2) перевірку правильності ведення та достовірності бухгалтерського обліку, фінансової та регуляторної звітності, що складається надавачем фінансових платіжних послуг, їх повноти та вчасності надання, включаючи подання таких звітів до Національного банку, органів державної влади та органів управління надавача фінансових платіжних послуг, які в межах компетенції здійснюють нагляд за діяльністю надавача фінансових платіжних послуг;
3) оцінку надійності, ефективності та цілісності управління інформаційними системами надавача фінансових платіжних послуг;
4) річне планування завдань підрозділу внутрішнього аудиту, включаючи складання та виконання плану проведення внутрішніх аудиторських перевірок надавача фінансових платіжних послуг;
5) реалізацію завдань згідно із затвердженим планом проведення внутрішніх аудиторських перевірок надавача фінансових платіжних послуг;
6) проведення планового та позапланового внутрішнього аудиту надавача фінансових платіжних послуг;
7) подання керівникам структурних підрозділів (учасникам процесів, які підлягали внутрішній аудиторській перевірці надавача фінансових платіжних послуг), виконавчому органу та раді звітів за результатами проведення внутрішніх аудиторських перевірок та повідомлення про виявлені під час проведення такого внутрішнього аудиту порушення, недоліки та ризики, а також надані рекомендації за результатами проведеного внутрішнього аудиту для прийняття ними відповідних організаційних (коригувальних) заходів;
8) моніторинг виконання структурними підрозділами надавача фінансових платіжних послуг рекомендацій;
9) подання відповідальному органу не рідше ніж один раз на рік інформації (звіт) про стан реалізації, включаючи невиконання, виконавчим органом та керівниками структурних підрозділів надавача фінансових платіжних послуг рекомендацій (пропозицій) з усунення порушень і недоліків у діяльності надавача фінансових платіжних послуг, виявлених за результатами внутрішнього аудиту;
10) складання та подання відповідальному органу звіту про виконання річного плану проведення аудиторських перевірок надавача фінансових платіжних послуг із наданням підтвердження щодо організаційної незалежності підрозділу внутрішнього аудиту надавача фінансових платіжних послуг;
11) підготовку письмового повідомлення Національному банку в спосіб, визначений в пункті 230 глави 37 розділу VIII цього Положення, про виявлені під час проведення внутрішньої аудиторської перевірки випадки формування недостовірної фінансової та регуляторної звітності надавача фінансових платіжних послуг, порушення, недоліки, а також будь-які події в діяльності та роботі надавача фінансових платіжних послуг, які можуть негативно вплинути на платоспроможність надавача фінансових платіжних послуг, якщо виконавчий орган своєчасно не вжив заходів щодо усунення цих порушень та недоліків, а відповідальний орган не розглянув звернення головного внутрішнього аудитора щодо бездіяльності виконавчого органу та за результатами розгляду цього звернення не вжив відповідних заходів;
12) виявлення сфер потенційних збитків для надавача фінансових платіжних послуг, сприятливих умов для шахрайства, зловживань і незаконного присвоєння активів надавача фінансових платіжних послуг;
13) взаємодію із зовнішніми аудиторами, органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю надавача фінансових платіжних послуг, включаючи взаємодію з Національним банком;
14) аналіз висновків зовнішніх аудиторів та здійснення моніторингу виконання рекомендацій зовнішніх аудиторів;
15) взаємодію з іншими підрозділами надавача фінансових платіжних послуг у сфері організації контролю і моніторингу системи управління надавача фінансових платіжних послуг;
16) участь у службових розслідуваннях та інформування ради і виконавчого органу про результати таких розслідувань;
17) розроблення та впровадження програм оцінки і підвищення якості внутрішнього аудиту;
18) забезпечення безперервності роботи підрозділу внутрішнього аудиту надавача фінансових платіжних послуг та проведення внутрішнього аудиту відповідно до вимог, визначених у главі 20 розділу V цього Положення, інших нормативно-правових актів Національного банку, положення про внутрішній аудит надавача фінансових платіжних послуг;
19) забезпечення безперервності професійної підготовки та навчання головного внутрішнього аудитора, працівників підрозділу внутрішнього аудиту надавача фінансових платіжних послуг (не рідше двох разів на рік), включаючи проходження відповідного навчання в навчальних закладах, що надають послуги з підвищення кваліфікації внутрішніх аудиторів, включаючи вивчення теорії та практики застосування міжнародних стандартів внутрішнього аудиту, освоєння принципів прогнозування та управління ризиками фінансової установи, запобігання шахрайству, методик проведення внутрішніх аудиторських перевірок;
20) забезпечення внутрішніх періодичних перевірок щодо дотримання надавачем фінансових платіжних послуг вимог законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення [включаючи вимоги щодо достатності вжитих надавачем фінансових платіжних послуг заходів з управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення].
115. Підрозділ внутрішнього аудиту під час виконання функції внутрішнього аудиту надавача фінансових платіжних послуг зобов’язаний:
1) не розголошувати та не використовувати конфіденційну інформацію, яка стала відома їм під час виконання функцій, на свою користь чи на користь третіх осіб та забезпечити збереження і своєчасне повернення одержаних від керівників або структурних підрозділів надавача фінансових платіжних послуг документів та інформації на всіх носіях;
2) не брати участі в створенні та організації, включаючи разом зі структурними підрозділами надавача фінансових платіжних послуг, будь-яких заходів та процесів, що забезпечують діяльність надавача фінансових платіжних послуг або сприймаються як такі, що впливають на неупередженість та об’єктивність внутрішніх аудиторів;
3) не брати участі в розробленні внутрішніх документів надавача фінансових платіжних послуг (крім випадків надання внутрішніми аудиторами консультаційних послуг, які передбачені функцією внутрішнього аудиту) та не візувати внутрішніх документів надавача фінансових платіжних послуг.
116. Головний внутрішній аудитор / працівники підрозділу внутрішнього аудиту надавача фінансових платіжних послуг під час виконання своїх функціональних обов’язків з метою реалізації функцій внутрішнього аудиту має / мають право:
1) отримувати необхідну інформацію та документи, які стосуються внутрішнього аудиту і є в надавача фінансових платіжних послуг;
2) ініціювати комунікацію / взаємодію з керівниками та з будь-якими працівниками надавача фінансових платіжних послуг, з керівниками структурних підрозділів надавача фінансових платіжних послуг, включаючи відокремлені підрозділи надавача фінансових платіжних послуг, що забезпечують здійснення діяльності з надання платіжних послуг, незалежно від їх місцезнаходження, отримувати доступ до будь-яких документів та інформації надавача фінансових платіжних послуг, його афілійованих осіб, архівів, даних і об’єктів надавача фінансових платіжних послуг, управлінської інформації, документів із прийняття рішень органами управління надавача фінансових платіжних послуг;
3) залучати за потреби працівників інших структурних підрозділів надавача фінансових платіжних послуг (за згодою керівників таких структурних підрозділів) та/або зовнішніх експертів, консультантів, аудиторів (за погодженням із радою) для виконання поставлених перед підрозділом внутрішнього аудиту завдань;
4) на безперешкодний доступ до інформаційних систем надавача фінансових платіжних послуг та до всіх приміщень надавача фінансових платіжних послуг, а також до приміщень, що використовуються для зберігання документів, матеріальних цінностей, на отримання інформації, яка зберігається в паперовій формі та на електронних носіях;
5) отримувати необхідні пояснення в письмовій чи усній формі від працівників надавача фінансових платіжних послуг з питань, що виникають під час проведення внутрішньої аудиторської перевірки та за її результатами;
6) робити копії з наданих для перевірки документів (у разі надання їх на паперових носіях), робити копії електронних документів, що зберігаються на електронних носіях та є необхідними для проведення аудиторської перевірки;
7) уносити на розгляд ради пропозиції щодо вдосконалення діяльності підрозділу внутрішнього аудиту.
117. Головний внутрішній аудитор зобов’язаний вести облік і зберігати документи та інші матеріальні носії, що містять інформацію, зібрану під час проведення внутрішнього аудиту в надавачі фінансових платіжних послуг, інформацію про всі перевірені сфери, виявлені проблеми та надані рекомендації надавачу фінансових платіжних послуг протягом семи років з дати їх складання / затвердження для забезпечення підтвердження ефективності здійснення функції внутрішнього аудиту в надавачі фінансових платіжних послуг.
21. Положення про внутрішній аудит надавача фінансових платіжних послуг
118. Надавач фінансових платіжних послуг розробляє та періодично (не рідше одного разу на рік) переглядає положення про внутрішній аудит надавача фінансових платіжних послуг, яке затверджується відповідальним органом і яке не може суперечити вимогам Закону про платіжні послуги, Закону про фінансові компанії та цього Положення.
119. Положення про внутрішній аудит надавача фінансових платіжних послуг переглядається відповідальним органом.
120. Положення про внутрішній аудит надавача фінансових платіжних послуг документально закріплює процес здійснення функції внутрішнього аудиту та враховує вимоги цього Положення.
22. Оформлення результатів внутрішнього аудиту
121. Підрозділ внутрішнього аудиту за результатами проведеної роботи готує та подає відповідальному органу два рази на рік протягом 15 днів місяця, наступного за звітним періодом (пів року):
1) звіт про діяльність підрозділу внутрішнього аудиту;
2) аудиторський звіт за результатами внутрішнього аудиту;
3) інші документи за результатами внутрішнього аудиту і пропозиції щодо усунення виявлених порушень та підвищення ефективності процесів управління та контролю надавача фінансових платіжних послуг.
122. В аудиторському звіті за результатами внутрішнього аудиту викладаються виявлені недоліки в діяльності надавача фінансових платіжних послуг, порушення надавачем фінансових платіжних послуг вимог законодавства України, причини, що зумовили такі недоліки та/або порушення, пропозиції щодо їх усунення.
123. Аудиторський звіт про результати проведення внутрішньої аудиторської перевірки надавача фінансових платіжних послуг складається з урахуванням вимог стандартів внутрішнього аудиту, підписується (власноруч або електронним підписом) внутрішнім аудитором (працівником підрозділу внутрішнього аудиту), який безпосередньо виконував перевірку, та головним внутрішнім аудитором надавача фінансових платіжних послуг.
124. Аудиторський звіт за результатами внутрішнього аудиту надається керівникам структурних підрозділів, які підлягали аудиту, виконавчому органу та раді для вжиття своєчасних і належних організаційних (коригувальних) заходів.
125. Процес моніторингу (відстеження) підрозділом внутрішнього аудиту надавача фінансових платіжних послуг результатів внутрішніх аудиторських перевірок починається після підписання / затвердження аудиторського звіту та закінчується після виконання усіх наданих рекомендацій (пропозицій).
126. Відсутність подальшого моніторингу (відстеження) результатів внутрішніх аудиторських перевірок встановлюється шляхом підтвердження керівником підрозділу внутрішнього аудиту надавача фінансових платіжних послуг виконання об’єктом аудиту всіх та повною мірою рекомендацій (пропозицій), що надавалися за результатами аудиту.
VI. Система управління ризиками
23. Загальні засади побудови системи управління ризиками
127. Система управління ризиками надавача фінансових платіжних послуг повинна забезпечувати виявлення, вимірювання, моніторинг, контроль, звітування та мінімізацію (зниження до контрольованого рівня) таких суттєвих ризиків, на які наражається надавач фінансових платіжних послуг, як наявні (реалізовані, поточні), так і потенційні (нереалізовані):
1) операційного ризику, включаючи такі складові, як кіберризики та ризики безпеки;
2) комплаєнс-ризику.
128. Надавач фінансових платіжних послуг має право розширювати перелік суттєвих видів ризиків, визначений у пункті 127 глави 23 розділу VI цього Положення, самостійно встановлювати критерії, за якими визначатиметься суттєвість інших видів ризиків діяльності надавача фінансових платіжних послуг, з урахуванням складності, обсягів, видів, характеру здійснюваних надавачем фінансових платіжних послуг операцій, організаційної структури та профілю ризику надавача фінансових платіжних послуг і визначати порядок виявлення таких ризиків. До таких ризиків можуть належати: кредитний ризик, ризик ліквідності, ринковий ризик, ризик контрагента.
129. Надавач фінансових платіжних послуг створює комплексну, адекватну та ефективну систему управління ризиками, яка повинна відповідати таким принципам:
1) ефективність - забезпечення об’єктивної оцінки розміру ризиків надавача фінансових платіжних послуг та повноти заходів щодо управління ризиками з оптимальним використанням фінансових ресурсів, персоналу та інформаційних систем щодо управління ризиками надавача фінансових платіжних послуг;
2) своєчасність - забезпечення своєчасного (на ранній стадії) виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення всіх видів ризиків на всіх організаційних рівнях;
3) структурованість - чіткий розподіл функцій, обов’язків і повноважень з управління ризиками між усіма підрозділами і працівниками надавача фінансових платіжних послуг та їх відповідальності згідно з таким розподілом;
4) розмежування обов’язків (відокремлення функції контролю від здійснення операцій надавача фінансових платіжних послуг) - уникнення ситуації, за якої одна й та сама особа здійснює операції надавача фінансових платіжних послуг та виконує функції контролю;
5) усебічність та комплексність - охоплення всіх видів діяльності надавача фінансових платіжних послуг на всіх рівнях та в усіх його підрозділах, оцінка взаємного впливу ризиків;
6) пропорційність - відповідність системи управління ризиками розміру надавача фінансових платіжних послуг, складності, обсягам, видам, характеру здійснюваних надавачем фінансових платіжних послуг операцій за видами платіжних послуг, включених до ліцензії на надання платіжних послуг, організаційній структурі та профілю ризику надавача фінансових платіжних послуг;
7) незалежність - свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс) своїх функцій;
8) конфіденційність - обмеження доступу до інформації, яка має бути захищеною від несанкціонованого ознайомлення;
9) постійне вдосконалення - постійне поліпшення процедур управління ризиками, моделей та інструментів ідентифікації та вимірювання ризиків, включаючи бек-тестування.
130. Ефективна, комплексна та адекватна система управління ризиками надавача фінансових платіжних послуг повинна містити:
1) організацію системи управління ризиками, яка ґрунтується на застосуванні моделі трьох ліній захисту, забезпечує чіткий розподіл функцій, обов’язків і повноважень з управління ризиками між усіма суб’єктами системи управління ризиками, а також між працівниками надавача фінансових платіжних послуг і передбачає їх відповідальність згідно з таким розподілом;
2) культуру управління ризиками та кодекс поведінки (етики);
3) внутрішні документи з питань управління ризиками;
4) інформаційну систему щодо управління ризиками та звітування;
5) інструменти для ефективного управління ризиками.
131. Суб’єктами системи управління ризиками надавача фінансових платіжних послуг є:
1) відповідальний орган;
2) комітети ради;
3) виконавчий орган;
4) бізнес-підрозділи, підрозділи підтримки або особи, на яких покладено виконання функцій відповідних підрозділів;
5) підрозділ з управління ризиками / головний ризик-менеджер та підрозділ контролю за дотриманням норм (комплаєнс) / головний комплаєнс-менеджер;
6) підрозділ внутрішнього аудиту / головний внутрішній аудитор;
7) керівники та працівники надавача фінансових платіжних послуг, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішніми документами, та не входять до складу органів і підрозділів надавача фінансових платіжних послуг, зазначених у підпунктах 1-6 пункту 131 глави 23 розділу VI цього Положення.
132. Надавач фінансових платіжних послуг зобов’язаний здійснювати вимірювання (оцінку) ризиків відповідно до вимог глави 27 розділу VI цього Положення та з урахуванням взаємозв’язку ризиків і впливу окремого ризику на інші ризики, що притаманні діяльності надавача фінансових платіжних послуг.
Вимірювання ризиків, проведене надавачем фінансових платіжних послуг, повинно бути задокументовано, включаючи детальний опис та пояснення ризиків, що охоплюються вимірюванням, використані підходи, а також ключові судження та припущення, зроблені під час такого вимірювання.
133. Система управління ризиками надавача фінансових платіжних послуг може передбачати вимірювання ризиків за новими платіжними продуктами та значними змінами в діяльності надавача фінансових платіжних послуг до початку їх упровадження, включаючи зміни в реалізації платіжних продуктів, зміни в системі управління надавача фінансових платіжних послуг.
134. Надавач фінансових платіжних послуг у своїй системі управління ризиками зобов’язаний передбачити процеси та інструменти для моніторингу ризиків, що дають змогу своєчасно виявляти ризики та адекватно управляти ними.
135. Надавач фінансових платіжних послуг у своїй системі управління ризиками зобов’язаний передбачити методи (інструменти) управління виявленими ризиками в межах підходів до управління ризиками. Такими методами управління ризиками можуть бути:
1) прийняття ризику;
2) передавання ризику;
3) пом’якшення або зниження ризику;
4) уникнення ризику;
5) інші методи, доступні для застосування надавачем фінансових платіжних послуг.
136. Надавач фінансових платіжних послуг у своїй системі управління ризиками зобов’язаний передбачити порядок звітування про ризики, загальну оцінку ризиків та пов’язані з ними плани дій раді та керівникам надавача фінансових платіжних послуг залежно від обставин. Процедура ескалації ризиків надавача фінансових платіжних послуг, зазначена в підпункті 7 пункту 147 глави 24 розділу VI цього Положення, повинна давати змогу звітувати про проблеми, пов’язані з ризиками, у межах періодичної звітності, а також поза періодичною звітністю для термінових питань. Діяльність надавача фінансових платіжних послуг, що виходить за межі затвердженого ризик-апетиту, лімітів ризиків, повинна бути предметом відповідного аналізу та вимагати відповідного схвалення радою або іншим визначеним радою органом.
24. Внутрішні документи надавача фінансових платіжних послуг з питань системи управління ризиками
137. Надавач фінансових платіжних послуг у межах системи управління ризиками розробляє і впроваджує внутрішні документи з питань управління ризиками з урахуванням вимог Закону про платіжні послуги та цього Положення.
138. Надавач фінансових платіжних послуг розробляє внутрішні документи у формі стратегій, політики, положень, процедур, які документально закріплюють процес управління ризиками та враховують вимоги цього Положення.
139. Надавач фінансових платіжних послуг зобов’язаний мати затверджені відповідальним органом такі внутрішні документи в межах системи управління ризиками:
1) стратегію управління ризиками;
2) декларацію схильності до ризиків;
3) політику управління ризиками, включаючи ліміти ризиків, розподіл повноважень щодо прийняття ризиків, та політику управління окремими видами ризиків у випадках, визначених цим Положенням;
4) порядки та процедури управління ризиками у випадках, визначених цим Положенням.
140. Надавач фінансових платіжних послуг має право використовувати у своїй діяльності внутрішні положення / процедури фінансової групи щодо управління ризиками, якщо такий надавач фінансових платіжних послуг входить до визнаної Національним банком фінансової групи, за умови відповідності таких документів вимогам цього Положення.
141. Відповідальний орган здійснює контроль за дотриманням внутрішніх документів, визначених у пункті 139 глави 24 розділу VI цього Положення, з урахуванням вимог цього Положення.
142. Надавач фінансових платіжних послуг має право об’єднувати окремі внутрішні документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.
143. Внутрішні документи з питань управління ризиками повинні визначати також порядок взаємодії між усіма організаційними рівнями надавача фінансових платіжних послуг, включаючи керівників надавача фінансових платіжних послуг.
144. Надавач фінансових платіжних послуг своєчасно та періодично переглядає (не рідше одного разу на рік) та оновлює (актуалізує) внутрішні документи з питань управління ризиками з урахуванням змін у законодавстві України, дія яких поширюється на надавача фінансових платіжних послуг, змін у профілі ризиків надавача фінансових платіжних послуг, а також з урахуванням інших внутрішніх чи зовнішніх подій та/або обставин.
Зміни в системі управління ризиками надавача фінансових платіжних послуг, а також причини таких змін повинні бути задокументовані і підлягають затвердженню відповідальним органом. Внутрішні документи з питань управління ризиками надавача фінансових платіжних послуг повинні бути доступними для внутрішнього аудиту, зовнішнього аудиту та Національного банку для проведення ними відповідних оцінок ефективності системи управління ризиками.
145. Стратегія управління ризиками надавача фінансових платіжних послуг обов’язково повинна містити:
1) основні цілі управління ризиками;
2) перелік суттєвих ризиків із зазначенням видів операцій, які генерують ці ризики;
3) принципи та підходи щодо визначення прийнятного співвідношення дохідності та ризиків;
4) загальні принципи управління ризиками.
146. Декларація схильності до ризиків визначає:
1) рівень ризик-апетиту, який повинен узгоджуватись із загальною стратегією (стратегією розвитку) надавача фінансових платіжних послуг та впроваджуватися в його діяльність;
2) види ризиків, щодо яких надавач фінансових платіжних послуг прийняв рішення про доцільність / необхідність їх утримання з метою досягнення його стратегічних цілей та виконання плану діяльності надавача фінансових платіжних послуг;
3) види ризиків, яких надавач фінансових платіжних послуг повинен уникати.
147. Політика управління ризиками (крім комплаєнс-ризику) надавача фінансових платіжних послуг повинна містити:
1) визначення та класифікацію ризиків, включаючи інші визначені надавачем фінансових платіжних послуг суттєві ризики, притаманні діяльності надавача фінансових платіжних послуг, за видами ризиків;
2) перелік видів ризиків;
3) процеси та інструменти щодо виявлення, вимірювання (оцінки), моніторингу, контролю та звітування щодо ризиків, включаючи критерії суттєвості, що застосовуються надавачем фінансових платіжних послуг до нових ризиків, порядок їх виявлення та пом’якшення;
4) ліміти ризиків за визначеними надавачем фінансових платіжних послуг видами ризиків відповідно до ризик-апетиту надавача фінансових платіжних послуг та порядок контролю за їх дотриманням;
5) методи, інструменти, положення, методичні вказівки, ключові припущення та обмеження в управлінні ризиками;
6) зміст та форму звітності щодо ризиків, порядок і періодичність / терміни її надання користувачам;
7) процедуру ескалації ризиків, що встановлює порядок інформування ради, комітету з управління ризиками, виконавчого органу про порушення лімітів ризиків, ризик-апетиту;
8) процес погодження з радою змін до стратегії управління ризиками, декларації схильності до ризику, лімітів ризиків;
9) положення, що регламентують діяльність підрозділу з управління ризиками, з урахуванням вимог, установлених у главі 25 розділу VI цього Положення:
організаційну структуру підрозділу з управління ризиками (у разі його створення);
розподіл обов’язків, повноважень учасників системи управління ризиками та їх відповідальності щодо управління ризиками, що є добре інтегрованим в організаційну структуру надавача фінансових платіжних послуг та в процеси прийняття рішень;
порядок звітування перед радою;
10) підходи щодо здійснення стрес-тестування у випадках, визначених цим Положенням.
148. Надавач фінансових платіжних послуг має право включити до політики управління ризиками інші положення щодо управління ризиками додатково до встановлених у пункті 147 глави 24 розділу VI цього Положення, які не суперечать вимогам цього Положення.
149. Політика управління ризиками надавача фінансових платіжних послуг повинна відображати зв’язок системи управління ризиками із загальною системою корпоративного управління надавача фінансових платіжних послуг та його корпоративною культурою.
150. Надавач фінансових платіжних послуг зобов’язаний запровадити культуру управління ризиками з метою просування обізнаності членів ради та членів колегіального виконавчого органу, а також інших працівників надавача фінансових платіжних послуг (включаючи осіб, які виконують функції або окремі завдання та процеси в межах функцій на аутсорсингу) щодо ризиків, ризик-апетиту, стратегії управління ризиками на всіх організаційних рівнях, що сприяє:
1) усвідомленню ризик-апетиту та пов’язаних із ним лімітів ризиків (включаючи ліміти ризиків, установлені для окремих підрозділів надавача фінансових платіжних послуг та в межах таких підрозділів);
2) послідовному впровадженню системи управління ризиками в усіх підрозділах / функціях надавача фінансових платіжних послуг;
3) підтриманню своєчасного (своєчасної) вимірювання (оцінки) та інформуванню про нові ризики, які можуть бути суттєвими для надавача фінансових платіжних послуг.
151. Надавач фінансових платіжних послуг зобов’язаний дотримуватися положень та вимог внутрішніх документів, що регулюють діяльність з управління ризиками.
25. Функція управління ризиками надавача фінансових платіжних послуг
152. Надавач фінансових платіжних послуг з метою впровадження системи управління ризиками зобов’язаний забезпечити створення та ефективне виконання функції управління ризиками. Підрозділ з управління ризиками забезпечує виконання функції з управління ризиками відповідно до вимог Закону про платіжні послуги та цього Положення.
153. Підрозділ з управління ризиками діє на підставі положення, що затверджується відповідальним органом, і підпорядковується головному ризик-менеджеру (у разі створення окремого підрозділу з управління ризиками). Головний ризик-менеджер підпорядковується відповідальному органу та звітує перед ним.
154. Головний ризик-менеджер несе відповідальність за виконання функцій підрозділом з управління ризиками.
155. Головний ризик-менеджер повинен відповідати вимогам щодо професійної придатності та ділової репутації, визначеним Положенням про авторизацію надавачів фінансових платіжних послуг.
156. Функція з управління ризиками передбачає:
1) забезпечення практичних заходів з ефективного функціонування системи управління ризиками, просування та підтримання культури управління ризиками;
2) сприяння впровадженню системи управління ризиками, надання допомоги керівникам надавача фінансових платіжних послуг та іншим підрозділам надавача фінансових платіжних послуг з метою ефективного функціонування системи управління ризиками в надавачі фінансових платіжних послуг;
3) здійснення моніторингу системи управління ризиками;
4) забезпечення своєчасного виявлення, вимірювання (оцінки), моніторингу, контролю та звітування щодо ризиків, визначених у політиці управління ризиками надавача фінансових платіжних послуг, та нових ризиків (потенційних, поки не виявлених), включаючи ризики, що виникають у зв’язку з політикою винагороди та іншими заохоченнями;
5) розроблення та підтримання в актуальному стані методик, інструментів та моделей, що використовуються надавачем фінансових платіжних послуг для вимірювання (оцінки) ризиків;
6) забезпечення моніторингу, контролю за наближенням величини ризиків до лімітів ризиків, надання рекомендацій раді та виконавчому органу та/або ініціювання рішень уповноважених органів щодо вжиття заходів для попередження їх порушень, пом’якшення ризиків та/або їх уникнення;
7) підготовку та подання звітів щодо ризиків раді, комітетам ради, виконавчому органу та іншим користувачам, які приймають рішення відповідно до внутрішніх документів з питань системи управління ризиками, та консультування керівників надавача фінансових платіжних послуг з питань управління ризиками, включаючи стратегічні питання;
8) складання профілю ризиків надавача фінансових платіжних послуг та здійснення його моніторингу;
9) забезпечення координації роботи з питань управління ризиками між структурними підрозділами / працівниками надавача фінансових платіжних послуг;
10) розроблення, участь у розробленні внутрішніх документів з питань управління ризиками;
11) інформування ради, комітету з управління ризиками та виконавчого органу щодо порушень лімітів ризиків, ризик-апетиту надавача фінансових платіжних послуг;
12) виконання завдань, визначених у внутрішніх документах надавача фінансових платіжних послуг (включаючи стратегію управління ризиками, політику управління ризиками);
13) забезпечення безперервності роботи підрозділу з управління ризиками надавача фінансових платіжних послуг.
157. Функція управління ризиками може передбачати виконання інших завдань і процедур, які не суперечать вимогам цього Положення.
158. Підрозділ з управління ризиками виконує покладену на нього функцію шляхом розроблення та контролю за впровадженням і виконанням вимог законодавства України, внутрішніх положень і процедур управління ризиками відповідно до стратегії та політики управління ризиками (включаючи ліміти ризиків), декларації схильності до ризиків.
26. Ліміти ризиків
159. Рада в межах системи управління ризиками має право делегувати комітету з управління ризиками, іншому визначеному радою органу повноваження щодо погодження на здійснення операцій, що призводять до перевищення лімітів ризиків. Система управління ризиками в разі такого делегування повинна передбачати затвердження радою процедури контролю за використанням таких делегованих повноважень. Така процедура повинна обов’язково містити:
1) види ризиків, щодо яких дозволяються допустимі перевищення;
2) максимальний обсяг допустимих перевищень;
3) вимоги до документування рішення щодо допустимого перевищення;
4) порядок інформування ради щодо допустимих перевищень.
160. Надавач фінансових платіжних послуг має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків, включаючи значення лімітів ризиків в абсолютних значеннях та/або у відсотках до інших його показників (загального розміру активів, загальної суми зобов’язань, інших показників).
161. Надавач фінансових платіжних послуг накопичує інформацію щодо перевищення лімітів ризиків, на які отримано дозвіл у визначеному у внутрішніх документах надавача фінансових платіжних послуг (далі - допустимі перевищення), та порушень лімітів ризиків.
162. Відповідальний орган або орган, визначений статутом надавача фінансових платіжних послуг, проводить позачерговий перегляд значень лімітів ризиків, якщо допустимі перевищення або порушення лімітів ризиків є частими або постійними відповідно до внутрішніх документів. Результатом такого перегляду можуть бути:
1) перегляд значень діючих лімітів ризиків;
2) перегляд делегованих повноважень щодо допустимих перевищень;
3) залишення значень лімітів ризиків без змін і затвердження плану заходів щодо запобігання їх подальшому перевищенню / порушенню.
27. Вимірювання ризиків
163. Надавач фінансових платіжних послуг для вимірювання (оцінки) ризиків зобов’язаний використовувати дані, що є достовірними, повними та точними.
164. Надавач фінансових платіжних послуг зобов’язаний оцінювати якісні і кількісні показники ризиків.
165. Надавач фінансових платіжних послуг зобов’язаний використовувати ефективні моделі та інструменти для вимірювання (оцінки) ризиків.
Надавач фінансових платіжних послуг під час обрання моделей та інструментів вимірювання (оцінки) ризиків ураховує:
1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;
2) потреби надавача фінансових платіжних послуг для здійснення своєї діяльності.
Обрання моделей та інструментів вимірювання (оцінки) ризиків здійснюється особами, які мають відповідний досвід та кваліфікацію.
166. Структура та модель даних щодо ризиків повинна бути деталізованою, а саме: надавати можливість здійснення ідентифікації та вимірювання ризиків, а також оцінки якості роботи моделей, інструментів з урахуванням особливостей діяльності надавача фінансових платіжних послуг, рівня складності, обсягу операцій, профілю ризику.
167. Надавач фінансових платіжних послуг забезпечує своєчасну актуалізацію даних, що використовуються для розрахунку величини ризиків, та здійснює перевірку їх достовірності, повноти, точності та відповідності, а також здійснює перегляд (не рідше ніж один раз на рік) ефективності застосовуваних ним моделей та інструментів оцінки ризиків.
168. Надавач фінансових платіжних послуг з метою вимірювання (оцінки) ризиків та визначення своєї спроможності протистояти факторам ризиків, на які такий надавач фінансових платіжних послуг наражається під час своєї діяльності або які можуть виникнути надалі, зобов’язаний здійснювати стрес-тестування та самостійно встановлювати їх наповнення, перелік ризиків, за якими здійснює стрес-тестування, методи, порядок та частоту їх проведення.
169. Надавач фінансових платіжних послуг регулярно (не рідше ніж один раз на рік) проводить бек-тестування моделей та/або інструментів оцінки ризиків шляхом порівняння фактичних даних з результатами, отриманими за допомогою моделі та/або інструменту. Надавач фінансових платіжних послуг має право не здійснювати бек-тестування моделей та/або інструментів оцінки ризиків за умови формування судження щодо недостатності історичних даних щодо таких моделей та інструментів.
28. Інформування та звітування з питань управління ризиками
170. Надавач фінансових платіжних послуг з метою виявлення, вимірювання (оцінки) ризиків, інформування про ризики, на які наражається надавач фінансових платіжних послуг, моніторингу та аналізу ефективності системи управління ризиками:
1) забезпечує агрегування даних щодо ризиків надавача фінансових платіжних послуг, оперативне та коректне вимірювання (оцінку) ризиків;
2) розробляє процедури обробки та агрегування даних щодо ризиків, формування звітності, політику конфіденційності та збереження такої інформації, а також доступу до неї.
171. Звітність про ризики надавача фінансових платіжних послуг повинна містити актуальну інформацію про ризики, своєчасно надаватися комітетам ради, відповідальному органу, виконавчому органу та іншим користувачам, які приймають рішення, та забезпечувати повне розуміння ними ситуації щодо рівня ризиків надавача фінансових платіжних послуг для прийняття своєчасних та адекватних управлінських рішень.
172. Уповноважені підрозділи / працівники надавача фінансових платіжних послуг складають звітність про ризики, яка повинна бути:
1) точною, вивіреною та достовірно відображати рівень прийнятого надавачем фінансових платіжних послуг ризику;
2) комплексною - охоплювати всі види ризиків надавача фінансових платіжних послуг, визначені політикою управління ризиками надавача фінансових платіжних послуг;
3) чіткою та інформативною - надавати чітку та однозначну інформацію, бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень;
4) періодичною та поширеною серед користувачів звітності про ризики із забезпеченням конфіденційності.
173. Відповідальний орган або орган, визначений статутом надавача фінансових платіжних послуг, комітети ради, виконавчий орган встановлюють періодичність складання та подання звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Періодичність подання звітності про ризики повинна бути не меншою ніж:
1) один раз на квартал для узагальнених звітів про ризики;
2) один раз на рік для детальних звітів про ризики.
174. Надавач фінансових платіжних послуг в узагальненому звіті про ризики зобов’язаний розкривати інформацію в розрізі кожного виду ризику (крім комплаєнс-ризику), визначеного відповідно до пунктів 127, 128 глави 23 розділу VI цього Положення, та обов’язково містити інформацію про:
1) узагальнені дані подій за видами ризиків, аналізу їх динаміки;
2) зміни до профілю ризиків надавача фінансових платіжних послуг, що відбулися;
3) дотримання встановленого ризик-апетиту та значень лімітів ризику;
4) виявлені нові ризики та результати їх вимірювання (оцінки);
5) результати вимірювання (оцінки) ризиків за новими продуктами, значними змінами в діяльності надавача фінансових платіжних послуг;
6) результати здійснення стрес-тестування (для операційного ризику);
7) пропозиції щодо застосування інструментів та методів для управління ризиками;
8) дотримання вимог внутрішніх документів з управління ризиками, включаючи інформацію щодо допустимих перевищень і порушень лімітів ризиків.
175. Надавач фінансових платіжних послуг у детальному(их) звіті (звітах) про ризики зобов’язаний розкривати інформацію в розрізі кожного виду ризику (крім комплаєнс-ризику), визначеного відповідно до пунктів 127, 128 глави 23 розділу VI цього Положення, та, крім інформації, зазначеної в пункті 174 глави 28 розділу VI цього Положення, повинен обов’язково містити таку інформацію:
1) результати оцінки профілю ризиків, які повинні містити опис видів ризиків, на які наражався надавач фінансових платіжних послуг протягом звітного періоду, та видів ризиків, що очікуються протягом періоду бізнес-планування надавача фінансових платіжних послуг, спосіб управління ризиками та якісну і кількісну інформацію за результатами вимірювання (оцінки) ризиків за кожним видом ризику;
2) результати здійснення стрес-тестування, методів і припущень, що були використані для стрес-тестування, аналізу чутливості до ризиків, якщо такий аналіз здійснювався;
3) опис заходів, що використовуються для вимірювання (оцінки) ризиків, включаючи будь-які суттєві зміни протягом звітного періоду;
4) опис методів та інструментів, що використовуються для управління ризиками, процесів моніторингу ефективності таких методів та інструментів, а також інформацію про методи та інструменти, що надавач фінансових платіжних послуг розглядає для використання з метою управління ризиками протягом періоду бізнес-планування надавача фінансових платіжних послуг, а також обґрунтування і вплив таких методів та інструментів зниження ризиків;
5) огляд значних подій за видами ризиків, результатів дослідження їх причин і заходів щодо запобігання таким подіям надалі;
6) про суттєву концентрацію ризиків протягом звітного періоду та суттєву концентрацію ризиків, що очікуються протягом періоду бізнес-планування надавача фінансових платіжних послуг;
7) висновки та пропозиції щодо внесення змін до системи управління ризиками надавача фінансових платіжних послуг з метою вдосконалення процедур управління ризиками;
8) результати бек-тестування моделей та інструментів оцінки ризиків.
176. Надавач фінансових платіжних послуг зобов’язаний мати технічні можливості для формування іншої звітності про ризики, крім регулярної звітності, визначеної в пункті 173 глави 28 розділу VI цього Положення:
1) під час стресових ситуацій;
2) у разі зміни потреб щодо необхідної управлінської інформації;
3) у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів.
177. Підрозділ з управління ризиками в разі значного підвищення ризику (наближення фактичних показників ризику до встановлених значень лімітів ризику, ризик-апетиту або потенційного їх порушення, або суттєвої зміни профілю ризиків надавача фінансових платіжних послуг) не пізніше наступного робочого дня інформує про це комітет з управління ризиками, відповідальний орган, виконавчий орган з метою прийняття своєчасних та адекватних управлінських рішень у межах процедури ескалації ризиків.
29. Особливості управління окремими видами ризиків надавача фінансових платіжних послуг
178. Управління ризиками надавача фінансових платіжних послуг за напрямом управління комплаєнс-ризиком надавача фінансових платіжних послуг додатково до положень, визначених у главах 23, 24 розділу VI цього Положення, повинно передбачати:
1) заходи, яких зобов’язаний вживати надавач фінансових платіжних послуг для розподілу чітких обов’язків щодо регулярного виявлення, документування та моніторингу відповідних ризиків, пов’язаних із комплаєнс-ризиком;
2) ідентифікацію комплаєнс-ризику, якому піддається надавач фінансових платіжних послуг або може піддаватися, його аналіз та оцінку використовуваних інструментів, методів управління комплаєнс-ризиком;
3) процедури збору та моніторингу подій, пов’язаних із комплаєнс-ризиком;
4) заходи і внутрішні процеси управління комплаєнс-ризиком;
5) ліміти ризику щодо основних сфер комплаєнс-ризику надавача фінансових платіжних послуг.
179. Управління комплаєнс-ризиком надавача фінансових платіжних послуг може передбачати інші заходи, крім визначених у пункті 178 глави 29 розділу VI цього Положення, які не суперечать вимогам цього Положення.
180. Управління ризиками надавача фінансових платіжних послуг за напрямом управління іншими суттєвими ризиками, визначеними відповідно до пункту 128 глави 23 розділу VI цього Положення, повинно здійснюватися відповідно до вимог, визначених у пунктах 178, 179 глави 29 розділу VI цього Положення, що застосовуються до управління комплаєнс-ризиком надавача фінансових платіжних послуг.
181. Особливості управління операційним ризиком та його складовими визначено в розділі VII цього Положення.
VII. Управління операційним ризиком
30. Загальні підходи до управління операційним ризиком
182. Надавач фінансових платіжних послуг створює ефективну систему управління операційним ризиком, що має повністю інтегруватися в загальну систему управління ризиками надавача фінансових платіжних послуг.
183. Надавач фінансових платіжних послуг оцінює операційний ризик з урахуванням його взаємозв’язку та впливу на інші ризики, що притаманні діяльності надавача фінансових платіжних послуг.
184. Надавач фінансових платіжних послуг самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику. Перелік повинен обов’язково містити показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців, який обчислюється для кожного окремого календарного року.
31. Політика та процедури управління операційним ризиком
185. Надавач фінансових платіжних послуг розробляє та періодично переглядає (не рідше одного разу на рік) політику, порядок та процедури управління операційним ризиком та його складових з метою забезпечення їх ефективності та відповідності рівню ризик-апетиту до цього ризику.
186. Політика управління операційним ризиком може бути складовою політики управління ризиком надавача фінансових платіжних послуг або окремим документом і повинна містити:
1) мету, завдання та принципи управління операційним ризиком;
2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціоналу відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;
3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення операційного ризику;
4) критерії визначення значних подій операційного ризику, порядок їх дослідження та ескалації інформації щодо таких подій керівникам надавача фінансових платіжних послуг;
5) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);
6) підходи щодо здійснення стрес-тестування операційного ризику;
7) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо операційного ризику, порядок і періодичність / терміни їх надання суб’єктам системи управління ризиками;
8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв;
9) внутрішні правила щодо ефективного зниження та контролю за операційними ризиками, кіберризиками та ризиками безпеки, пов’язаними з наданням платіжних послуг (виконанням платіжних операцій), які повинні також містити процедури забезпечення безпеки виконання платіжних операцій, вжиття заходів з ідентифікації помилкових і неналежних платіжних операцій (суб’єктів таких платіжних операцій) та заходів із запобігання або припинення таких платіжних операцій, реагування на інциденти безпеки, здійснення моніторингу та ведення бази даних операційних інцидентів, кіберінцидентів та інцидентів безпеки, пов’язаних із наданням платіжних послуг (виконанням платіжних операцій).
187. Порядок та процедури управління операційним ризиком повинні обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення операційного ризику, включаючи інструменти / індикатори, що використовуються;
2) процедури контролю за повнотою та якістю даних про події операційного ризику, включаючи інструменти, що використовуються для такого контролю;
3) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-лініями;
4) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов’язаних із кредитним ризиком (за умови, що кошти для виконання платіжної операції надаються користувачу надавачем фінансових платіжних послуг на умовах кредиту);
5) критерії визначення груп пов’язаних операційних подій;
6) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;
7) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;
8) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком з метою уникнення їх дублювання;
9) порядок обміну інформацією між учасниками процесу управління операційним ризиком, включаючи види, форми і терміни надання інформації;
10) програму проведення стрес-тестування операційного ризику;
11) порядок складання та перевірки достовірності регуляторної звітності щодо операційного ризику, що подається до Національного банку.
188. Надавач фінансових платіжних послуг розробляє та впроваджує процедури контролю за повнотою та якістю даних про події операційного ризику надавача фінансових платіжних послуг, що передбачають:
1) розподіл обов’язків та відповідальності між підрозділами надавача фінансових платіжних послуг щодо контролю за повнотою та якістю даних про події операційного ризику надавача фінансових платіжних послуг під час їх збору, унесення до бази внутрішніх подій операційного ризику та подальшої перевірки;
2) заходи поточного (під час збору та внесення даних до бази внутрішніх подій операційного ризику) та подальшого контролю за повнотою та якістю даних про події операційного ризику, включаючи автоматизовані та/або ручні перевірки щодо того, що немає помилок та суперечливості даних, відповідності обліковим, фінансовим, статистичним даним та даним управлінської звітності надавача фінансових платіжних послуг.
189. Надавач фінансових платіжних послуг забезпечує управління операційним ризиком, дотримуючись моделі трьох ліній захисту.
32. Кіберризики та ризики безпеки
190. Надавач фінансових платіжних послуг створює ефективні механізми управління кіберризиками та ризиками безпеки як складовими операційного ризику під час провадження діяльності з надання платіжних послуг з урахуванням впливу на інші ризики, притаманні діяльності надавача фінансових платіжних послуг.
191. Система управління кіберризиками та ризиками безпеки повинна забезпечувати виявлення, вимірювання, моніторинг, контроль, звітування та мінімізацію (зниження до контрольованого рівня) таких ризиків, на які наражається надавач фінансових платіжних послуг, як наявних (реалізованих, поточних), так і потенційних (нереалізованих).
192. Відповідно до своєї системи управління кіберризиками та ризиками безпеки надавач фінансових платіжних послуг зобов’язаний мінімізувати вплив кіберризиків та ризиків безпеки шляхом застосування відповідних стратегій, політики, процедур, протоколів та інструментів, потрібних для належного та адекватного захисту інформаційної інфраструктури, включаючи програмне та апаратне забезпечення, сервери, а також для захисту всіх компонентів інфраструктури, таких як приміщення, центри обробки даних і виділені зони, щоб гарантувати, що інформаційна інфраструктура належним чином захищена від ризиків, включаючи пошкодження та несанкціонований доступ.