процедурам, визначеним у внутрішньобанківських / внутрішньогрупових документах (далі - внутрішньобанківські документи), а також вимогам законодавства України;
2) ефективності корпоративного управління, системи внутрішнього контролю, системи управління ризиками.
15. Рада банку забезпечує створення та функціонування незалежної та ефективної функції внутрішнього аудиту з дотриманням таких принципів:
1) чесність - дотримання внутрішніми аудиторами корпоративних цінностей банку, стандартів професійної етики, моральних принципів, що включають прозорість, професійну сміливість, відкритість і об’єктивність у прийнятті рішень незалежно від наявності стороннього впливу чи ризику негативних наслідків, а також здійснення діяльності на основі достовірних і достатніх фактів;
2) об’єктивність - неупереджене ставлення внутрішніх аудиторів, що забезпечує об’єктивне та незалежне формування професійного судження внутрішнього аудитора, проведення оцінок та надання висновків без будь-якого стороннього впливу, упереджень чи конфлікту інтересів;
3) професійна компетентність - наявність у внутрішніх аудиторів достатніх знань, навичок та досвіду, необхідних для проведення внутрішнього аудиту всіх сфер діяльності банку та оцінки ризиків;
4) належна професійна ретельність - обов’язок внутрішніх аудиторів діяти з уважністю, професійною обережністю, аналітичною розсудливістю та обґрунтованим професійним скептицизмом під час планування, виконання та документування результатів виконання завдань внутрішнього аудиту;
5) конфіденційність - захист та належне використання внутрішніми аудиторами інформації, отриманої під час виконання завдань внутрішнього аудиту, включаючи інформацію з обмеженим доступом, а також банківську, комерційну таємницю та таємницю фінансової послуги;
6) пропорційність (адекватність) - забезпечення відповідності структури, ресурсів, обсягів та інтенсивності здійснення внутрішнього аудиту розмірам, складності та рівню ризиків банку;
7) незалежність - свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом внутрішнього аудиту своїх функцій;
8) ризик-орієнтованість - організація функції внутрішнього аудиту та діяльності підрозділу внутрішнього аудиту, що ґрунтується на ризик-орієнтованому підході та передбачає застосування поглибленіших та частіших заходів з внутрішнього аудиту до сфер діяльності банку, яким притаманні більші ризики.
16. Рада банку, комітет з питань аудиту (аудиторський комітет) (у разі його створення), правління банку та керівник підрозділу внутрішнього аудиту формують та підтримують атмосферу (англійською мовою tone at the top) з метою сприяння дотриманню встановлених у пункті 15 глави 2 розділу I цього Положення принципів організації функції внутрішнього аудиту.
3. Принцип чесності
17. Банк з метою дотримання принципу чесності визначає у внутрішньобанківських документах щонайменше такі обов’язки внутрішніх аудиторів:
1) діяти чесно та з професійною сміливістю, демонструючи правдивість, точність, зрозумілість та відкритість під час виконання своїх обов’язків;
2) не надавати неправдиву, викривлену чи неповну відому внутрішнім аудиторам інформацію, а також не приховувати та не ігнорувати виявлені факти, порушення або іншу суттєву інформацію;
3) розкривати всі відомі суттєві обставини, які можуть вплинути на здатність керівництва банку приймати обґрунтовані рішення;
4) дотримуватися та сприяти формуванню та впровадженню корпоративних цінностей банку, які є невід’ємною частиною кодексу поведінки (етики) банку, демонструючи взаємну повагу, навіть під час висловлення альтернативної чи протилежної думки, а також проявляючи професійний скептицизм;
5) бути зрозумілими та відкритими під час виконання своїх обов’язків, включаючи підготовку робочих документів та результатів виконання завдань внутрішнього аудиту;
6) інформувати підрозділ контролю за дотриманням норм (комплаєнс) про встановлені під час аудиторської перевірки випадків порушення кодексу поведінки (етики) банку або наявність обґрунтованих підстав, що можуть свідчити, що кодекс поведінки (етики) банку порушується;
7) утримуватися від будь-якої діяльності, яка є незаконною та/або може дискредитувати банк та/або функцію внутрішнього аудиту.
18. Банк з метою дотримання принципу чесності щонайменше забезпечує:
1) включення до річного плану внутрішнього аудиту оцінки адекватності та ефективності системи внутрішнього контролю, включаючи дотримання кодексу поведінки (етики) банку, а також оцінки ризиків, пов’язаних із порушеннями кодексу поведінки (етики) банку внутрішніми аудиторами, та/або виявлені під час аудиторської перевірки;
2) розроблення керівником підрозділу внутрішнього аудиту та погодження радою банку процедури інформування ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) / правління / керівника підрозділу внутрішнього аудиту банку про порушення кодексу поведінки (етики) банку внутрішніми аудиторами та/або виявлених під час аудиторської перевірки;
3) визначення порядку документування фактів доведення до відома ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) інформації про порушення кодексу поведінки (етики) банку внутрішніми аудиторами та/або виявлені під час аудиторської перевірки;
4) здійснення контролю за усуненням порушення внутрішніми аудиторами та/або виявлені під час аудиторської перевірки кодексу поведінки (етики) банку, включаючи інформування та залучення за потреби ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) та/або правління банку, та перевірки вжиття відповідних заходів для недопущення виникнення таких порушень надалі.
4. Принцип об’єктивності
19. Банк з метою дотримання принципу об’єктивності визначає у внутрішньобанківських документах щонайменше такі обов’язки внутрішніх аудиторів:
1) проявляти неупередженість та незалежність під час формування професійного судження внутрішнього аудитора, ґрунтуючись на оцінці всіх наявних обставин та інформації;
2) дотримуватися вимог законодавства України, Міжнародних стандартів внутрішнього аудиту та внутрішньобанківських документів щодо виявлення та недопущення конфлікту інтересів;
3) здійснювати ротацію внутрішніх аудиторів, якщо об’єктивність вважається обмеженою, включаючи випадки виконання внутрішнім аудитором завдань внутрішнього аудиту щодо діяльності банку, за яку він особисто ніс відповідальність протягом року, що передував виконанню такого завдання;
4) уживати відповідно до вимог внутрішньобанківських документів необхідних заходів та розкривати інформацію щодо реальних або потенційних загроз порушення об’єктивності з метою мінімізації негативного впливу на результати виконання завдань внутрішнього аудиту в разі виявлення неможливості уникнення таких порушень;
5) не приймати будь-яких матеріальних або нематеріальних благ, а саме: подарунків, винагород, послуг чи інших заохочень, що можуть вплинути на об’єктивність або створити враження про упередженість внутрішніх аудиторів;
6) контроль керівником підрозділу внутрішнього аудиту за дотриманням принципу об’єктивності внутрішніми аудиторами.
20. Банк з метою дотримання принципу об’єктивності щонайменше забезпечує:
1) включення до положення про підрозділ внутрішнього аудиту та посадових інструкцій внутрішніх аудиторів обов’язку дотримання принципу об’єктивності;
2) розроблення керівником підрозділу внутрішнього аудиту та погодження радою банку порядку та процедур щодо контролю за дотриманням принципу об’єктивності;
3) документальне підтвердження розуміння внутрішніми аудиторами принципу об’єктивності, порядку та процедур щодо його дотримання;
4) наявність документів, що підтверджують наявність або відсутність порушень внутрішніми аудиторами принципу об’єктивності;
5) розроблення керівником підрозділу внутрішнього аудиту процедури щодо інформування, виявлення, розкриття та реагування на виявлений внутрішніми аудиторами конфлікт інтересів, а також застосування заходів для врегулювання та мінімізації негативного впливу конфлікту інтересів;
6) інформування ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) щодо виявлених випадків реальних або потенційних конфліктів інтересів внутрішніх аудиторів та інших порушень, внаслідок яких може статися порушення принципу об’єктивності, а також ужитих керівником підрозділу внутрішнього аудиту заходів реагування, включаючи ведення обліку таких порушень.
5. Принцип професійної компетентності
21. Банк з метою дотримання принципу професійної компетентності визначає у внутрішньобанківських документах щонайменше такі обов’язки внутрішніх аудиторів:
1) мати належну професійну компетентність, необхідну для виконання обов’язків та завдань внутрішнього аудиту;
2) забезпечувати підтримання на постійній основі належної кваліфікації та професійного розвитку;
3) брати участь у професійному навчанні (семінарах, тренінгах), включаючи участь у навчальних програмах щодо вивчення та застосування Міжнародних стандартів внутрішнього аудиту;
4) виконувати завдання внутрішнього аудиту, що відповідають кваліфікації, знанням та досвіду внутрішнього аудитора, а також своєчасно повідомляти керівника підрозділу внутрішнього аудиту / куратора завдання внутрішнього аудиту про відсутність/недостатність відповідної кваліфікації, знань та досвіду, необхідних для виконання завдання внутрішнього аудиту.
22. Банк з метою дотримання принципу професійної компетентності щонайменше забезпечує:
1) встановлення кваліфікаційних вимог до працівників підрозділу внутрішнього аудиту з урахуванням розміру банку / учасників банківської групи, бізнес-моделі, масштабу діяльності, видів та складності операцій;
2) розроблення керівником підрозділу внутрішнього аудиту процедур щодо професійного навчання працівників підрозділу внутрішнього аудиту, включаючи плани професійного розвитку та інформацію про результати проходження таких навчань;
3) наявність та актуалізацію інформації про освіту, досвід роботи, трудовий стаж, включаючи інформацію про професійні сертифікати (за наявності);
4) проведення внутрішньої та зовнішньої оцінки якості функції внутрішнього аудиту, включаючи самооцінку компетенції та плани професійного розвитку внутрішніх аудиторів.
6. Принцип належної професійної ретельності
23. Банк з метою дотримання принципу належної професійної ретельності визначає у внутрішньобанківських документах щонайменше такі обов’язки внутрішніх аудиторів:
1) проявляти належну професійну ретельність, включаючи уважне ставлення та розважливість під час планування та виконання завдань внутрішнього аудиту;
2) дотримуватися методології внутрішнього аудиту під час планування та виконання завдань внутрішнього аудиту;
3) проявляти професійний скептицизм, включаючи застосування критичного мислення та обґрунтованого сумніву, здійснення ретельної оцінки достовірності та надійності отриманої інформації, відкрито та чесно висловлювати сумніви в разі виявлення суперечливої або неповної інформації, а також збирати необхідні та додаткові докази для належного обґрунтування висновків з метою уникнення ситуацій, за яких інформація та/або твердження можуть бути недостовірними, суперечливими, неповними або вводити в оману.
24. Банк з метою дотримання принципу належної професійної ретельності щонайменше забезпечує:
1) розроблення керівником підрозділу внутрішнього аудиту та затвердження радою банку методології внутрішнього аудиту відповідно до вимог законодавства України із зазначенням дати її останнього оновлення;
2) розроблення керівником підрозділу внутрішнього аудиту плану виконання завдань внутрішнього аудиту, включаючи процедуру аналізу потенційних помилок, порушень, невідповідностей, фактів або ознак шахрайства;
3) розроблення керівником підрозділу внутрішнього аудиту порядку та процедур розгляду та обговорення з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) питань щодо потенційних витрат та ресурсів, передбачених для своєчасного та якісного виконання завдань внутрішнього аудиту, а також обсягу та своєчасності їх виконання;
4) розроблення керівником підрозділу внутрішнього аудиту порядку складання робочих документів під час виконання завдання внутрішнього аудиту, включаючи порядок відображення неправдивої або оманливої інформації, яка була виявлена під час виконання такого завдання;
5) перегляд керівником підрозділу внутрішнього аудиту / куратором завдання внутрішнього аудиту робочих документів щодо їх відповідності вимогам внутрішньобанківських документів з метою контролю за якістю та нагляду за виконанням завдань внутрішнього аудиту;
6) проведення внутрішніх та зовнішніх оцінок якості функції внутрішнього аудиту, включаючи оцінку дотримання внутрішніми аудиторами принципу належної професійної ретельності.
7. Принцип конфіденційності
25. Банк з метою забезпечення дотримання принципу конфіденційності визначає у внутрішньобанківських документах щонайменше такі обов’язки внутрішніх аудиторів:
1) використовувати та забезпечувати належний рівень захисту інформації, створеної та/або отриманої під час діяльності підрозділу внутрішнього аудиту, згідно з вимогами законодавства України та Міжнародними стандартами внутрішнього аудиту та внутрішньобанківських документів;
2) здійснювати організацію заходів із забезпечення інформаційної безпеки та кіберзахисту підрозділу внутрішнього аудиту, а також визначати порядок доступу, зберігання та знищення інформації, включаючи інформацію, що втратила актуальність;
3) забезпечувати захист інформації, щодо якої отримано доступ внутрішніми аудиторами та залученими особами, які надають послуги аутсорсингу підрозділу внутрішнього аудиту;
4) не розголошувати та не використовувати на свою користь чи на користь третіх осіб інформацію з обмеженим доступом, включаючи конфіденційну інформацію, банківську, комерційну таємницю та таємницю фінансової послуги, яка стала відома внутрішнім аудиторам під час виконання завдань внутрішнього аудиту.
26. Банк з метою дотримання принципу конфіденційності щонайменше забезпечує:
1) розроблення керівником підрозділу внутрішнього аудиту та затвердження радою банку процедури створення, отримання, використання та захисту інформації під час діяльності підрозділу внутрішнього аудиту;
2) наявність документів, що підтверджують обговорення питань використання внутрішніми аудиторами інформації під час виконання завдань внутрішнього аудиту;
3) наявність письмового зобов’язання внутрішніх аудиторів дотримуватися принципу конфіденційності та вимог законодавства України, а також внутрішньобанківських документів щодо захисту інформації.
27. Працівники підрозділу внутрішнього аудиту відповідальної особи банківської групи мають право на ознайомлення з інформацією / документами учасника банківської групи, необхідною / необхідними для проведення внутрішнього аудиту.
28. Внутрішні аудитори підрозділу внутрішнього аудиту відповідальної особи банківської групи в разі залучення для проведення внутрішнього аудиту учасника банківської групи повинні підписати письмове зобов’язання щодо нерозголошення та невикористання з вигодою для себе чи для третіх осіб інформації, що становить банківську, комерційну таємницю та таємницю фінансової послуги, та щодо її збереження відповідно до вимог законодавства України.
8. Принцип незалежності
29. Банк з метою забезпечення дотримання принципу незалежності визначає у внутрішньобанківських документах щонайменше такі обов’язки внутрішніх аудиторів:
1) мати пряму та необмежену можливість звернення до ради та правління банку;
2) не входити (функціонально) до складу інших структурних підрозділів банку.
30. Принцип незалежності також передбачає, що немає випадків, коли винагорода внутрішніх аудиторів пов’язана з фінансовими результатами банку або його структурних підрозділів.
31. Загрози порушення принципу незалежності мають контролюватися на рівні кожного внутрішнього аудитора, завдання внутрішнього аудиту, а також на функціональному та організаційному рівнях.
9. Внутрішньобанківські документи з питань внутрішнього аудиту
32. Банк розробляє внутрішньобанківські документи з питань внутрішнього аудиту з урахуванням ризик-орієнтованого підходу, мінімального переліку питань, зазначеного в додатку 1 до цього Положення, вимог законодавства України, принципів і рекомендацій Базельського комітету з банківського нагляду щодо функції внутрішнього аудиту в банках та Міжнародних стандартів внутрішнього аудиту, які щонайменше включають:
1) стратегію внутрішнього аудиту (далі - Стратегія);
2) статут внутрішнього аудиту;
3) положення про підрозділ внутрішнього аудиту;
4) методологію внутрішнього аудиту;
5) річний план внутрішнього аудиту.
33. Банк має право об’єднувати окремі внутрішньобанківські документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.
34. Банк своєчасно переглядає та оновлює (актуалізує) внутрішньобанківські документи з питань внутрішнього аудиту з урахуванням стратегії банку, змін у законодавстві України та Міжнародних стандартах внутрішнього аудиту.
35. Банк визначає механізми належного забезпечення взаємодії та обміну інформацією між керівником, іншими працівниками підрозділу внутрішнього аудиту та радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) / правлінням банку / структурними підрозділами банку для ефективної взаємодії (співпраці) на всіх організаційних рівнях.
36. Неподання для ознайомлення уповноваженим Національним банком особам, які здійснюють банківський нагляд у формі інспекційних / виїзних перевірок та безвиїзного нагляду (далі - уповноважені Національним банком особи), на їх вимогу під час здійснення банківського нагляду внутрішньобанківських документів з питань внутрішнього аудиту, а також те, що в банку немає таких документів, є підставою для негативних висновків щодо організації функції внутрішнього аудиту, а також застосування до банку заходів впливу в порядку, встановленому в Положенні № 346.
37. Банк забезпечує розроблення та впровадження керівником підрозділу внутрішнього аудиту Стратегії, яка погоджується радою банку та відповідає вимогам законодавства України, Міжнародним стандартам внутрішнього аудиту та внутрішньобанківським документам.
Стратегія є довгостроковим планом розвитку та функціонування підрозділу внутрішнього аудиту, спрямованим на належне виконання мандата функції внутрішнього аудиту, забезпечення підтримки стратегії та бізнес-плану банку та підвищення ефективності корпоративного управління, системи внутрішнього контролю, системи управління ризиками.
38. Стратегія має щонайменше містити:
1) довгострокову ціль та мету функції внутрішнього аудиту;
2) стратегічні цілі та завдання функції внутрішнього аудиту;
3) пріоритети та ключові напрями діяльності підрозділу внутрішнього аудиту;
4) плани розвитку та вдосконалення функції внутрішнього аудиту в середньостроковій перспективі;
5) підходи до управління кадровими, фінансовими та технологічними ресурсами підрозділу внутрішнього аудиту;
6) механізми забезпечення якості та оцінки ефективності діяльності функції внутрішнього аудиту;
7) ключові показники ефективності функції внутрішнього аудиту.
39. Стратегія повинна ґрунтуватися на принципах організації функції внутрішнього аудиту, включаючи принципи незалежності, об’єктивності, ризик-орієнтованості, професійної компетентності, а також ураховувати необхідність створення доданої вартості, безперервного розвитку та впровадження сучасних технологій.
Банк забезпечує обговорення з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), а також оновлення та регулярний перегляд Стратегії в разі суттєвих змін у стратегії банку / бізнес-плані / профілі ризику, внутрішньобанківських документах та законодавстві України.
40. Керівник підрозділу внутрішнього аудиту розробляє та погоджує з радою банку статут внутрішнього аудиту, який щонайменше містить:
1) мету, завдання та принципи функції внутрішнього аудиту;
2) мандат внутрішнього аудиту як третьої лінії захисту в системі внутрішнього контролю банку;
3) місце в організаційній структурі банку та підзвітність підрозділу внутрішнього аудиту;
4) функції та завдання підрозділу внутрішнього аудиту;
5) види завдань внутрішнього аудиту, які мають виконуватися підрозділом внутрішнього аудиту;
6) порядок взаємодії та обміну інформацією керівника підрозділу внутрішнього аудиту з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), правлінням банку, зовнішніми аудиторами, керівниками структурних підрозділів банку, Національним банком та іншими державними органами, які в межах компетенції здійснюють нагляд / контроль за діяльністю банку;
7) порядок звітування підрозділом внутрішнього аудиту раді банку та комітету з питань аудиту (аудиторському комітету) (у разі його створення);
8) вимоги щодо забезпечення та підвищення якості функції внутрішнього аудиту, включаючи проведення внутрішніх та зовнішніх оцінок якості функції внутрішнього аудиту;
9) вимоги до професійного розвитку та навчання внутрішніх аудиторів;
10) зобов’язання дотримуватися законодавства України та Міжнародних стандартів внутрішнього аудиту;
11) порядок перегляду та внесення змін до статуту внутрішнього аудиту.
41. Керівник підрозділу внутрішнього аудиту розробляє та затверджує з радою банку положення про підрозділ внутрішнього аудиту з метою забезпечення ефективної та незалежної функції внутрішнього аудиту, яке щонайменше визначає:
1) кваліфікаційні вимоги до внутрішніх аудиторів;
2) порядок проведення аудиторських перевірок, включаючи вимоги щодо взаємодії з підрозділами банку, що перевіряються;
3) порядок застосування керівником підрозділу внутрішнього аудиту процедури ескалації;
4) порядок забезпечення та підвищення якості функції внутрішнього аудиту, включаючи проведення внутрішньої і зовнішньої оцінки її якості, та звітування щодо виконання програми забезпечення та підвищення якості внутрішнього аудиту банку раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) та правлінню банку;
5) порядок призначення та звільнення внутрішніх аудиторів;
6) права та обов’язки внутрішніх аудиторів;
7) обов’язки щодо дотримання внутрішніми аудиторами банку законодавства України, Міжнародних стандартів внутрішнього аудиту та принципів організації функції внутрішнього аудиту, що встановлені в цьому Положенні;
8) відповідальність внутрішніх аудиторів;
9) вимоги до ризик-орієнтованого планування завдань внутрішнього аудиту та складання річного плану внутрішнього аудиту;
10) умови залучення підрозділу внутрішнього аудиту для надання консультаційних послуг, а також умови та порядок залучення (за потреби) підрозділом внутрішнього аудиту працівників інших підрозділів банку для виконання окремих завдань внутрішнього аудиту;
11) вимоги до оформлення результатів виконання завдань внутрішнього аудиту;
12) вимоги до проведення ротації внутрішніх аудиторів;
13) право керівника підрозділу внутрішнього аудиту банку на скликання позачергового засідання ради банку та/або комітету з питань аудиту (аудиторського комітету) (у разі його створення);
14) порядок доведення результатів виконання завдань внутрішнього аудиту до ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) та правління банку;
15) інші повноваження, пов’язані з виконанням підрозділом внутрішнього аудиту банку своїх функцій відповідно до законодавства України та Міжнародних стандартів внутрішнього аудиту.
Положення про підрозділ внутрішнього аудиту банку переглядається керівником підрозділу внутрішнього аудиту банку в разі потреби та затверджується радою банку в оновленій редакції.
42. Банк доводить зміст Стратегії, статуту внутрішнього аудиту та положення про підрозділ внутрішнього аудиту до відома всіх керівників, працівників банку, а також забезпечує можливість ознайомлення з ними всіх зацікавлених осіб.
10. Організаційна структура функції внутрішнього аудиту
43. Банк визначає організаційну структуру функції внутрішнього аудиту, що забезпечує чіткий розподіл функцій, обов’язків і повноважень між усіма суб’єктами функції внутрішнього аудиту, з урахуванням потреби у забезпеченні безперервності виконання функцій, обов’язків та повноважень внутрішніх аудиторів, а також порядок їх взаємозаміни з метою уникнення негативного впливу на ефективність функції внутрішнього аудиту тимчасової відсутності керівника чи іншого працівника або їх звільнення.
Рада банку затверджує організаційну структуру функції внутрішнього аудиту банку за поданням керівника підрозділу внутрішнього аудиту банку, ґрунтуючись на розмірі банку (обсязі активів, кількості структурних підрозділів банку, рівні програмного забезпечення, яке підтримує діяльність банку), видах його діяльності, рівні ризиків, на які може наражатися банк під час своєї діяльності.
44. Банк забезпечує наявність належної кількості кваліфікованих і досвідчених працівників підрозділу внутрішнього аудиту.
45. Суб’єктами функції внутрішнього аудиту в банку є:
1) рада банку;
2) комітет з питань аудиту (аудиторський комітет) (у разі його створення);
3) керівник підрозділу внутрішнього аудиту та інші працівники підрозділу внутрішнього аудиту (третя лінія захисту);
4) правління банку;
5) головний ризик-менеджер, головний комплаєнс-менеджер, керівники підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) (друга лінія захисту) у частині надання необхідної інформації підрозділу внутрішнього аудиту, висловлення коментарів щодо результатів виконання завдання внутрішнього аудиту та виконання наданих підрозділом внутрішнього аудиту рекомендацій;
6) керівники бізнес-підрозділів та підрозділів підтримки (перша лінія захисту) банку в частині надання необхідної інформації підрозділу внутрішнього аудиту, висловлення коментарів щодо результатів виконання завдання внутрішнього аудиту та виконання наданих підрозділом внутрішнього аудиту рекомендацій.
11. Відповідальність та функції ради банку щодо функції внутрішнього аудиту
46. Рада банку несе відповідальність за створення незалежної та ефективної функції внутрішнього аудиту в банку.
Рада банку для забезпечення незалежної та ефективної функції внутрішнього аудиту:
1) створює та підтримує ефективне функціонування незалежного підрозділу внутрішнього аудиту;
2) приділяє достатньо часу, зусиль і ресурсів для контролю за незалежністю та ефективністю функції внутрішнього аудиту;
3) забезпечує, щоб політика винагороди в банку сприяла ефективному функціонуванню підрозділу внутрішнього аудиту;
4) сприяє створенню та функціонуванню регулярних та прозорих механізмів взаємодії між внутрішніми аудиторами та радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) правлінням банку / структурними підрозділами банку.
47. Рада банку для реалізації своїх завдань виконує такі функції:
1) забезпечує контроль за ефективністю та незалежністю функції внутрішнього аудиту;
2) затверджує внутрішньобанківські документи з питань внутрішнього аудиту з урахуванням мінімального переліку питань, зазначеного в додатку 1 до цього Положення, та здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);
3) затверджує організаційну структуру підрозділу внутрішнього аудиту банку;
4) призначає та звільняє згідно з вимогами законодавства України керівника підрозділу внутрішнього аудиту;
5) забезпечує підтримку діяльності та виконання обов’язків керівником підрозділу внутрішнього аудиту шляхом регулярної взаємодії;
6) затверджує фінансове забезпечення (бюджет) підрозділу внутрішнього аудиту, установлює розмір винагороди внутрішніми аудиторами, який не створює конфлікту інтересів та не ставить під загрозу незалежність підрозділу внутрішнього аудиту банку;