Про затвердження Положення про організацію системи внутрішнього контролю в банках України та банківських групах

Відповідно до статей 7, 15 та 56 Закону України "Про Національний банк України", статей 39, 44 та 66 Закону України "Про банки і банківську діяльність", з метою підвищення ефективності корпоративного управління в банках та банківських групах шляхом удосконалення системи внутрішнього контролю Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про організацію системи внутрішнього контролю в банках України та банківських групах (далі - Положення), що додається.

2. Визнати такою, що втратила чинність, постанову Правління Національного банку України від 29 грудня 2014 року № 867 "Про затвердження Положення про організацію внутрішнього контролю в банках України".

3. Банки України/відповідальні особи банківських груп:

1) зобов’язані привести свою діяльність у відповідність до вимог Положення до 02 січня 2020 року;

2) мають право забезпечувати виконання вимог розділу IV Положення в терміни, установлені в додатку до постанови Правління Національного банку України від 11 червня 2018 року № 64 "Про затвердження Положення про організацію системи управління ризиками в банках України та банківських групах" (зі змінами).

4. Департаменту методології (Наталія Іваненко) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.

5. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Катерину Рожкову.

6. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблено відповідно до вимог Закону України "Про Національний банк України", Закону України "Про банки і банківську діяльність" з урахуванням положень Директиви 2013/36/ЄС Європейського Парламенту і Ради від 26 червня 2013 року про доступ до діяльності кредитних організацій та пруденційний нагляд за діяльністю кредитних організацій та інвестиційних компаній, Настанов Європейського органу банківського нагляду про корпоративне управління (EBA/GL/2017/11, 26 вересня 2017 року), що регламентують принципи щодо ефективного корпоративного управління та функціонування системи внутрішнього контролю.

2. Це Положення визначає основні цілі та принципи організації та функціонування комплексної, адекватної й ефективної системи внутрішнього контролю, які встановлюються та виконуються за всіма напрямами діяльності банку та/або банківської групи на всіх організаційних рівнях, та встановлює мінімальні вимоги щодо організації цієї системи, функціонування якої спрямоване на забезпечення ефективності корпоративного управління в банку та/або банківській групі.

3. Банк інтегрує систему внутрішнього контролю в систему корпоративного управління банку шляхом:

1) створення відповідної організаційної структури;

2) визначення у внутрішньобанківських документах повноважень, підпорядкованості, підзвітності, опису та розподілу функціональних обов’язків осіб, які задіяні у функціонуванні системи внутрішнього контролю, їх відповідальності та порядку взаємодії.

4. Терміни, що використовуються в цьому Положенні, уживаються в таких значеннях:

1) внутрішній контроль - процес, інтегрований в усі процеси та корпоративне управління банку, спрямований на досягнення операційних, інформаційних, комплаєнс-цілей діяльності банку;

2) внутрішньобанківські документи - політика за окремим напрямом діяльності банку, положення, інструкції, методики, правила, розпорядження, рішення, накази або розроблені банком документи в іншій формі, які серед іншого включають опис процедур/процесів, відповідальність працівників банку за виконання ними функціональних обов’язків з внутрішнього контролю, розподіл обов’язків, порядок взаємодії підрозділів та працівників банку та інші питання щодо організації та функціонування системи внутрішнього контролю в банку, з урахуванням вимог цього Положення;

3) інформаційна безпека - комплекс організаційних заходів банку, програмних і техніко-технологічних засобів, що функціонують на всіх організаційних рівнях банку та забезпечують захист інформації від випадкових та/або навмисних загроз, наслідком реалізації яких може стати порушення доступності, цілісності, конфіденційності інформації щодо діяльності банку або його клієнтів;

4) контрольне середовище банку - сукупність суб’єктів системи внутрішнього контролю банку, процедур, політики за окремим напрямом діяльності банку та інших внутрішньобанківських документів щодо внутрішнього контролю, а також культури контролю;

5) культура внутрішнього контролю - дотримання визначених банком принципів, правил, норм, спрямованих на поінформованість працівників банку щодо функціонування системи внутрішнього контролю в банку та участі кожного з працівників у цій діяльності (далі - культура контролю);

6) періодичні заходи з моніторингу - заходи з моніторингу системи внутрішнього контролю банку, що здійснюються на періодичній основі згідно з окремими процедурами діяльності банку;

7) підрозділ - структурний/відокремлений підрозділ банку;

8) поточні заходи з моніторингу - заходи з моніторингу системи внутрішнього контролю банку, вбудовані в процеси банку та здійснюються на постійній основі;

9) система внутрішнього контролю банку (далі - система внутрішнього контролю) - сукупність організаційної структури банку, процедур, заходів з внутрішнього контролю, спрямованих на:

досягнення банком цілей, уключаючи виконання запланованих показників його діяльності, забезпечення ефективності та результативності здійснення банком операцій, збереження його активів;

забезпечення ефективності корпоративного управління в банку шляхом функціонування комплексної, ефективної та адекватної системи управління ризиками; забезпечення повноти, своєчасності та достовірності складання і надання фінансової, статистичної, управлінської та іншої звітності; відповідності діяльності банку законодавству України, нормативно-правовим актам Національного банку України, стандартам професійних об’єднань, дія яких поширюється на банк, та внутрішньобанківським документам;

10) судження банку - рішення управлінського персоналу/колегіального органу банку в письмовій формі щодо впровадження внутрішнього контролю, яке ґрунтується на:

комплексному та об’єктивному аналізі всієї інформації, що впливає на визначення компонентів та критеріїв упровадження системи внутрішнього контролю;

власному досвіді банку, що ґрунтується на надійних, безперервних, повних та цілісних даних;

11) функціональний контроль - контрольна діяльність, яка здійснюється працівниками банку, відповідальними за здійснення внутрішнього контролю, на регулярній основі з метою забезпечення контролю за виконанням функціональних обов’язків працівниками банку відповідно до їх посадових інструкцій.

Інші терміни, які вживаються в цьому Положенні, використовуються в значеннях, визначених законами України та нормативно-правовими актами Національного банку України (далі - Національний банк).

5. Банк створює комплексну, ефективну та адекватну систему внутрішнього контролю з дотриманням таких принципів:

1) усебічності та комплексності;

2) ефективності;

3) адекватності;

4) обачності;

5) ризик-орієнтованості;

6) інтегрованості;

7) завчасності;

8) незалежності;

9) безперервності;

10) конфіденційності.

6. Принцип усебічності та комплексності передбачає, що банк упровадив у свою діяльність кожен з п’яти компонентів системи внутрішнього контролю та забезпечує їх виконання у взаємоінтегрований спосіб, тобто результати виконання такого компонента використовуються під час виконання інших компонентів системи внутрішнього контролю; процедури з внутрішнього контролю (далі - процедури контролю) вбудовані в процеси банку на всіх організаційних рівнях. Банк забезпечує здійснення внутрішнього контролю щодо операцій банку, переданих на договірній основі іншим особам на аутсорсинг.

7. Принцип ефективності встановлює, що заходи з внутрішнього контролю (далі - заходи з контролю), що здійснюються в банку, є дієвими та забезпечують досягнення банком визначених цілей діяльності та обґрунтовану упевненість у тому, що:

1) здійснювані банком операції є ефективними та відображені коректно в інформаційних системах/системах обліку банку;

2) фінансова, статистична, управлінська, податкова та інша звітність є достовірною;

3) банк дотримується вимог законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів;

4) працівники банку володіють необхідною інформацією щодо компонентів системи внутрішнього контролю та забезпечують виконання цих компонентів у межах компетенції та повноважень, визначених посадовими інструкціями;

5) банк забезпечує виявлення та оцінку недоліків системи внутрішнього контролю та вживає своєчасних, адекватних та достатніх коригуючих заходів з метою виправлення таких недоліків.

8. Принцип адекватності передбачає, що система внутрішнього контролю банку відповідає особливостям його діяльності, уключаючи розмір, бізнес-модель, масштаб діяльності, види, складність операцій, профіль ризику банку (далі - особливості діяльності банку).

9. Принцип обачності встановлює, що банк забезпечує достатню впевненість керівників банку щодо досягнення банком цілей його діяльності, виходячи з консервативних припущень та беручи до уваги певну вірогідність помилкових суджень чи рішень керівників та/або працівників банку.

10. Принцип ризик-орієнтованості передбачає, що банк забезпечує організацію та функціонування системи внутрішнього контролю, ґрунтуючись на ризик-орієнтованому підході, що передбачає застосування більш поглиблених та частіших заходів з контролю до тих сфер діяльності банку, яким притаманні більші ризики.

11. Принцип інтегрованості встановлює, що процедури контролю є складовою частиною всіх процесів діяльності та корпоративного управління банком.

12. Принцип завчасності передбачає, що система внутрішнього контролю банку спроможна забезпечувати виявлення потенційно можливих загроз негативного впливу на діяльність банку раніше, ніж такі загрози фактично виникнуть.

13. Принцип незалежності встановлює, що банк уникає обставин, що можуть становити загрозу для неупередженого виконання суб’єктами його системи внутрішнього контролю своїх функцій.

14. Принцип безперервності передбачає, що здійснення банком діяльності з внутрішнього контролю дає змогу на постійній основі та своєчасно попереджати, виявляти та усувати недоліки системи внутрішнього контролю.

15. Принцип конфіденційності встановлює, що банк не допускає розголошення інформації особам, у яких відсутні повноваження щодо її отримання.

16. Система внутрішнього контролю банку:

1) складається з таких компонентів: контрольного середовища, управління ризиками, притаманними діяльності банку, уключаючи комплаєнс-ризик, контрольної діяльності в банку, контролю за інформаційними потоками та комунікаціями банку, моніторингу ефективності системи внутрішнього контролю банку;

2) забезпечує досягнення операційних, інформаційних, комплаєнс-цілей діяльності банку;

3) реалізується на кожному з організаційних рівнів банку.

17. Система внутрішнього контролю банку має забезпечувати досягнення операційних, інформаційних та комплаєнс-цілей діяльності банку, визначених у його стратегії та бізнес-плані.

18. Операційні цілі діяльності банку передбачають:

1) забезпечення спрямованості процедур контролю на ефективність управління активами, зобов’язаннями та позабалансовими позиціями банку з метою досягнення банком прибутковості його діяльності, уникаючи або обмежуючи втрати унаслідок впливу негативних внутрішніх та зовнішніх факторів;

2) здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення всіх видів ризиків на всіх організаційних рівнях банку.

19. Інформаційні цілі діяльності банку передбачають забезпечення цілісності, повноти та достовірності фінансової, управлінської та іншої інформації, що використовується для ухвалення управлінських рішень; створення інформаційних потоків як за вертикаллю, так і за горизонталлю організаційної структури банку. Така інформація включає звітність банку з фінансових та нефінансових питань, що надається зовнішнім та внутрішнім користувачам.

20. Комплаєнс-цілі діяльності банку передбачають забезпечення організації діяльності банку з дотриманням вимог законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів, стандартів професійних об’єднань, дія яких поширюється на банк.

21. Банк визначає цілі системи внутрішнього контролю банку та за потреби цілі нижчого рівня (підцілі) цієї системи, які мають бути деталізованими, вимірюваними, досяжними, доречними, мати визначений термін досягнення та бути доведеними до відповідних працівників банку.

22. Банк створює та впроваджує систему внутрішнього контролю, що ґрунтується на розподілі обов’язків між підрозділами банку, крім функцій, які віднесено до виключної компетенції ради/правління/комітетів банку відповідно до положень законодавства України, нормативно-правових актів Національного банку України.

Цей розподіл базується на застосуванні моделі трьох ліній захисту, а саме:

1) перша лінія захисту - на рівні бізнес-підрозділів та підрозділів підтримки діяльності банку. Ці підрозділи ініціюють, здійснюють або відображають операції, приймають ризики в процесі своєї діяльності та несуть відповідальність за поточне управління цими ризиками, здійснюють заходи з контролю;

2) друга лінія захисту - на рівні підрозділу з управління ризиками та підрозділу контролю за дотриманням норм (комплаєнс), мінімальні вимоги щодо діяльності яких встановлені в Положенні про організацію системи управління ризиками в банках України та банківських групах, затвердженому постановою Правління Національного банку України від 11 червня 2018 року № 64 (зі змінами) (далі - Положення № 64). Ці підрозділи забезпечують впевненість керівників банку, що впроваджені першою лінією захисту заходи з контролю та управління ризиками були розроблені та функціонують належним чином;

3) третя лінія захисту - на рівні підрозділу внутрішнього аудиту, який здійснює незалежну оцінку ефективності діяльності першої та другої ліній захисту та загальну оцінку ефективності системи внутрішнього контролю з урахуванням вимог, установлених Положенням про організацію внутрішнього аудиту в банках України, затвердженим постановою Правління Національного банку України від 10 травня 2016 року № 311 (зі змінами) (далі - Положення № 311).

23. Банк визначає у внутрішньобанківських документах процедури та заходи з контролю, які застосовуються підрозділами кожної з трьох ліній захисту.

24. Банк визначає порядок та процедури:

1) вертикальної взаємодії, що застосовуються під час здійснення внутрішнього контролю між підрозділами різних ліній захисту;

2) горизонтальної взаємодії, що застосовуються в разі здійснення внутрішнього контролю в межах одного підрозділу та/або між підрозділами однієї лінії захисту.

25. Основні напрями здійснення внутрішнього контролю в банку включають:

1) контроль за досягненням цілей діяльності банку, уключаючи цілі, визначені в стратегії та бізнес-плані банку;

2) контроль за забезпеченням ефективності фінансової та господарської діяльності банку в разі здійснення банківських та інших операцій;

3) контроль за ефективністю управління активами і пасивами;

4) контроль за збереженням активів банку;

5) контроль за ефективністю системи управління ризиками;

6) контроль за дотриманням вимог законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів, стандартів професійних об’єднань, дія яких поширюється на банк;

7) контроль за достовірністю, повнотою, об’єктивністю і своєчасністю ведення бухгалтерського обліку, складанням та оприлюдненням фінансової та іншої звітності для зовнішніх і внутрішніх користувачів;

8) управління інформаційними потоками, уключаючи отримання і передавання інформації, забезпечення функціонування системи управління інформаційною безпекою.

26. Банк забезпечує наявність відповідних працівників, обладнання, програмного забезпечення, приміщень, що відповідають вимогам, установленим Національним банком, з метою належного функціонування системи внутрішнього контролю.

27. Відповідальна особа банківської групи:

1) забезпечує організацію та функціонування системи внутрішнього контролю в банківській групі;

2) несе відповідальність за ефективність системи внутрішнього контролю в банківській групі в аспектах, що відповідають діяльності банківської групи.

28. Банк/банківська група (далі - банк) у своїх внутрішньобанківських документах мають право встановлювати більш поглиблений підхід до побудови та функціонування системи внутрішнього контролю, з урахуванням особливостей своєї діяльності, дотримуючися мінімальних вимог, визначених у цьому Положенні.

Мінімальний перелік питань, що мають бути врегульовані у внутрішньобанківських документах щодо внутрішнього контролю, зазначений у додатку до цього Положення. У разі розроблення внутрішньобанківських документів щодо внутрішнього контролю дозволяється поєднувати декілька з них у вигляді окремих розділів в одному документі.

29. Банк упроваджує процедури контролю:

1) організаційно шляхом:

розподілу в межах організаційної структури банку повноважень, обов’язків та відповідальності щодо здійснення внутрішнього контролю між підрозділами, між керівниками та між працівниками банку. Підпорядкованість, обов’язки, права та відповідальність працівників визначаються в посадових інструкціях;

упровадження необхідних контрольних процедур, обмежень, що забезпечують ефективне функціонування системи внутрішнього контролю;

опису в положеннях про підрозділи контрольних функцій, що здійснюються кожним з них;

проведення регулярного оцінювання ризиків банку та заходів з контролю банку;

забезпечення інформаційної безпеки та організації належного обміну інформацією;

проведення моніторингу ефективності системи внутрішнього контролю, уключаючи оцінку її ефективності шляхом проведення перевірок підрозділом внутрішнього аудиту;

2) методологічно шляхом опису системи внутрішнього контролю у внутрішньобанківських документах, уключаючи періодичність та строки виконання заходів з контролю, посадових осіб, на яких покладається контроль;

3) технологічно шляхом автоматизації процедур контролю в інформаційних системах банку з урахуванням судження банку щодо економічної доцільності автоматизації таких процедур.

30. Банк установлює відповідні заходи з контролю у випадку передавання на договірній основі іншим особам здійснення функцій банку на регулярній основі з метою оптимізації витрат і процесів у банку.

31. Уповноважені Національним банком особи здійснюють оцінку комплексності, ефективності та адекватності створеної банком системи внутрішнього контролю, відповідності внутрішньобанківських документів щодо організації системи внутрішнього контролю та впроваджених процедур вимогам законодавства України, нормативно-правових актів Національного банку з урахуванням критеріїв, зазначених у пункті 101 розділу VII цього Положення.

32. Рада та правління банку забезпечують створення та функціонування контрольного середовища як компонента системи внутрішнього контролю в банку.

33. Банк забезпечує належне функціонування контрольного середовища банку, що передбачає:

1) розуміння радою та правлінням банку ризиків, на які може наражатися банк, та забезпечення впровадження, розвитку та інтеграції системи внутрішнього контролю в систему корпоративного управління банку;

2) забезпечення розподілу повноважень і відповідальності між колегіальними органами, між підрозділами та між окремими працівниками банку й уникнення конфлікту інтересів;

3) усвідомлення та розуміння кожним працівником банку своєї ролі в забезпеченні функціонування системи внутрішнього контролю;

4) забезпечення радою та правлінням банку розвитку культури контролю;

5) забезпечення відповідності діяльності працівників банку встановленій у банку культурі контролю.

34. Суб’єктами системи внутрішнього контролю банку є:

1) рада банку;

2) правління банку;

3) колегіальні органи банку;

4) бізнес-підрозділи, підрозділи підтримки;

5) підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс);

6) підрозділ внутрішнього аудиту;

7) керівники та працівники банку, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішньобанківськими документами, та не входять до складу органів та підрозділів банку, перелічених у підпунктах 1-6 пункту 34 розділу III цього Положення.

35. Рада банку забезпечує функціонування системи внутрішнього контролю банку та контроль за її ефективністю шляхом:

1) затвердження організаційної структури системи внутрішнього контролю банку, уключаючи структури підрозділів з управління ризиками, контролю за дотриманням норм (комплаєнс), внутрішнього аудиту та порядку їх підпорядкування та звітування раді банку, а також порядку звітування та взаємодії цих підрозділів з правлінням банку;

2) делегування повноважень комітетам ради, правлінню банку згідно з внутрішньобанківськими документами;

3) визначення порядку обрання та припинення повноважень голови та членів правління банку, призначення та звільнення керівників підрозділів управління ризиками, контролю за дотриманням норм (комплаєнс), внутрішнього аудиту;

4) розгляду питань організації внутрішнього контролю та заходів щодо підвищення його ефективності;

5) контролю за діяльністю правління банку щодо організації та належного функціонування системи внутрішнього контролю, ужиття заходів щодо своєчасного виконання рекомендацій ради банку, її комітетів з питань організації внутрішнього контролю;

6) забезпечення функціонування та контролю за ефективністю системи управління ризиками;

7) затвердження внутрішньобанківських документів з організації та функціонування системи внутрішнього контролю, що підлягають затвердженню радою банку відповідно до вимог законодавства України, нормативно-правових актів Національного банку;

8) розгляду результатів моніторингу ефективності системи внутрішнього контролю, проведеного підрозділами другої та третьої ліній захисту;

9) контролю за виконанням правлінням банку заходів, визначених з метою підвищення ефективності системи внутрішнього контролю банку.

36. Рада банку має право делегувати свої функції з організації та функціонування системи внутрішнього контролю постійно діючим комітетам, створеним з числа членів ради банку, з метою підготовки висновків та пропозицій для прийняття радою своєчасних та адекватних управлінських рішень.

37. Правління банку забезпечує виконання рішень ради банку щодо забезпечення організації та функціонування системи внутрішнього контролю з питань, пов’язаних з керівництвом поточною діяльністю банку, шляхом:

1) поточного управління підпорядкованими суб’єктами системи внутрішнього контролю банку;

2) розподілу функцій, повноважень та відповідальності за здійснення внутрішнього контролю між колегіальними органами правління банку, між підрозділами та між працівниками банку;

3) забезпечення функціонування інформаційних систем банку, що забезпечують накопичення, оброблення необхідної інформації та надання її користувачам;

4) забезпечення моніторингу процедур внутрішнього контролю банку щодо їх адекватності характеру діяльності банку в межах своїх повноважень;

5) здійснення контролю за усуненням недоліків, виявлених:

Національним банком та іншими органами державної влади та управління, які в межах компетенції здійснюють нагляд/контроль за діяльністю банку;

підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс);

підрозділом внутрішнього аудиту;

зовнішніми аудиторами за результатами проведення зовнішнього аудиту;

6) подання звітів раді банку про виконання її рішень щодо підвищення ефективності системи внутрішнього контролю з урахуванням змін у діяльності банку та зовнішніх чинників, що впливають на його діяльність.

38. Правління банку має право делегувати свої функції з організації та функціонування системи внутрішнього контролю постійно діючим комітетам правління банку з метою підготовки пропозицій для прийняття правлінням своєчасних та адекватних управлінських рішень.

39. Рада та правління банку забезпечують контроль за виконанням делегованих ними функцій та залишаються відповідальними за їх виконання.

40. Банк забезпечує розроблення порядку делегування функцій та повноважень щодо організації та функціонування системи внутрішнього контролю, уключаючи критерії визначення можливості/неможливості делегування певних повноважень та наявність процедури моніторингу такого делегування, що має містити:

1) перелік/критерії визначення повноважень, що можуть бути делеговані;

2) порядок делегування (ким ініціюється, кому та за яких умов делегується, ким погоджується делегування);

3) обмеження, що стосуються здійснення делегованих повноважень.

41. Керівники підрозділів банку відповідають за:

1) організацію, упровадження та належне здійснення функціонального контролю, застосування необхідних та відповідних інструментів для забезпечення ефективності контрольного середовища у сфері своєї діяльності відповідно до вимог внутрішньобанківських документів;

2) розроблення планів заходів щодо усунення/мінімізації виявлених недоліків внутрішнього контролю, упровадження заходів з контролю (далі - плани заходів) та своєчасного їх подання на розгляд ради та/або правління банку відповідно до затверджених у банку процедур розгляду таких планів заходів;

3) забезпечення своєчасного та повного виконання планів заходів.

42. Керівники підрозділів банку забезпечують дотримання працівниками підпорядкованих їм підрозділів внутрішньобанківських документів, що регулюють питання внутрішнього контролю в банку, організації ефективної роботи стосовно своєчасного виявлення та усунення порушень.

43. Банк забезпечує розподіл обов’язків між працівниками банку в такий спосіб, що забезпечує захист від ризику несанкціонованих операцій, шахрайських дій та маніпулювання даними для приховування фінансових збитків або порушень законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів.

44. Рада та правління банку з метою дотримання керівниками та працівниками банку культури контролю створюють необхідну атмосферу, уключаючи такі дії:

1) забезпечення розуміння керівниками та працівниками банку їх ролі в системі внутрішнього контролю з метою досягнення цілей діяльності банку;

2) отримання підтверджень, що керівники та інші працівники банку, поінформовані про дисциплінарні стягнення, які застосовуватимуться до них у разі неприйнятної поведінки/порушень у діяльності.

45. Банк з метою забезпечення організації та функціонування системи внутрішнього контролю розробляє та впроваджує внутрішньобанківські документи та здійснює заходи, спрямовані на підтримку на належному рівні культури контролю в банку, з урахуванням вимог Положення № 64.

46. Банк з метою досягнення цілей системи внутрішнього контролю залучає та сприяє розвитку компетентних осіб для виконання функцій та обов’язків, забезпечує наявність належного рівня кваліфікації працівників на всіх організаційних рівнях банку.

47. Банк забезпечує здійснення перевірки всіх осіб, які є кандидатами на посади в банку стосовно наявності необхідного досвіду та професійних якостей. Така перевірка має включати в себе аналіз попереднього досвіду роботи кандидата з метою оцінки його відповідності вимогам вакантної посади в банку.

48. Банк затверджує внутрішньобанківські документи щодо винагороди з метою забезпечення ефективного корпоративного управління та сприяння дотриманню корпоративних цінностей.

49. Правління банку забезпечує виконання таких функцій щодо винагороди:

1) упровадження системи винагороди в банку, удосконалення заходів матеріального та нематеріального стимулювання працівників банку;

2) здійснення моніторингу рівня оплати праці та інших складових системи стимулювання працівників банку порівняно з ринковим рівнем;

3) розгляд пропозицій з удосконалення оплати праці, матеріального та нематеріального стимулювання працівників банку.

50. Банк зобов’язаний розробити та впровадити заходи щодо підтримки на належному рівні актуальних знань та навичок у працівників банку з метою підвищення ефективності діяльності банку. Уповноважені працівники банку мають постійно оцінювати достатність кваліфікації працівників та потребу в їх регулярному навчанні.

51. Правління банку з метою вдосконалення контрольного середовища забезпечує виконання таких функцій щодо регулярного навчання керівників та інших працівників банку:

1) організація підвищення кваліфікації та розвиток працівників та керівників банку за всіма формами навчання, аналіз динаміки розвитку компетентності та професійних навичок;

2) планування та аналіз ефективності заходів з навчання та розвитку працівників;

3) розвиток дистанційних засобів навчання та наставництва в банку;

4) моніторинг виконання планів навчання.

52. Критерії, що свідчать про впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю банку, уключають таке:

1) рада банку здійснює нагляд за ефективним функціонуванням системи внутрішнього контролю;

2) правління банку під контролем ради банку в межах своїх повноважень упроваджує процедури, повноваження та обов’язки щодо внутрішнього контролю на підпорядкованих організаційних рівнях банку;

3) банк розробляє, упроваджує та забезпечує дотримання керівниками та працівниками банку внутрішньобанківських документів, спрямованих на створення та дотримання корпоративних цінностей, культури контролю;

4) банк залучає компетентних осіб з метою досягнення цілей діяльності банку, уключаючи цілі системи внутрішнього контролю;

5) банк розвиває, підтримує та оцінює компетентність працівників банку та встановлює заходи щодо їх винагороди та стимулювання з метою досягнення цілей діяльності банку, уключаючи цілі системи внутрішнього контролю.

53. Банк упроваджує систему управління ризиками в банку як складову частину (компонент) системи внутрішнього контролю банку.

54. Банк забезпечує впровадження та функціонування системи управління ризиками банку відповідно до вимог Положення № 64.

55. Підрозділ внутрішнього аудиту банку регулярно оцінює ефективність, комплексність та адекватність системи управління ризиками банку відповідно до вимог Положення № 311.

56. Критерії, що свідчать про впровадження та функціонування системи управління ризиками як компонента системи внутрішнього контролю банку:

1) банк забезпечує створення та функціонування комплексної, ефективної та адекватної системи управління ризиками згідно з вимогами Положення № 64;

2) банк на всіх організаційних рівнях (уключаючи банк у цілому, підрозділи банку, працівників банку) виявляє ризики, притаманні діяльності банку, та визначає заходи щодо управління такими ризиками.

57. Банк здійснює контрольну діяльність шляхом виконання заходів з контролю з метою надання достатньої впевненості керівникам банку щодо досягнення банком цілей його діяльності.

58. Банк уключає заходи з контролю в усі процеси банку.

59. Банк установлює заходи з контролю, що відповідають таким критеріям:

1) достовірність та своєчасність - банківські операції та дії в межах інших процесів діяльності банку відображаються в інформаційних та інших системах банку коректно та своєчасно на кожному етапі здійснення/оброблення;

2) повнота - усі виконані банківські операції та дії в межах інших процесів діяльності банку відображаються в інформаційних та інших системах банку в повному обсязі;

3) дійсність - банківські операції та дії в межах інших процесів банку є подіями, які фактично відбулися та виконані відповідно до встановлених у банку процедур.

60. Банк забезпечує впровадження заходів з контролю на кожному зі своїх організаційних рівнів.

61. Банк ураховує під час розроблення та вдосконалення процедур та видів контролю щонайменше:

1) зміни в ринковому та регуляторному середовищі;

2) адекватність установлених процедур та видів контролю щодо кожного з суттєвих видів ризиків, притаманних діяльності банку;

3) ефективність процедури та/або виду контролю в минулому;

4) можливість моніторингу процедури та/або виду контролю.

62. Банк застосовує заходи з контролю з метою:

1) запобігання порушень - шляхом запобігання недоліків/невідповідностей/порушень (уключаючи визначення правил авторизації операцій чи контролю за наданням доступу);

2) виявлення порушень - шляхом виявлення недоліків/невідповідностей/порушень (уключаючи подвійний або автоматизований контроль, самоконтроль /самооцінку);

3) виправлення порушень - шляхом виправлення недоліків/невідповідностей/порушень (уключаючи забезпечення автоматичної корекції помилок в інформаційних системах банку).

63. Банк здійснює та визначає у внутрішньобанківських документах заходи з контролю, здійснення яких передбачає щонайменше три етапи:

1) визначення процедур, видів контролю у внутрішньобанківських документах;

2) виконання функцій/процесів працівниками банку, що включають визначені процедури, види контролю;

3) аналіз та контроль виконання функцій/процесів працівниками банку.

64. Процедури контролю в банку включають щонайменше контроль:

1) що здійснюється керівниками банку та включає аналіз звітності, яка надається на регулярній основі або запитується згідно з окремо встановленими процедурами, про результати діяльності підрозділів банку з метою аналізу відповідності цих результатів установленим цілям діяльності банку;

2) що здійснюється керівниками підрозділів та включає аналіз звітів про результати діяльності відповідних підрозділів на щоденній/щотижневій/щомісячній основі;

3) за наданням доступу, що включає обмеження доступу до матеріальних цінностей (готівки, цінних паперів у документарній формі), приміщень банку, розподіл відповідальності за зберігання і використання цінностей, забезпечення охорони приміщень, проведення періодичних інвентаризацій, обмеження доступу до інформаційних систем, уключаючи санкціонування допуску до комп’ютерних програм та даних;

4) за дотриманням установлених лімітів на здійснення банківських операцій та інших угод, що виконується шляхом отримання відповідних звітів та/або звіряння з даними первинних документів, інформаційних та інших систем банку;

5) за наданням дозволів та підтверджень на здійснення операцій, що включає встановлення порядку розподілу повноважень під час здійснення банківських операцій та виконання інших угод;

6) за відповідністю відображення операцій, що включає контроль за дотриманням порядку здійснення банківських операцій та виконанням інших угод, їх належним відображенням у бухгалтерському обліку, фінансовій та статистичній звітності, інформуванням керівників банку відповідного рівня про виявлені порушення, помилки і недоліки.

Банк з урахуванням його організаційної структури, характеру діяльності, обсягів операцій, бізнес-моделі, профілю ризиків має право додатково визначати інші процедури контролю, що забезпечують досягнення цілей з внутрішнього контролю в банку та цілей діяльності банку в цілому.

65. Банк забезпечує здійснення процедур контролю шляхом:

1) розмежування функцій - працівники, відповідальні за укладання угод, не повинні здійснювати бухгалтерський облік операцій, що виконуються за такими угодами. В одному підрозділі не може бути зосереджено проведення операції, починаючи з її ініціювання до відображення в регістрах бухгалтерського обліку банку, крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;

2) контролю за введенням даних в інформаційні системи - введення інформації/операції в інформаційні системи одним працівником (виконавцем) має бути перевірено іншим працівником (контролером), крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;

3) звіряння даних - звіряння даних повинно відбуватися між різними інформаційними системами, а також на різних етапах оброблення даних, що реалізується шляхом порівняння детальної інформації та/або кінцевих даних;

4) контролю за виправленнями - унесення будь-яких виправлень до вхідної інформації у системах банку має бути додатково проконтрольовано іншим працівником (який не є виконавцем).

66. Система внутрішнього контролю банку має забезпечувати достатню впевненість керівників банку щодо досягнення цілей діяльності банку з урахуванням судження банку щодо впровадження необхідних видів внутрішнього контролю.

З цією метою система внутрішнього контролю банку може включати такі види контролів:

1) залежно від моменту здійснення контролю:

попередній - передує виконанню дії або операції;

поточний - здійснюється під час виконання дії або операції;

подальший - здійснюється після виконання дії або операцій та спрямований на виявлення недоліків, виправлення допущених помилок.

Банк забезпечує послідовне поєднання попереднього, поточного і подальшого контролів з метою підвищення дієвості та ефективності контролю;

2) залежно від призначення контролю:

превентивний - спрямований на попередження порушень та ризиків;

виявляючий - спрямований на виявлення ризиків;

коригуючий - спрямований на уникнення/пом’якшення реалізованих ризиків;

3) залежно від суб’єкта контролю:

самостійний контроль - здійснюється працівником самостійно;

подвійний контроль - здійснюється двома (або більше) працівниками (принцип "двох пар очей");

колегіальний контроль - здійснюється колегіальним органом;

автоматизований контроль - здійснюється автоматизованою системою;

4) залежно від періодичності здійснення:

функціональний (постійний) - проводиться на регулярній основі;

періодичний - проводиться згідно з установленою у внутрішньобанківських документах періодичністю;

5) залежно від обсягів контролю:

повний - охоплює весь обсяг відповідного процесу банку;

портфельний - проводиться за групами функцій, операцій, договорів;

вибірковий - проводиться за окремими відібраними елементами відповідного процесу банку.

67. Банк обирає та впроваджує заходи з контролю за інформаційними системами та технологіями, що використовуються в банку, з метою забезпечення надійного та безперервного функціонування банку. Такі заходи включають в себе:

1) контроль за технологічною інфраструктурою: застосовується до інфраструктурних об’єктів банку, уключаючи мережі зв’язку, живлення, сервери та робочі станції; здійснюється з метою забезпечення повноти, доступності, цілісності інформації, що використовується в діяльності банку, та передбачає необхідні коригуючі дії під час виявлення недоліків функціонування інформаційних систем, уключаючи процедури резервування (копіювання) даних, відновлення функцій автоматизованих інформаційних систем унаслідок форс-мажорних обставин або технічних збоїв;

2) управління доступами: уключає процедури контролю за доступом до інформаційних систем банку та охоплює права доступу до виконання банківських операцій, а також до інших даних, операційних систем (системне програмне забезпечення), мереж, програмних додатків. Ці заходи здійснюються з метою захисту інформаційних систем банку від несанкціонованого використання та зловживань;

3) контроль за інформаційними системами та технологіями банку під час їх придбання, розроблення або супроводження: упроваджується з метою забезпечення відповідних процедур, що регламентують придбання, розроблення та супроводження інформаційних систем та технологічних рішень, вимоги до їх документації, їх тестування та подальше технічне обслуговування. Ці процедури забезпечують контроль за змінами в системах та технологіях та можуть передбачати необхідність авторизації запитів на зміни, узгоджень і результатів тестування.

68. Банк розробляє, затверджує та впроваджує внутрішньобанківські документи, що встановлюють цілі, яких планується досягти в результаті здійснення заходів з контролю, регламентують порядок здійснення заходів з контролю, та забезпечує їх відповідність поточній діяльності банку.

69. Внутрішньобанківські документи, що регламентують порядок здійснення заходів з контролю, містять:

1) установлену періодичність та терміни здійснення заходів з контролю;

2) процедуру здійснення відповідних коригуючих дій щодо виправлення виявлених недоліків.

70. Інформаційні системи банку мають забезпечувати виконання процедур та заходів з контролю, уключаючи:

1) виявлення та відстеження помилок, суперечностей і підозрілих операцій;

2) формування сповіщень про підозрілі операції в режимі "реального часу";

3) виправлення помилок, суперечностей і неточностей під час відображення операцій в обліку;

4) створення звітів за фактами проведених коригувань результатів виконання заходів з контролю.

71. Банк установлює у внутрішньобанківських документах вимоги до інформаційного забезпечення своєї операційної діяльності з урахуванням потреб такої діяльності відповідно до нормативно-правових актів Національного банку з питань організації заходів із забезпечення інформаційної безпеки в банківській системі України.

72. Критерії, що свідчать про впровадження та здійснення контрольної діяльності як компонента системи внутрішнього контролю банку, уключають таке:

1) банк обрав та впровадив заходи з контролю, що забезпечують пом’якшення ризиків діяльності банку до прийнятного рівня;

2) банк забезпечує рівень контролю за вибором та використанням/застосуванням інформаційних систем та технологій, що використовуються банком, на рівні, необхідному для забезпечення досягнення цілей його діяльності;

3) банк визначив заходи з контролю у внутрішньобанківських документах, установив очікувані результати та порядок здійснення таких заходів.

73. Банк забезпечує контроль за інформаційними потоками та комунікаціями (обміном інформацією) для підтримки інших компонентів системи внутрішнього контролю з метою:

1) надання та отримання якісної інформації внутрішніми та зовнішніми користувачами з метою прийняття обґрунтованих суджень, своєчасних та адекватних управлінських рішень;

2) створення та функціонування інформаційних систем, що забезпечують здійснення внутрішніх та зовнішніх комунікацій банку.

74. Банк забезпечує якість інформації, що використовується в його діяльності, ґрунтуючись на таких принципах:

1) наявність та доступність - інформацію легко отримати тим, хто її потребує для виконання своїх посадових/функціональних обов’язків. Користувачі ознайомлені з переліком доступної їм інформації та процедурою доступу до інформаційних систем банку;

2) коректність - інформація є достовірною та повною. Інформаційні системи банку забезпечують проведення перевірок достовірності і повноти даних;

3) актуальність - зібрана інформація є актуальною та оновлюється з необхідною частотою, уключаючи періодичність, визначену законодавством України, нормативно-правовими актами Національного банку, внутрішньобанківськими документами;

4) цілісність - інформація є захищеною від несанкціонованого спотворення, руйнування або знищення. Банк забезпечує класифікацію інформації (наприклад, загальнодоступна, з обмеженим доступом) та інші процедури захисту інформації;

5) збереження - інформація доступна протягом термінів, визначених законодавством України, нормативно-правовими актами Національного банку, внутрішньобанківськими документами;

6) достатність - рівень деталізації інформації відповідає потребам внутрішніх та зовнішніх користувачів. Надлишкова інформація усувається для уникнення некоректного використання або тлумачення;

7) дійсність - інформація, отримана відповідно до затверджених процедур, і, за винятком гіпотетичних припущень, є даними про події, які фактично відбулися;

8) підтверджуваність - інформація підтверджується доказами з відповідного джерела.

75. Банк установлює процедури управління інформацією з чіткою відповідальністю за якість інформації, уключаючи процедури з поширення інформації щодо виявлених недоліків та невідповідностей у системі внутрішнього контролю.

76. Банк визначає форму та періодичність надання інформації з урахуванням потреб та вимог внутрішніх та зовнішніх користувачів.

77. Банк забезпечує використання якісної інформації на всіх його організаційних рівнях з метою досягнення цілей банку та своєчасного реагування на виявлені недоліки системи внутрішнього контролю.

78. Банк забезпечує обмін інформацією стосовно внутрішнього контролю на всіх організаційних рівнях банку, що включає інформацію щодо:

1) цілей системи внутрішнього контролю, важливості та переваг наявності ефективної системи внутрішнього контролю у банку;

2) політики та процедур, що визначають функціональні обов’язки керівників та працівників банку щодо виконання заходів з контролю;

3) ролей, повноважень та обов’язків керівників та інших працівників банку щодо виконання заходів з контролю;

4) суттєвих питань щодо організації та функціонування системи внутрішнього контролю, уключаючи інформацію щодо недоліків та невідповідностей у системі внутрішнього контролю.

79. Банк забезпечує якісні внутрішні комунікації за різними напрямами, а саме:

1) вертикально (знизу - вгору) - інформація щодо ризиків та інших питань діяльності банку доводиться до відома ради та правління банку з метою прийняття відповідних управлінських рішень;

2) вертикально (зверху - вниз) - інформація про стратегію та політику банку доводиться до відома керівників усіх рівнів та інших працівників банку;

3) горизонтально - інформація, якою володіє один підрозділ банку, надається іншому підрозділу, якому вона необхідна для виконання своїх функцій.

80. Банк обирає метод внутрішньої комунікації, ураховуючи цільову аудиторію, характер комунікації, своєчасність, вартість та вимоги законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів.

81. Банк, використовуючи відповідні форми внутрішньої комунікації, надає працівникам банку відповідно до їх функціональних обов’язків якісну інформацію, уключаючи інформацію щодо:

1) стратегічних, поточних цілей та планів банку, стану їх виконання;