114. Положення про підрозділ внутрішнього аудиту кредитної спілки регламентує процес здійснення функції внутрішнього аудиту з урахуванням вимог Закону про кредитні спілки та цього Положення.
Положення про підрозділ внутрішнього аудиту кредитної спілки переглядається (за потреби) радою.
115. Підрозділ внутрішнього аудиту / головний внутрішній аудитор здійснює такі функції:
1) оцінювання ефективності організації корпоративного управління в кредитній спілці, системи внутрішнього контролю та їх відповідність розміру кредитної спілки, складності, обсягам, видам, характеру здійснюваних кредитною спілкою операцій, організаційній структурі та профілю ризику кредитної спілки з урахуванням особливостей діяльності кредитної спілки як значимої (за наявності такого статусу);
2) оцінювання ефективності процесів управління кредитною спілкою, включаючи процеси щодо оцінки достатності капіталу та ліквідності;
3) перевірка та незалежна оцінка впровадженої керівництвом кредитної спілки системи внутрішнього контролю щодо:
дотримання керівниками та працівниками кредитної спілки, що забезпечують надання фінансових та інших послуг, вимог законодавства України, внутрішніх положень кредитної спілки з питань контролю за дотриманням норм (комплаєнс) та управління ризиками;
виявлення та аналізу фактів порушень працівниками кредитної спілки вимог законодавства України, внутрішніх положень, які регулюють діяльність кредитної спілки;
своєчасності усунення недоліків, виявлених Національним банком та іншими органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю кредитної спілки;
4) перевірка фінансово-господарської діяльності кредитної спілки;
5) перевірка відповідності працівників кредитної спілки кваліфікаційним вимогам та виконання ними їхніх професійних обов’язків;
6) виявлення та перевірка фактів перевищення повноважень посадовими особами кредитної спілки, а також врегулювання конфлікту інтересів посадових осіб та працівників кредитної спілки;
7) перевірка достовірності та своєчасності надання інформації органам державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю кредитної спілки;
8) перевірка внутрішніх документів та процедур управління ризиками та контролю за дотриманням норм (комплаєнс) щодо відповідності затвердженим радою політиці (положенню) про управління ризиками, політиці (положенню) про організацію контролю (комплаєнс) та плану діяльності кредитної спілки;
9) оцінювання надійності, ефективності та цілісності управління інформаційними системами кредитної спілки;
10) надання звітів раді;
11) моніторинг впровадження структурними підрозділами кредитної спілки прийнятих рекомендацій;
12) виявлення сфер потенційних збитків для кредитної спілки, сприятливих умов для шахрайства, зловживань і незаконного присвоєння коштів кредитної спілки та її членів;
13) взаємодія із зовнішніми аудиторами;
14) аналіз висновків зовнішніх аудиторів та здійснення моніторингу виконання рекомендацій зовнішніх аудиторів;
15) участь у службових розслідуваннях та інформування ради та виконавчого органу про результати таких розслідувань;
16) розроблення та впровадження програм оцінювання і підвищення якості внутрішнього аудиту;
17) перевірка та оцінювання процесів, які забезпечують діяльність кредитної спілки, включаючи ті, що несуть потенційні ризики та виконання яких забезпечується шляхом залучення юридичних та фізичних осіб на договірній основі (аутсорсинг);
18) перевірка правильності ведення та достовірності бухгалтерського обліку, інформації, фінансової, регуляторної та іншої звітності, що складається кредитною спілкою, їх повноти та вчасності надання користувачам, включаючи Національний банк, органи державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю кредитної спілки;
19) оцінювання діяльності підрозділу з управління ризиками / головного ризик-менеджера, підрозділу комплаєнсу / головного комплаєнс-менеджера, комітетів ради (у разі їх створення), кредитного комітету та якості звітів про ризики, що подаються раді та виконавчому органу;
20) інші функції, що згідно з цим Положенням належать до функцій підрозділу внутрішнього аудиту / головного внутрішнього аудитора.
116. Підрозділ внутрішнього аудиту / головний внутрішній аудитор під час виконання своїх функцій має право ініціювати спілкування з керівниками та з будь-якими працівниками підрозділів кредитної спілки, включаючи відокремлені підрозділи, та мати доступ до будь-яких документів та інформації кредитної спілки, архівів, даних, об’єктів кредитної спілки, управлінської інформації, документів з прийняття рішень органами управління кредитної спілки.
117. Підрозділ внутрішнього аудиту / головний внутрішній аудитор з метою реалізації функцій внутрішнього аудиту має право:
1) отримувати потрібну інформацію та документи, які стосуються внутрішнього аудиту і зберігаються в кредитній спілці. Працівники підрозділу внутрішнього аудиту / головний внутрішній аудитор під час виконання своїх функціональних обов’язків мають право ознайомлюватися з документами, інформацією, письмовими поясненнями з питань діяльності кредитної спілки, включаючи діяльність усіх підрозділів кредитної спілки, мають право на доступ до облікової та реєстраційної систем, а також на отримання письмових пояснень від керівників і працівників кредитної спілки з питань, що виникають під час проведення перевірок та за їх результатами;
2) проводити плановий та позаплановий внутрішній аудит у кредитній спілці;
3) вимагати позачергового скликання засідання ради;
4) ініціювати зустрічі з посадовими особами кредитної спілки;
5) отримувати письмові пояснення від керівників і працівників кредитної спілки з питань, що виникають під час проведення внутрішнього аудиту та за його результатами;
6) залучати за потреби працівників інших підрозділів кредитної спілки (за згодою керівників таких підрозділів) та/або зовнішніх експертів, консультантів, зовнішніх аудиторів (за погодженням з радою) для виконання поставлених перед підрозділом внутрішнього аудиту / головним внутрішнім аудитором завдань;
7) мати безперешкодний доступ до інформаційних систем та до всіх приміщень кредитної спілки, включаючи приміщення, що використовуються для зберігання документів, матеріальних цінностей, отримувати інформацію, яка зберігається в паперовій формі та на електронних носіях;
8) отримувати необхідні пояснення в письмовій чи усній формі від працівників кредитної спілки з питань, що виникають під час проведення аудиторської перевірки (аудиту) та за її результатами;
9) робити копії з наданих для перевірки документів (у разі надання їх на паперових носіях), робити копії електронних документів, що зберігаються на електронних носіях та є потрібними для проведення аудиторської перевірки (аудиту);
10) вносити на розгляд ради пропозиції з удосконалення діяльності підрозділу внутрішнього аудиту.
118. Головний внутрішній аудитор зобов’язаний вести облік та зберігати документи та інші матеріальні носії, що містять інформацію, зібрану в процесі проведення аудиторських перевірок (аудиту), інформацію про всі перевірені сфери, виявлені проблеми та надані рекомендації за результатами таких перевірок протягом п’яти років для забезпечення підтвердження ефективності здійснення функції внутрішнього аудиту в кредитній спілці.
119. Підрозділ внутрішнього аудиту / головний внутрішній аудитор організаційно та функціонально не залежить від інших підрозділів кредитної спілки.
Організаційна незалежність передбачає, що підрозділ внутрішнього аудиту / головний внутрішній аудитор прямо підпорядковується та є підзвітним раді.
Функціональна незалежність передбачає, що підрозділ внутрішнього аудиту / головний внутрішній аудитор не може здійснювати інших функцій, ніж функція з внутрішнього аудиту, якщо інше не визначено Законом про кредитні спілки.
120. Головний внутрішній аудитор, працівники підрозділу внутрішнього аудиту зобов’язані не розголошувати та не використовувати конфіденційну інформацію, яка стала відома їм під час виконання своїх функцій, на свою користь чи на користь третіх осіб.
12. Контрольне середовище
121. Компонент "Контрольне середовище" складається з методологічних та організаційних засад функціонування системи внутрішнього контролю (процедур, політики за окремим напрямом діяльності кредитної спілки та інших внутрішніх документів щодо внутрішнього контролю, а також культури контролю).
122. Кредитна спілка зобов’язана визначити у внутрішніх документах щодо внутрішнього контролю чіткий та детальний письмовий опис процесів, які забезпечують організацію та функціонування системи внутрішнього контролю.
123. Кредитна спілка визначає порядок та процедури:
1) вертикальної взаємодії, що застосовуються під час здійснення внутрішнього контролю між підрозділами різних ліній захисту;
2) горизонтальної взаємодії, що застосовуються в разі здійснення внутрішнього контролю в межах одного підрозділу та/або між підрозділами однієї лінії захисту.
124. Кредитна спілка визначає у внутрішніх документах процедури та заходи з контролю, які застосовуються підрозділами кожної з трьох ліній захисту.
125. Положення (політика) про систему внутрішнього контролю кредитної спілки затверджується радою та повинна містити:
1) мету, завдання та принципи побудови системи внутрішнього контролю;
2) організаційну структуру процесу внутрішнього контролю з урахуванням розподілу функціональних обов’язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;
3) принципи та підходи щодо впровадження компонентів системи внутрішнього контролю, визначених у пункті 79 глави 6 розділу III цього Положення;
4) порядок, види, періодичність підготовки та розгляду звітів;
5) процедуру здійснення відповідних коригувальних заходів щодо виправлення виявлених недоліків.
126. Рада не рідше одного разу на три роки переглядає та за потреби оновлює (актуалізує) положення (політику) про систему внутрішнього контролю кредитної спілки.
127. Кредитна спілка зобов’язана доводити до відома працівників внутрішні документи, які містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень, включаючи повноваження щодо здійснення внутрішнього контролю.
128. Кредитна спілка зобов’язана письмово фіксувати кожний факт ознайомлення працівника / працівників із відповідними документами шляхом отримання підпису ознайомленого працівника та уповноваженої особи, яка забезпечила проведення ознайомлення.
129. До критеріїв, що свідчать про впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю кредитної спілки, належать такі:
1) рада здійснює нагляд за ефективним функціонуванням системи внутрішнього контролю кредитної спілки;
2) виконавчий орган під контролем ради в межах своїх повноважень впроваджує процедури, повноваження та обов’язки щодо внутрішнього контролю на підпорядкованих організаційних рівнях кредитної спілки;
3) виконавчий орган, посадові особи, працівники кредитної спілки в межах своїх повноважень забезпечують виконання рішень ради щодо організації та функціонування системи внутрішнього контролю;
4) у кредитній спілці затверджено, доведено до відома всіх працівників та контролюється дотримання і належне виконання внутрішніх документів, які містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень, та визначають стандарти етичної поведінки працівників, порядок здійснення внутрішніх та зовнішніх комунікацій;
5) кредитною спілкою визначено порядок дій та повноваження осіб, відповідальних за здійснення контролю за діяльністю структурних підрозділів / осіб, на яких покладено виконання окремих функцій у системі трьох ліній захисту щодо належного функціонування системи внутрішнього контролю кредитної спілки;
6) створено організаційну структуру кредитної спілки, що забезпечує побудову системи внутрішнього контролю, у межах якої чітко визначено повноваження та розмежовано функції між суб’єктами внутрішнього контролю;
7) кредитна спілка забезпечує здійснення перевірки осіб, які є кандидатами на призначення на посаду головного ризик-менеджера, головного комплаєнс-менеджера, головного внутрішнього аудитора, стосовно їх відповідності кваліфікаційним вимогам, установленим нормативно-правовим актом Національного банку з питань авторизації надавачів фінансових послуг та умов здійснення ними діяльності;
8) кредитна спілка залучає осіб, які мають відповідну кваліфікацію, з метою досягнення цілей діяльності кредитної спілки, включаючи цілі системи внутрішнього контролю, забезпечує створення умов, потрібних для залучення та навчання працівників, шляхом опису відповідних процесів у внутрішніх документах та виділення необхідних коштів (за потреби);
9) суб’єкти внутрішнього контролю кредитної спілки несуть відповідальність за неналежне виконання та/або невиконання ними своїх обов’язків.
13. Контрольна діяльність кредитної спілки
130. Кредитна спілка здійснює контрольну діяльність з метою надання достатньої впевненості керівникам кредитної спілки щодо досягнення кредитною спілкою цілей її діяльності шляхом:
1) запровадження та виконання заходів з контролю щодо всіх процесів та на всіх організаційних рівнях;
2) розгляду звітів, підготовлених за результатами здійснення контрольних заходів.
131. Кредитна спілка застосовує заходи з контролю з метою запобігання, виявлення та усунення порушень законодавства України та внутрішніх документів.
132. До процедур контролю в кредитній спілці належить контроль:
1) що здійснюється керівниками кредитної спілки та передбачає аналіз звітності, яка регулярно надається або запитується згідно з окремо встановленими процедурами, про результати діяльності підрозділів кредитної спілки з метою аналізу відповідності цих результатів установленим цілям діяльності кредитної спілки;
2) що здійснюється керівниками підрозділів та передбачає аналіз звітів про результати діяльності відповідних підрозділів на регулярній основі (щоденній, щотижневій або щомісячній залежно від періодичності складання відповідних звітів, визначеної у внутрішніх документах кредитної спілки);
3) за наданням доступу, що передбачає обмеження доступу до готівки, інших матеріальних цінностей, приміщень кредитної спілки, розподіл відповідальності за зберігання і використання цінностей, забезпечення охорони приміщень, проведення періодичних інвентаризацій, обмеження доступу до інформаційних систем, включаючи санкціонування допуску до комп’ютерних програм та даних;
4) за дотриманням установлених лімітів на здійснення операцій з надання фінансових послуг та вчинення інших правочинів, що виконується шляхом отримання відповідних звітів та/або звіряння з даними первинних документів, облікової та реєстраційної системи, інформаційних та інших систем кредитної спілки;
5) за наданням дозволів та підтверджень на здійснення операцій з надання фінансових послуг та вчинення інших правочинів, що передбачає встановлення порядку розподілу повноважень під час здійснення операцій з надання фінансових послуг та вчинення інших правочинів;
6) за відповідністю відображення операцій, що передбачає контроль за дотриманням порядку здійснення операцій з надання фінансових послуг та вчинення інших правочинів, їх належним відображенням у бухгалтерському обліку, фінансовій, регуляторній та статистичній звітності, інформуванням керівників кредитної спілки відповідного рівня про виявлені порушення, помилки і недоліки.
133. Кредитна спілка забезпечує здійснення процедур контролю шляхом:
1) розмежування функцій - працівники, відповідальні за вчинення правочинів, не повинні здійснювати бухгалтерський облік операцій, що виконуються за такими правочинами. В одному підрозділі не може бути зосереджено проведення операції, починаючи з її ініціювання до відображення в регістрах бухгалтерського обліку, обліковій та реєстраційній системі кредитної спілки, крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
2) контролю за введенням даних в облікову та реєстраційну систему, інші інформаційні системи кредитної спілки - введення інформації / операції в облікову та реєстраційну систему, інші інформаційні системи одним працівником (виконавцем) повинно бути перевірено іншим працівником (контролером), крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
3) звіряння даних - звіряння даних повинно відбуватися між різними інформаційними системами, а також на різних етапах оброблення даних, що реалізується шляхом порівняння детальної інформації та/або кінцевих даних;
4) контролю за виправленнями - унесення будь-яких виправлень до вхідної інформації в обліковій та реєстраційній системі, інших системах кредитної спілки повинно бути додатково проконтрольовано іншим працівником (який не є виконавцем).
134. Кредитна спілка повинна враховувати під час розроблення та перегляду / вдосконалення процедур та видів контролю:
1) зміни в ринковому середовищі та законодавстві України;
2) адекватність установлених процедур та видів контролю щодо кожного із суттєвих видів ризиків, притаманних діяльності кредитної спілки, що визначені відповідно до вимог глави IV цього Положення;
3) ефективність процедури та/або виду контролю в минулому;
4) можливість моніторингу процедури та/або виду контролю.
135. Система внутрішнього контролю кредитної спілки може включати такі види контролю:
1) залежно від моменту здійснення контролю:
попередній - передує виконанню дії або операції;
поточний - здійснюється під час виконання дії або операції;
подальший - здійснюється після виконання дії або операції, та спрямований на виявлення недоліків, виправлення допущених помилок.
Кредитна спілка забезпечує послідовне поєднання попереднього, поточного і подальшого видів контролю з метою підвищення дієвості та ефективності контролю;
2) залежно від призначення контролю:
превентивний - спрямований на попередження порушень та ризиків;
виявляючий - спрямований на виявлення порушень та ризиків;
коригуючий - спрямований на уникнення / пом’якшення реалізованих ризиків та їх наслідків у майбутньому;
3) залежно від суб’єкта контролю:
самостійний контроль - здійснюється працівником самостійно;
колективний контроль - здійснюється двома (або більше) працівниками;
колегіальний контроль - здійснюється колегіальним органом;
автоматизований контроль - здійснюється автоматизованою інформаційною системою;
4) залежно від періодичності здійснення:
функціональний (постійний) - проводиться регулярно;
періодичний - проводиться згідно з установленою у внутрішніх документах періодичністю;
5) залежно від обсягів контролю:
повний - охоплює весь обсяг відповідного процесу;
портфельний - проводиться за групами функцій, операцій, договорів;
вибірковий - проводиться за окремими відібраними елементами відповідного процесу.
136. Кредитна спілка повинна впровадити заходи з контролю за обліковою та реєстраційною системою, іншими інформаційними системами та технологіями, що використовуються в кредитній спілці, з метою забезпечення надійного та безперервного функціонування кредитної спілки. Такі заходи визначаються у внутрішніх документах кредитної спілки та містять у собі:
1) контроль за збереженням цілісності та доступності інформації кредитної спілки, яка зберігається з використанням облікової та реєстраційної системи, інших інформаційних систем та технологій, що може здійснюватися шляхом забезпечення резервування (копіювання) такої інформації, відновлення функцій інформаційних систем та технологій, які були пошкоджені внаслідок форс-мажорних обставин або технічних збоїв;
2) управління доступами до певних систем, технологій та/або інформації, що використовуються кредитною спілкою;
3) контроль за інформаційними системами та технологіями під час їх придбання, розроблення або супроводження.
137. Кредитна спілка впроваджує процедури контролю:
1) організаційно шляхом:
упровадження необхідних контрольних процедур, обмежень, що забезпечують ефективне функціонування системи внутрішнього контролю;
опису в положеннях про підрозділи контрольних функцій, що здійснюються кожним із них;
проведення регулярного оцінювання ризиків кредитної спілки та заходів з контролю;
забезпечення інформаційної безпеки та організації належного обміну інформацією;
проведення моніторингу ефективності системи внутрішнього контролю, включаючи оцінювання її ефективності шляхом проведення перевірок підрозділом внутрішнього аудиту / головним внутрішнім аудитором;
2) методологічно шляхом опису системи внутрішнього контролю, включаючи періодичність та строки виконання заходів з контролю, посадових осіб, на яких покладається контроль, у внутрішніх документах, прийнятих із дотриманням вимог цього Положення. Мінімальний перелік питань щодо внутрішнього контролю, які мають бути врегульовані у внутрішніх документах кредитної спілки, наведено в додатку 2 до цього Положення;
3) технологічно шляхом автоматизації процедур контролю в інформаційних системах кредитної спілки.
138. Кредитна спілка встановлює відповідні заходи з контролю в разі передавання здійснення функцій іншим особам на аутсорсинг.
139. Внутрішні документи кредитної спілки, що регламентують порядок здійснення заходів з контролю, повинні містити:
1) установлену періодичність та терміни здійснення заходів з контролю;
2) процедуру здійснення відповідних коригуючих дій щодо виправлення виявлених недоліків;
3) порядок здійснення моніторингу як компонента системи внутрішнього контролю та визначення осіб, відповідальних за його проведення;
4) перелік та опис процесів, включаючи заходи та форми внутрішнього контролю.
140. Кредитна спілка визначає осіб, відповідальних за здійснення контрольних заходів, підготовку та опрацювання звітів про результати здійснення контрольних заходів за горизонтальною та вертикальною взаємодією та з урахуванням принципу недопущення конфлікту інтересів.
141. Кредитна спілка зобов’язана проводити щорічну самооцінку відповідності системи внутрішнього контролю кредитної спілки її цілям, складності, обсягам, видам, характеру здійснюваних кредитною спілкою операцій, розміру, організаційній структурі та профілю ризиків кредитної спілки, особливостям діяльності кредитної спілки як значимої (за наявності такого статусу), вимогам законодавства України, включаючи вимоги цього Положення, з обов’язковим урахуванням результатів здійснення контрольної діяльності та заходів з моніторингу ефективності системи внутрішнього контролю кредитної спілки.
Результати проведеної щорічної самооцінки мають бути викладені у формі звіту за підписом уповноваженого працівника кредитної спілки / керівника підрозділу, відповідального за складення такого звіту.
Звіт про результати щорічної самооцінки має включати оцінку за кожним суб’єктом системи внутрішнього контролю, визначеним у пункті 78 глави 6 розділу III цього Положення, та за кожним компонентом системи внутрішнього контролю, визначеним у пункті 79 глави 6 розділу III цього Положення. Звіт про результати щорічної самооцінки може містити іншу інформацію, обов’язковість включення якої визначено у внутрішньому документі кредитної спілки.
142. Критерії, що свідчать про впровадження та здійснення контрольної діяльності як компонента системи внутрішнього контролю кредитної спілки, є такими:
1) кредитна спілка обрала та впровадила заходи з контролю, що забезпечують пом’якшення ризиків діяльності кредитної спілки до прийнятного рівня;
2) кредитна спілка забезпечує рівень контролю за вибором та використанням / застосуванням інформаційних систем та технологій, що використовуються кредитною спілкою, на рівні, потрібному для забезпечення досягнення цілей її діяльності;
3) кредитна спілка визначила заходи з контролю у внутрішніх документах, установила очікувані результати та порядок здійснення таких заходів.
14. Контроль за інформаційними потоками та комунікаціями кредитної спілки
143. Кредитна спілка забезпечує контроль за інформаційними потоками та комунікаціями (обміном інформацією) для підтримки інших компонентів системи внутрішнього контролю з метою:
1) надання та отримання якісної інформації внутрішніми та зовнішніми користувачами з метою прийняття обґрунтованих суджень, своєчасних та адекватних управлінських рішень;
2) створення та функціонування інформаційних систем, що забезпечують здійснення внутрішніх та зовнішніх комунікацій кредитної спілки.
144. Кредитна спілка визначає у внутрішніх документах порядок здійснення суб’єктами внутрішнього контролю зовнішніх та внутрішніх комунікацій, порядок використання та отримання інформації.
145. Кредитна спілка встановлює процедури управління інформацією з чіткою відповідальністю за якість інформації, включаючи процедури з поширення інформації щодо виявлених недоліків та невідповідностей у системі внутрішнього контролю.
146. Кредитна спілка визначає форму та періодичність надання інформації з урахуванням потреб та вимог внутрішніх та зовнішніх користувачів.
147. Кредитна спілка забезпечує використання якісної інформації на всіх її організаційних рівнях з метою своєчасного реагування на виявлені недоліки системи внутрішнього контролю. Кредитна спілка забезпечує обмін інформацією стосовно внутрішнього контролю, що містить інформацію щодо:
1) політики та процедур, що визначають функціональні обов’язки керівників та працівників кредитної спілки щодо виконання заходів з контролю;
2) ролей, повноважень та обов’язків керівників та інших працівників кредитної спілки щодо виконання заходів з контролю;
3) суттєвих питань щодо організації та функціонування системи внутрішнього контролю, включаючи інформацію щодо недоліків та невідповідностей у системі внутрішнього контролю.
148. Кредитна спілка забезпечує якісні внутрішні комунікації за такими напрямами:
1) вертикально (знизу - вгору) - інформація щодо ризиків та інших питань діяльності кредитної спілки доводиться до відома ради та виконавчого органу з метою прийняття відповідних управлінських рішень;
2) вертикально (згори - донизу) - інформація про політику кредитної спілки доводиться до відома керівників усіх рівнів та інших працівників кредитної спілки;
3) горизонтально - інформація, якою володіє один підрозділ кредитної спілки, надається іншому підрозділу, якому вона потрібна для виконання своїх функцій.
149. Кредитна спілка забезпечує якість інформації, що створюється, використовується та отримується кредитною спілкою в її діяльності, ґрунтуючись на таких принципах:
1) актуальність - кредитна спілка забезпечує внесення змін до інформації та повідомлення заінтересованих осіб про такі зміни протягом розумного строку з моменту настання обставин, що спричинили потребу їх внесення;
2) коректність - кредитна спілка забезпечує достовірність та повноту інформації;
3) цілісність - кредитна спілка вживає заходів, включаючи використання інформаційних систем і технологій, які спрямовані на захист інформації від спотворення, пошкодження, втрати або знищення;
4) збереження - інформація має зберігатися протягом усього строку її використання кредитною спілкою, але не менше строків, визначених законодавством України та внутрішніми документами;
5) доступність - кредитна спілка визначає у внутрішніх документах переліки інформації, яка є:
загальнодоступною;
з обмеженим доступом - може бути отримана та/або використана суб’єктами внутрішнього контролю виключно в межах їхніх повноважень;
6) достатність - рівень деталізації інформації повинен відповідати потребам внутрішніх та зовнішніх користувачів.
150. Кредитна спілка зобов’язана визначити порядок проведення уповноваженими суб’єктами внутрішнього контролю перевірки якості інформації, включаючи її відповідність принципам, визначеним у пункті 149 глави 14 розділу III цього Положення, достовірність джерела походження такої інформації.
151. Кредитна спілка повинна забезпечити суб’єктів внутрішнього контролю можливістю використовувати інформаційні системи та технології, функціональні можливості яких дають змогу проводити перевірку дотримання принципів, визначених у пункті 149 глави 14 розділу III цього Положення.
152. Кредитна спілка визначає у внутрішніх документах способи здійснення внутрішньої та зовнішньої комунікації з урахуванням напряму та учасників комунікації, характеру комунікації, питання, щодо якого здійснюється комунікація.
Кредитна спілка має право запроваджувати внутрішню систему повідомлення працівниками (включаючи конфіденційно) про виявлені ризики порушення вимог законодавства України та внутрішніх документів. Порядок роботи такої системи в разі її запровадження, має бути визначений внутрішніми документами та доведений до відома всіх працівників кредитної спілки.
Кредитна спілка визначає у внутрішніх документах заходи з контролю під час здійснення зовнішньої комунікації, включаючи порядок отримання інформації від зовнішніх користувачів, її перевірки та передавання цієї інформації в межах організаційної структури кредитної спілки.
153. Суб’єкти внутрішнього контролю, уповноважені здійснювати зовнішні комунікації, зобов’язані дотримуватися вимог законодавства України та внутрішніх документів кредитної спілки щодо нерозголошення інформації з обмеженим доступом.
154. Кредитна спілка, здійснюючи внутрішню та зовнішню комунікацію, зобов’язана дотримуватися принципів, визначених у пункті 149 глави 14 розділу III цього Положення.
155. Кредитна спілка має право встановити у внутрішніх документах порядок проведення оцінки якості та ефективності внутрішніх та зовнішніх комунікацій, їх впливу на ефективне функціонування системи внутрішнього контролю та на досягнення цілей діяльності кредитної спілки.
156. Виконавчий орган оцінює інформацію від зовнішніх користувачів щодо системи внутрішнього контролю та інформує раду щодо виявлених недоліків системи внутрішнього контролю.
157. До критеріїв, що свідчать про використання кредитною спілкою якісної інформації та належне функціонування системи комунікації кредитної спілки, належать такі:
1) кредитна спілка здійснює контроль за якістю інформації, що надається, отримується, генерується, використовується;
2) кредитна спілка забезпечує передавання на всі свої організаційні рівні інформації щодо її діяльності, включаючи інформацію щодо цілей та обов’язків керівників та працівників кредитної спілки з внутрішнього контролю;
3) кредитна спілка здійснює комунікацію із зовнішніми користувачами з питань діяльності кредитної спілки.
15. Моніторинг ефективності системи внутрішнього контролю кредитної спілки
158. Кредитна спілка здійснює моніторинг ефективності системи внутрішнього контролю відповідно до вимог цього Положення та внутрішніх документів з метою:
1) оцінки якості роботи системи внутрішнього контролю за певний період часу;
2) визначення здатності системи внутрішнього контролю забезпечити досягнення цілей діяльності кредитної спілки, включаючи визначення ймовірності виникнення та оцінку суттєвості потенційно можливих недоліків системи внутрішнього контролю, що можуть спричинити негативний вплив на досягнення цілей;
3) розроблення заходів, спрямованих на мінімізацію негативного впливу з метою вдосконалення системи внутрішнього контролю.
159. Кредитна спілка обирає види заходів з моніторингу системи внутрішнього контролю, включаючи моніторинг ефективності процедур з контролю та оцінку ефективності системи внутрішнього контролю, як комбінацію поточних та періодичних заходів з моніторингу з урахуванням установлених цілей діяльності кредитної спілки, складності, обсягів, видів, характеру здійснюваних кредитною спілкою операцій, кількості та складності видів контролю, ймовірності виникнення недоліків, а також кваліфікації та досвіду працівників кредитної спілки.
160. Відповідальними за проведення заходів з моніторингу системи внутрішнього контролю в межах визначених кредитною спілкою повноважень є:
1) головний ризик-менеджер та головний комплаєнс-менеджер - за моніторинг ефективності процедур контролю на першій лінії захисту в межах виконання функцій незалежного контролю другої лінії захисту;
2) головний внутрішній аудитор - за оцінку ефективності системи внутрішнього контролю кредитної спілки в цілому.
161. Кредитна спілка визначає функції органів управління та підрозділів кредитної спілки щодо моніторингу системи внутрішнього контролю, а саме:
1) ради щодо затвердження вимог щодо здійснення моніторингу системи внутрішнього контролю та розгляду результатів оцінки ефективності системи внутрішнього контролю, проведеної підрозділом внутрішнього аудиту / головним внутрішнім аудитором з метою забезпечення контролю за проведенням заходів з моніторингу;
2) виконавчого органу щодо забезпечення моніторингу процедур з контролю в кредитній спілці, забезпечення підготовки та надання раді пропозицій щодо необхідності вдосконалення заходів з контролю, розроблення заходів щодо оперативного усунення недоліків у функціонуванні системи внутрішнього контролю, виявлених за результатами перевірок підрозділу внутрішнього аудиту, зовнішніх аудиторів, Національного банку, інших наглядових органів;
3) підрозділу з управління ризиками / головного ризик-менеджера щодо контролю за суттєвими ризиками кредитної спілки, за винятком комплаєнс-ризику;
4) підрозділу комплаєнсу / головного комплаєнс-менеджера щодо забезпечення організації контролю за відповідністю діяльності кредитної спілки вимогам законодавства України, нормативно-правових актів Національного банку, внутрішніх документів, стандартів професійних об’єднань учасників ринку фінансових послуг, дія яких поширюється на кредитну спілку;
5) підрозділу внутрішнього аудиту / головного внутрішнього аудитора щодо оцінки комплексності, ефективності та адекватності системи внутрішнього контролю.
162. Кредитна спілка здійснює обов’язкові поточні та періодичні заходи з моніторингу ефективності системи внутрішнього контролю.
163. Кредитна спілка здійснює поточні заходи з моніторингу з метою оперативного виявлення та усунення недоліків системи внутрішнього контролю. Відповідальними за проведення таких заходів є керівники підрозділів першої та другої ліній захисту кредитної спілки в межах визначених кредитною спілкою повноважень.
164. Кредитна спілка здійснює періодичні заходи з моніторингу, включаючи оцінку ефективності системи внутрішнього контролю кредитної спілки в цілому, з метою виявлення недоліків після факту події.
165. Кредитна спілка здійснює оцінку ефективності системи внутрішнього контролю як вид періодичних заходів з моніторингу, визначаючи зміст, процедуру, метод та критерії оцінки ефективності системи внутрішнього контролю. Підрозділ внутрішнього аудиту / головний внутрішній аудитор кредитної спілки здійснює таку оцінку не рідше ніж один раз на рік з урахуванням особливостей діяльності кредитної спілки відповідно до вимог розділу V цього Положення.
166. Кредитна спілка у внутрішніх документах установлює розподіл відповідальності за ефективність системи внутрішнього контролю таким чином:
1) рада та виконавчий орган відповідають за ефективність системи внутрішнього контролю;
2) підрозділи першої лінії захисту безпосередньо відповідають за виконання заходів щодо виправлення недоліків системи внутрішнього контролю;
3) підрозділ з управління ризиками / головний ризик-менеджер, підрозділ комплаєнсу / головний комплаєнс-менеджер відповідають за якість виконання заходів із моніторингу системи внутрішнього контролю (за винятком оцінки ефективності системи внутрішнього контролю);
4) підрозділ внутрішнього аудиту / головний внутрішній аудитор відповідає за якість оцінки ефективності системи внутрішнього контролю.
167. Рада забезпечує здійснення оцінки ефективності системи внутрішнього контролю підрозділом внутрішнього аудиту / головним внутрішнім аудитором відповідно до критеріїв оцінки ефективності цієї системи та затверджує такі критерії.
168. Підрозділ внутрішнього аудиту / головний внутрішній аудитор оцінює ефективність системи внутрішнього контролю та її відповідність розміру кредитної спілки, складності, обсягам, видам, характеру здійснюваних кредитною спілкою операцій, організаційній структурі та профілю ризику кредитної спілки з урахуванням особливостей діяльності кредитної спілки як значимої (за наявності такого статусу).
169. Критерії оцінки ефективності системи внутрішнього контролю можуть включати:
1) система внутрішнього контролю включає розподіл функцій між суб’єктами контролю з можливістю чіткого визначення відповідальних осіб за виконання цих функцій;
2) наявність документів, що регламентують:
принципи побудови системи внутрішнього контролю;
функції та повноваження працівників кредитної спілки та підрозділів кредитної спілки в системі внутрішнього контролю;
порядок взаємодії, прийняття рішень та розподіл повноважень підрозділів кредитної спілки під час здійснення внутрішнього контролю;
порядок виявлення недоліків та організації звітування щодо функціонування системи внутрішнього контролю;
контроль за ефективністю системи внутрішнього контролю;
3) охоплення заходами з контролю всіх операцій та продуктів кредитної спілки;
4) порядок контролю за функціонуванням системи внутрішнього контролю керівниками кредитної спілки;
5) результати оцінки ефективності системи управління ризиками кредитної спілки;
6) результати оцінки ефективності управління інформаційними потоками;
7) відповідність політики за окремими напрямами діяльності кредитної спілки та процедур кредитної спілки вимогам законодавства України, нормативно-правових актів Національного банку, внутрішніх документів, стандартів професійних об’єднань учасників ринку фінансових послуг, дія яких поширюється на кредитну спілку, узгодженість внутрішніх документів між собою;
8) комплексність, ефективність та адекватність установлених заходів із контролю та контроль за їх виконанням працівниками кредитної спілки відповідно до внутрішніх документів;
9) наявність у кредитній спілці культури контролю, що передбачає своєчасну фіксацію та аналіз виявлених недоліків системи внутрішнього контролю, звітування щодо виявлених недоліків керівникам кредитної спілки в межах визначених кредитною спілкою повноважень, ужиття своєчасних та адекватних заходів щодо усунення виявлених недоліків;
10) результати оцінки відповідності системи внутрішнього контролю кредитної спілки її розміру, організаційній структурі, складності, обсягам, видам, характеру здійснюваних кредитною спілкою операцій, особливостям діяльності кредитної спілки як значимої (за наявності такого статусу).
170. Підрозділ внутрішнього аудиту / головний внутрішній аудитор кредитної спілки зобов’язаний за результатами здійснення моніторингу ефективності системи внутрішнього контролю складати звіти, що подаються на розгляд ради. Такі звіти повинні містити інформацію про виявлені недоліки системи внутрішнього контролю та порушення, аналіз причин їх виникнення, ймовірні наслідки, до яких можуть призвести ці недоліки, рекомендації / пропозиції щодо підвищення ефективності функціонування системи внутрішнього контролю, процес контролю за станом виконання рекомендацій / пропозицій, затверджених раніше.
171. Кредитна спілка забезпечує надання звітів щодо результатів моніторингу ефективності системи внутрішнього контролю також працівникам, які відповідають за здійснення коригувальних заходів, та керівникам у межах визначених повноважень.
172. Заходами, дотримання яких свідчить про впровадження та функціонування моніторингу ефективності як компонента системи внутрішнього контролю кредитної спілки, є такі:
1) кредитна спілка визначає у внутрішніх документах порядок здійснення поточних та періодичних перевірок відповідності законодавству України та внутрішнім документам, якості та ефективності системи внутрішнього контролю;
2) кредитна спілка забезпечує належне здійснення уповноваженими суб’єктами внутрішнього контролю оцінювання компонентів системи внутрішнього контролю та своєчасне повідомлення керівників кредитної спілки про виявлені недоліки системи внутрішнього контролю та/або допущені суб’єктами внутрішнього контролю порушення та причини їх вчинення, відповідальних за прийняття рішення про здійснення коригувальних заходів, усунення порушення та/або внесення змін до внутрішніх документів.
IV. Система управління ризиками
16. Загальні засади побудови системи управління ризиками в кредитній спілці
173. Комплексна та адекватна система управління ризиками кредитної спілки містить:
1) організацію системи управління ризиками, яка ґрунтується на застосуванні моделі трьох ліній захисту та забезпечує чіткий розподіл функцій, обов’язків і повноважень з управління ризиками між усіма суб’єктами системи управління ризиками, а також між працівниками кредитної спілки та передбачає їх відповідальність згідно з таким розподілом;
2) культуру управління ризиками та кодекс поведінки (етики);
3) внутрішні документи з питань управління ризиками;
4) інформаційну систему щодо управління ризиками та звітування;
5) інструменти для ефективного управління ризиками.
174. Суб’єктами системи управління ризиками кредитної спілки є:
1) рада;
2) виконавчий орган;
3) комітети ради / виконавчого органу;
4) бізнес-підрозділи, підрозділи підтримки;
5) підрозділ з управління ризиками / головний ризик-менеджер та підрозділ комплаєнсу / головний комплаєнс-менеджер;
6) підрозділ внутрішнього аудиту / головний внутрішній аудитор;
7) керівники та працівники кредитної спілки, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішніми документами, та не входять до складу органів і підрозділів кредитної спілки, зазначених у підпунктах 1-6 пункту 174 глави 16 розділу IV цього Положення.
175. Система управління ризиками кредитної спілки повинна забезпечувати виявлення, вимірювання, моніторинг, контроль, звітування та мінімізацію (зниження до контрольованого рівня) таких суттєвих ризиків діяльності кредитної спілки:
1) кредитного ризику;
2) ризику ліквідності (не застосовується до кредитної спілки, яка здійснює діяльність на підставі спрощеної ліцензії);
3) операційного ризику, складовими якого є ризик інформаційно-комунікаційних технологій, ризик інформаційної безпеки, юридичний ризик;
4) процентного ризику;
5) комплаєнс-ризику.
176. Кредитна спілка має право розширювати перелік суттєвих видів ризиків, визначений в пункті 175 глави 16 розділу IV цього Положення, самостійно встановлювати критерії, за якими визначатиметься суттєвість інших видів ризиків діяльності кредитної спілки з урахуванням складності, обсягів, видів, характеру здійснюваних кредитною спілкою операцій, організаційної структури та профілю ризику кредитної спілки, особливостей діяльності кредитної спілки як значимої (за наявності такого статусу), та визначати порядок управління такими ризиками.
177. Методами управління виявленими ризиками в межах підходів до управління ризиками можуть бути:
1) прийняття ризику, що передбачає прийняття кредитною спілкою ідентифікованого ризику та неприйняття будь-яких інших дій для його зниження;
2) передавання ризику, що передбачає передавання кредитною спілкою відповідальності за ризиком третім особам, водночас наявний рівень ризику не змінюється;
3) пом’якшення ризику, що передбачає коригування певних процесів та/або впровадження додаткових контрольних заходів;
4) уникнення ризику, що передбачає припинення здійснення або зміну діяльності (включаючи розірвання ділових відносин), яка створює ризик.
178. Кредитна спілка під час оцінки всіх видів ризиків ураховує ризик концентрації в розрізі:
1) одного боржника / контрагента та групи пов’язаних контрагентів;
2) бізнес-ліній і продуктів;
3) пов’язаних із контрагентами осіб, чиї фінансові результати залежать від одного виду діяльності чи основного продукту.
17. Культура управління ризиками
179. Кредитна спілка запроваджує культуру управління ризиками з метою поширення обізнаності щодо ризиків, ризик-апетиту, стратегії управління ризиками на всіх організаційних рівнях, що сприяє:
1) усвідомленню ризик-апетиту та пов’язаних із ним лімітів ризиків (включаючи ліміти ризиків, встановлені для окремих підрозділів кредитної спілки та в межах таких підрозділів);
2) послідовному впровадженню системи управління ризиками в усіх підрозділах / функціях кредитної спілки;
3) підтримці своєчасного вимірювання (оцінки) та інформуванню про нові ризики, які можуть бути суттєвими для кредитної спілки.
180. Підрозділ з управління ризиками / головний ризик-менеджер, підрозділ комплаєнсу / головний комплаєнс-менеджер забезпечують розроблення та контроль за дотриманням:
1) кодексу поведінки (етики);
2) політики виявлення, запобігання та управління конфліктами інтересів.
181. Кодекс поведінки (етики), який є документом, що затверджується радою, повинен визначати:
1) загальнообов’язкові норми поведінки для керівників та інших працівників кредитної спілки (включно з наведенням випадків неприйнятної поведінки в кредитній спілці), а також відповідальність за порушення цих норм;
2) заборону щодо надання послуг чи консультацій клієнтам та контрагентам, спрямованих на порушення законодавства України;
3) вимоги щодо дотримання культури управління ризиками;
4) заходи щодо запобігання порушенню прав споживачів фінансових послуг, відповідних вимог законодавства України щодо захисту їх прав;
5) гарантії рівності у відносинах між кредитною спілкою та її членами, клієнтами, працівниками, постачальниками та конкурентами;
6) підходи щодо прозорої та відповідальної взаємодії з органами державної влади, контролюючими органами та їх посадовими особами, посадовими особами клієнтів і контрагентів (включно з описом процедури щодо запобігання корупційним діям та хабарництву);
7) принципи оброблення, зберігання та розповсюдження конфіденційної та інсайдерської інформації, персональних даних.
Кодекс поведінки (етики) може визначати інші норми, політику чи обмеження додатково до встановлених у підпунктах 1-7 пункту 181 глави 17 розділу IV цього Положення.
182. Рада зобов’язана у визначеному нею порядку вживати заходів щодо запобігання виникненню конфлікту інтересів у кредитній спілці та сприяти врегулюванню таких конфліктів.
183. Рада документує та затверджує політику виявлення, запобігання та управління конфліктами інтересів, яка поширюється на всіх працівників кредитної спілки та може містити:
1) організаційні механізми, які визначають повноваження та відповідальність посадових осіб, відповідальних за виявлення, запобігання та управління конфліктами інтересів;
2) обов’язки керівників, ключових осіб та працівників кредитної спілки щодо виявлення, запобігання та управління конфліктами інтересів;
3) процедуру перевірки керівників, ключових осіб кредитної спілки до початку виконання ними посадових обов’язків для запобігання виникненню конфлікту інтересів унаслідок їх виконання;
4) обставини, що свідчать або можуть свідчити про наявність конфлікту інтересів;
5) обов’язок керівників, ключових осіб та працівників кредитної спілки повідомляти про обставини, що можуть спричинити або вже спричинили конфлікт інтересів, і процедуру такого повідомлення;
6) обов’язок посадової особи кредитної спілки, яка прямо чи опосередковано має або може мати приватний інтерес у правочині, який вчиняється кредитною спілкою, повідомляти кредитну спілку про це в такому порядку:
письмово повідомляються всі члени ради, якщо такою посадовою особою є голова ради;
письмово повідомляється голова ради, якщо такою посадовою особою є член ради;
письмово повідомляється голова ради, якщо такою посадовою особою є голова або член правління (одноосібний виконавчий орган);
письмово повідомляються голова ради та голова правління кредитної спілки (одноосібний виконавчий орган), якщо такою посадовою особою є посадова особа інша, ніж зазначена в абзацах другому - четвертому підпункту 6 пункту 183 глави 17 розділу IV цього Положення, або якщо поручителем та/або солідарним боржником за кредитом члена кредитної спілки є асоційована особа керівника кредитної спілки, головного внутрішнього аудитора, головного ризик-менеджера, головного комплаєнс-менеджера, керівника або члена комітету ради, кредитного комітету, інших комітетів виконавчого органу, інших посадових осіб кредитної спілки;
7) процедуру розгляду відповідним органом управління кредитної спілки отриманої інформації про потенційний або реальний конфлікт інтересів, визначення впливу цього конфлікту інтересів на профіль ризику кредитної спілки та прийняття рішення про вжиття відповідних заходів;