Про затвердження Положення про вимоги до системи управління страховика

3) вимірювання (оцінку) страховиком кредитного ризику, пов’язаного з інструментами зниження ризику;

4) визначення рівня передачі ризику, що відповідає визначеним страховиком лімітам ризиків, і який вид угод про перестрахування є найбільш прийнятним з огляду на профіль ризику страховика;

5) принципи відбору контрагентів зі зниження ризику та процедури оцінки та моніторингу кредитоспроможності та диверсифікації контрагентів з перестрахування;

6) процедури оцінки ефективності передачі ризику в перестрахування та врахування ризику, який бере на себе страховик, без урахування перестрахування;

7) процедури управління ліквідністю для вирішення будь-яких часових розбіжностей між страховими виплатами за заявленими вимогами та отриманням відшкодування від перестраховиків.

239. Управління стратегічними та репутаційними ризиками страховика, які не включаються до операційного ризику, повинно передбачати управління, контроль та звітування про:

1) рівень фактичного та потенційного стратегічного та репутаційного ризику і взаємозв’язок між цими ризиками та іншими ризиками страховика;

2) ключові аспекти, що впливають на репутацію страховика, враховуючи очікування зацікавлених сторін і чутливість ринку.

240. Управління кредитним ризиком страховика повинно передбачати управління, контроль та звітування додатково до положень, визначених у главах 27, 28 розділу VII цього Положення, про ризик дефолту контрагента.

Управління кредитним ризиком страховика може передбачати інші заходи, крім визначених у абзаці першому пункту 240 глави 30 розділу VII цього Положення, які не суперечать вимогам цього Положення.

241. Страховик для вимірювання (оцінки) ризиків повинен використовувати дані, що є достовірними, повними, точними та відповідними вимогам, установленим нормативно-правовим актом Національного банку, що визначає порядок формування страховиками технічних резервів щодо вимог до достатності та якості даних.

242. Страховик повинен оцінювати ризики як якісно, так і, де це доречно та можливо, кількісно.

243. Страховик для вимірювання (оцінки) ризиків має право визначати моделі та інструменти.

Страховик під час обрання моделей та інструментів вимірювання (оцінки) ризиків враховує таке:

1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;

2) потреби страховика для здійснення своєї діяльності;

3) досвід та кваліфікацію осіб, які здійснюватимуть вимірювання (оцінку) ризиків за допомогою таких моделей та інструментів вимірювання (оцінки).

244. Страховик забезпечує своєчасну актуалізацію даних, що використовуються для розрахунку величини ризиків, та здійснює перевірку їх достовірності, повноти, точності та відповідності, а також здійснює перегляд ефективності застосовуваних ним моделей та інструментів оцінки ризиків.

245. Страховик з метою вимірювання (оцінки) ризиків та визначення своєї спроможності протистояти факторам ризиків, на які такий страховик наражається під час своєї діяльності або які можуть виникнути в майбутньому, має право здійснювати стрес-тестування та самостійно встановлювати їх наповнення, перелік ризиків, за якими здійснює стрес-тестування, методи, порядок та частоту їх проведення.

246. Страховик з метою виявлення, вимірювання (оцінки) ризиків і інформування про ризики, на які наражається страховик, моніторингу та аналізу ефективності системи управління ризиками:

1) забезпечує агрегування даних щодо ризиків страховика, оперативне та коректне вимірювання (оцінку) ризиків;

2) розробляє процедури обробки та агрегування даних щодо ризиків, формування звітності, політику конфіденційності та збереження такої інформації, а також доступу до неї.

247. Звітність про ризики страховика повинна містити актуальну інформацію про ризики, своєчасно надаватися раді, комітетам, правлінню/дирекції та іншим користувачам, які приймають рішення, та забезпечувати повне розуміння ними ситуації щодо рівня ризиків страховика для прийняття своєчасних та адекватних управлінських рішень.

248. Уповноважені підрозділи/працівники страховика складають звітність про ризики, яка повинна бути:

1) точною, вивіреною та достовірно відображати рівень прийнятого страховиком ризику;

2) комплексною - охоплювати всі види ризиків страховика, визначені політикою управління ризиками страховика;

3) чіткою та інформативною - надавати чітку та однозначну інформацію, бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень;

4) періодичною та поширеною серед користувачів звітності про ризики із забезпеченням конфіденційності.

249. Рада страховика, комітети ради, правління/дирекція встановлюють періодичність складання та подання звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Періодичність подання звітності про ризики повинна бути не меншою, ніж:

1) один раз на квартал для узагальнених звітів про ризики;

2) один раз на рік для детальних звітів про ризики.

250. Страховик в узагальненому звіті про ризики повинен розкривати інформацію в розрізі кожного виду ризику, визначеного відповідно до пунктів 194, 195 глави 27 розділу VII цього Положення, та обов’язково включати інформацію про:

1) узагальнені дані подій за видами ризиків, аналізу їх динаміки;

2) зміни до профілю ризиків страховика, що відбулися;

3) дотримання встановленого ризик-апетиту та значень лімітів ризику;

4) виявлені нові ризики та результати їх вимірювання (оцінки);

5) результати вимірювання (оцінки) ризиків за новими продуктами, значними змінами в діяльності страховика;

6) пропозиції щодо застосування інструментів та методів для управління ризиками;

7) дотримання вимог внутрішніх документів з управління ризиками, включаючи інформацію щодо авторизованих перевищень і порушень лімітів ризиків.

251. Страховик в детальному звіті (звітах) про ризики повинен розкривати інформацію в розрізі кожного виду ризику, визначеного відповідно до пунктів 194, 195 глави 27 розділу VII цього Положення, та крім інформації, зазначеної в пункті 250 глави 32 розділу VII цього Положення, повинен обов’язково включати таку інформацію:

1) результати оцінки профілю ризиків, які повинні містити опис видів ризиків, на які наражався страховик протягом звітного періоду, та видів ризиків, що очікуються протягом періоду бізнес-планування страховика, спосіб управління ризиками та якісну і кількісну інформацію за результатами вимірювання (оцінки) ризиків за кожним видом ризику;

2) результати здійснення стрес-тестування, методів і припущень, що були використані для стрес-тестування, аналізу чутливості до ризиків, якщо такі тестування/аналіз здійснювалися;

3) опис заходів, що використовуються для вимірювання (оцінки) ризиків, включаючи будь-які суттєві зміни протягом звітного періоду;

4) опис методів та інструментів, що використовуються для управління ризиками, та процесів моніторингу ефективності таких методів та інструментів, а також інформацію про методи та інструменти, що страховик розглядає для використання з метою управління ризиками протягом періоду бізнес-планування страховика, а також обґрунтування та вплив таких методів та інструментів зниження ризиків;

5) огляд значних подій за видами ризиків, результатів дослідження їх причин і заходів щодо запобігання таким подіям у майбутньому;

6) про суттєву концентрацію ризиків протягом звітного періоду та суттєву концентрацію ризиків, що очікуються протягом періоду бізнес-планування страховика;

7) опис відповідності інвестицій страховика вимогам до інвестиційної діяльності страховика, встановленим законодавством України;

8) висновки та пропозиції до внесення змін до системи управління ризиками страховика.

252. Страховик повинен мати технічні можливості для формування іншої звітності про ризики, крім регулярної звітності, визначеної в пункті 249 глави 32 розділу VII цього Положення:

1) під час стресових ситуацій;

2) у разі зміни потреб щодо необхідної управлінської інформації;

3) у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів.

253. Підрозділ з управління ризиками в разі значного підвищення ризику (наближення фактичних показників ризику до встановлених значень лімітів ризику, ризик-апетиту або потенційного їх порушення, або суттєвої зміни профілю ризиків страховика) не пізніше наступного робочого дня інформує про це раду страховика, комітет з управління ризиками, правління/дирекцію страховика з метою прийняття своєчасних та адекватних управлінських рішень у межах процедури ескалації ризиків.

254. Страховик зобов’язаний постійно подавати до Національного банку два рази на рік протягом місяця, наступного за звітним періодом (пів року):

1) звіт про роботу підрозділу внутрішнього аудиту страховика протягом 15 робочих днів місяця, наступного за звітним періодом (перше півріччя та рік), за формою згідно з додатком 2 до цього Положення;

2) інші документи за результатами внутрішнього аудиту, включаючи інформацію про виявлені під час проведення внутрішньої аудиторської перевірки страховика викривлення показників фінансової звітності страховика, порушення та недоліки і будь-які події в діяльності та роботі страховика, які можуть негативно вплинути на платоспроможність страховика.

255. Головний внутрішній аудитор зобов’язаний протягом двох робочих днів з дня виявлення подавати до Національного банку письмове повідомлення про виявлені під час проведення внутрішньої аудиторської перевірки факти, визначені в підпункті 10 пункту 180 глави 24 розділу VI цього Положення, якщо правління/дирекція страховика своєчасно не вжило/вжила заходів щодо усунення цих порушень та недоліків, а рада страховика не розглянула звернення головного внутрішнього аудитора щодо бездіяльності правління/дирекції страховика та за результатами розгляду цього звернення не вжила відповідних заходів.

256. Відповідальний актуарій зобов’язаний подавати до Національного банку:

1) річний актуарний звіт не пізніше 31 березня року, наступного за звітним;

2) проміжний (квартальний) актуарний звіт - станом на звітну дату (31 березня, 30 червня, 30 вересня) за вимогою Національного банку.

Проміжний (квартальний) актуарний звіт має бути складений не пізніше останнього дня місяця, наступного за звітною датою.

257. Відповідальний актуарій зобов’язаний упакувати в контейнер-архів формату ZIP з розміром до 8 МБ електронну копію актуарного звіту страховика у форматі pdf, засвідчену КЕП відповідального актуарія, та надіслати разом із супровідним листом на офіційну електронну поштову скриньку Національного банку. Контейнер-архів, обсяг якого перевищує 8 МБ, упаковується в багатотомний контейнер-архів.

Кожна частина архіву надсилається з окремим електронним повідомленням, у якому в рядку "Тема" в дужках зазначаються порядковий номер частини та через скісну риску "/" - загальна кількість частин.

258. Страховик/головний внутрішній аудитор/відповідальний актуарій подає документи, зазначені в пунктах 254-256 глави 33 розділу VIII цього Положення, до Національного банку в один із таких способів:

1) на паперових носіях з одночасним поданням електронних копій цих документів без накладання КЕП (далі - електронні копії документів);

2) у формі електронного документа, підписаного шляхом накладання КЕП, або електронної копії документа, засвідченої відповідно керівником страховика/головним внутрішнім аудитором/відповідальним актуарієм КЕП, - на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу.

Документи на вимогу Національного банку також подаються в електронній формі у форматі, визначеному Національним банком.

259. Страховик/відповідальний актуарій несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.

260. Документи, що подаються до Національного банку відповідно до цього Положення, мають викладатися українською мовою, не містити виправлень і неточностей, а також розбіжностей між відомостями, викладеними у них.

261. Національний банк здійснює контроль відповідно до вимог Закону про страхування та інших законів у порядку, визначеному нормативно-правовими актами Національного банку з питань здійснення виїзного та безвиїзного нагляду, за дотриманням страховиком, ключовими особами страховика та/або особами, на яких покладено виконання ключових функцій у страховику, вимог цього Положення, а також визначає наявність у ради страховика та правління/дирекції страховика колективної придатності та здійснює оцінку забезпечення ними ефективного управління та контролю за діяльністю страховика.

262. Національний банк має право письмово вимагати від страховика, ключових осіб страховика та/або осіб, на яких покладено виконання ключових функцій у страховику, з наведенням обґрунтування такої вимоги додаткову інформацію, документи та звіти, визначені цим Положенням, а також письмові пояснення щодо системи управління страховика.

263. Національний банк застосовує коригувальні заходи в разі виявлення у діяльності страховика та інших об’єктів нагляду, на яких поширюються вимоги цього Положення, ознак, що свідчать про потенційне порушення вимог законодавства України, та заходи впливу в разі порушення вимог цього Положення в порядку, визначеному Законом про страхування та нормативно-правовим актом із питань застосування Національним банком України коригувальних заходів, заходів раннього втручання, заходів впливу у сфері державного регулювання діяльності на ринках небанківських фінансових послуг.

1. Організаційна структура страховика, завдання, функції, повноваження органів управління та структурних підрозділів страховика, включаючи повноваження щодо здійснення внутрішнього контролю.

2. Порядок розподілу та делегування повноважень у страховику.

3. Перелік та опис ключових процесів, щодо яких здійснються внутрішній контроль, включаючи заходи та форми такого контролю.

4. Облікова політика страховика.

5. Правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності страховика, здійснення планування ефективного використання фінансових ресурсів з метою досягнення цілей діяльності страховика.

6. Перелік функцій, що не має права виконувати один працівник страховика та які потребують додаткового рівня контролю.

7. Регламенти/порядки складання звітності (фінансової, регуляторної, управлінської, податкової).

8. Правила підготовки, погодження та укладання страховиком договорів.

9. Кодекс поведінки (етики).

10. Порядок здійснення радою страховика, правлінням/дирекцією та працівниками страховика внутрішніх і зовнішніх комунікацій, включаючи обмін інформацією/документами.

11. Правила/порядок здійснення документообігу, включаючи порядок формування та зберігання документів, що утворюються в діяльності страховика.

12. Правила ведення архівів документації страховика, включаючи електронні документи.

13. Перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту персональних даних працівників і клієнтів страховика.

14. Порядок надання, використання, контролю та скасування доступу працівників страховика до інформаційних систем, включаючи віддалений доступ.

15. Порядок проведення резервування (копіювання) та архівування даних в інформаційних системах.

16. Порядок захисту інформації в інформаційних системах.

17. Процес подальшого контролю за якістю даних в інформаційних системах.

18. Правила використання працівниками страховика корпоративної електронної пошти.

19. Порядок реєстрації, зберігання інформації про інциденти інформаційної безпеки, управління інцидентами безпеки інформації.

20. Порядок реєстрації, розгляду та опрацювання звернень до страховика громадян, юридичних осіб, органів державної влади України та місцевого самоврядування.

21. Положення (політика) про систему внутрішнього контролю.

22. Види, періодичність та порядок здійснення заходів із контролю, структурні підрозділи/працівники, відповідальні за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та особи, уповноважені здійснювати розгляд звітів, процедури здійснення коригувальних заходів.

23. Порядок передавання страховиком окремих функцій та/або окремих завдань/процесів у межах цих функцій на аутсорсинг, включаючи перелік та опис способів здійснення моніторингу та контролю за здійсненням таких функцій та/або окремих завдань/процесів.

24. Перелік та опис способів здійснення моніторингу та контролю за діяльністю відокремлених підрозділів, страхових посередників (за наявності/у разі залучення).

25. Порядок залучення/призначення/звільнення/припинення повноважень осіб, на яких покладено виконання функцій другої та третьої ліній захисту.

26. Порядок підбору, найму, навчання, оцінки працівників страховика.

27. Політика та порядки мотивації, винагороди працівників страховика, включаючи програми мотивації/винагороди окремих категорій працівників страховика.

28. Порядок здійснення моніторингу як компонента системи внутрішнього контролю та визначення осіб, відповідальних за його проведення.

29. Порядок здійснення внутрішнього контролю за дотриманням законодавства України про захист прав споживачів фінансових послуг, внутрішніх документів та процесів страховика.

30. Положення про внутрішній аудит страховика.

31. Порядок та процедури внутрішнього аудиту страховика [складання плану (зміни до плану) проведення внутрішніх аудиторських перевірок страховика, оформлення результатів та документування, програми забезпечення та підвищення якості внутрішнього аудиту].

32. Стратегія управління ризиками страховика.

33. Декларація схильності до ризиків страховика.

34. Політика управління ризиками, включаючи ліміти ризиків страховика.

35. Політика виявлення, запобігання та управління конфліктами інтересів у страховику.

"_____" _______________ 20_____ року