Важливі теми

Посилання скопійовано

Документ підготовлено в системі iplex

Про затвердження Положення про вимоги до системи управління надавача фінансових платіжних послуг

Національний банк України | Постанова, Звіт, Форма типового документа, Перелік, Положення від 10.10.2024 № 123

ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ

ПОСТАНОВА

10 жовтня 2024 року № 123

Про затвердження Положення про вимоги до системи управління надавача фінансових платіжних послуг

( Із змінами, внесеними згідно з Постановою Національного банку № 73 від 02.07.2025 )

Відповідно до статей 7, 15, 55-1, 56 Закону України "Про Національний банк України", статей 15, 19, 26, 66, 81 Закону України "Про платіжні послуги",статті 21 Закону України "Про фінансові послуги та фінансові компанії", з метою встановлення вимог до системи управління надавачів фінансових платіжних послуг Правління Національного банку України постановляє:

1. Затвердити Положення про вимоги до системи управління надавача фінансових платіжних послуг (далі - Положення), що додається.

2. Платіжні установи (крім малих платіжних установ), установи електронних грошей, оператори поштового зв’язку, які мають право надавати фінансові платіжні послуги, філії іноземних платіжних установ та філії іноземних установ електронних грошей (далі - надавачі фінансових платіжних послуг) зобов’язані привести свою діяльність у відповідність до вимог Положення у терміни, установлені в графіку, що додається.

3. Департаменту методології регулювання діяльності небанківських фінансових установ (Сергій Савчук) після офіційного опублікування довести до відома надавачів фінансових платіжних послуг інформацію про прийняття цієї постанови.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

Голова

А. ПИШНИЙ

Інд. 33

Додаток

до постанови Правління

Національного банку України

10 жовтня 2024 року № 123

Графік

приведення діяльності надавача фінансових платіжних послуг у відповідність до вимог Положення про вимоги до системи управління надавача фінансових платіжних послуг

№ з/п	Захід	Термін виконання
1	2	3
1	I. Перший етап - запровадження організаційних заходів
2	1. Приведення організаційної структури системи внутрішнього контролю у відповідність до вимог Положення про вимоги до системи управління надавача фінансових платіжних послуг (далі - Положення), включаючи:	До 15.11.2024
3	1) створення підрозділу контролю за дотриманням норм (комплаєнс) або покладення виконання відповідних функцій на відповідального працівника;
4	2) створення підрозділу з управління ризиками або покладення виконання відповідних функцій на відповідального працівника;
5	3) створення підрозділу внутрішнього аудиту або покладення виконання відповідних функцій на відповідального працівника;
6	4) визначення персонального розподілу функцій, обов’язків, відповідальності, повноважень членів наглядової ради, виконавчого органу, керівників підрозділів контролю (за наявності), їх підконтрольності та підзвітності, створення належного рівня системи стримування і противаг
7	2. Надання надавачем фінансових платіжних послуг Національному банку України інформації про виконання першого етапу впровадження вимог Положення	До 01.12.2024
8	II. Другий етап - запровадження документів з питань системи внутрішнього контролю
9	1. Розроблення / доопрацювання, затвердження та впровадження, включаючи:	До 15.11.2024
10	1) кодекс поведінки (етики);
11	2) політику виявлення, запобігання та управління конфліктами інтересів;
12	3) положення про систему внутрішнього контролю;
13	4) положення про підрозділ з управління ризиками або зміни до положення про підрозділ з управління ризиками (у разі створення) / посадову інструкцію головного ризик-менеджера або зміни до посадової інструкції головного ризик-менеджера;
14	5) положення про підрозділ контролю за дотриманням норм (комплаєнс) або зміни до положення про підрозділ контролю за дотриманням норм (комплаєнс) (у разі створення) / посадову інструкцію головного комплаєнс-менеджера [особи, на яку покладена функція контролю за дотриманням норм (комплаєнс)] або зміни до посадової інструкції головного комплаєнс-менеджера [особи, на яку покладена функція контролю за дотриманням норм (комплаєнс)];
15	6) положення про підрозділ внутрішнього аудиту або зміни до положення про підрозділ внутрішнього аудиту (у разі створення) / посадову інструкцію внутрішнього аудитора / головного внутрішнього аудитора або зміни до посадової інструкції внутрішнього аудитора / головного внутрішнього аудитора
16	2. Надання надавачем фінансових платіжних послуг Національному банку України інформації про виконання другого етапу впровадження вимог Положення	До 01.12.2024
17	III. Третій етап - запровадження стратегій, політики, методик і процедур
18	1. Розроблення / доопрацювання, затвердження та запровадження внутрішніх документів щодо управління ризиками, включаючи:	До 01.12.2024
19	1) політику управління ризиками, включаючи ліміти ризиків;
20	2) політику управління окремими видами ризиків;
21	3) положення про контроль за дотриманням норм (комплаєнс);
22	4) стратегію управління ризиками; порядок, форми, наповнення та періодичність надання звітів суб’єктам системи управління ризиками;
23	5) методи (інструменти) управління виявленими ризиками в межах підходів до управління ризиками
24	2. Розроблення / доопрацювання, затвердження та запровадження внутрішніх документів щодо управління операційним ризиком:	До 01.12.2024
25	1) політики управління операційним ризиком;
26	2) політики управління кіберризиками та ризиками безпеки;
27	3) методології забезпечення безперервності надання платіжних послуг, включаючи політику заходів із забезпечення безперервності надання платіжних послуг, процедуру аналізу впливу негативних факторів на бізнес-процеси надавача фінансових платіжних послуг, план забезпечення безперервності надання платіжних послуг
28	3. Надання надавачем фінансових платіжних послуг Національному банку України інформації про виконання третього етапу впровадження вимог Положення	До 16.12.2024
29	IV. Четвертий етап - запровадження декларації схильності до ризиків та інших вимог Положення
30	1. Розроблення, затвердження та запровадження декларації схильності до ризиків	До 16.12.2024
31	2. Розроблення / доопрацювання та затвердження наглядовою радою інших внутрішніх документів щодо управління ризиками та запровадження інших вимог Положення	До 25.12.2024
32	3. Надання надавачем фінансових платіжних послуг Національному банку України інформації про виконання четвертого етапу запровадження Положення	До 31.12.2024

ЗАТВЕРДЖЕНО

Постанова Правління

Національного банку України

10 жовтня 2024 року № 123

Положення

про вимоги до системи управління надавача фінансових платіжних послуг

I. Загальні положення

1. Основні положення та терміни

1. Це Положення розроблене відповідно до вимог Закону України "Про Національний банк України", Закону України "Про платіжні послуги" (далі - Закон про платіжні послуги), Закону України "Про фінансові послуги та фінансові компанії" (далі - Закон про фінансові послуги) з метою організації та забезпечення належного функціонування системи корпоративного управління, системи внутрішнього контролю та системи управління ризиками (далі - система управління):

1) платіжної установи (крім малої платіжної установи);

2) установи електронних грошей;

3) оператора поштового зв’язку, який має право надавати фінансові платіжні послуги;

4) філії іноземної платіжної установи та філії іноземної установи електронних грошей (далі - філія іноземної платіжної установи).

2. Терміни в цьому Положенні вживаються в такому значенні:

1) агрегування даних щодо ризиків - виявлення, збір та оброблення даних про ризики, включаючи класифікацію, сегментацію, об’єднання чи розподіл даних про ризики, з урахуванням вимог щодо складання звітності про ризики, що дає змогу оцінити діяльність надавача фінансових платіжних послуг з урахуванням ризик-апетиту;

2) бізнес-процес - сукупність взаємопов’язаних або взаємозалежних видів діяльності, спрямованих на створення певного продукту або послуги;

3) високий (помаранчевий) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних, внаслідок чого прогнозується значний вплив на національну безпеку і оборону, соціальну сферу, національну економіку та її окремі галузі, припинення виконання функцій та/або надання послуг критичною інфраструктурою, подія може мати транскордонний вплив;

4) внутрішні документи - документи, затверджені або видані уповноваженим органом управління надавача фінансових платіжних послуг у межах його компетенції з урахуванням вимог законодавства України, включаючи політику за окремими напрямами діяльності, положення, стандарти, інструкції, методики, правила, стратегії, розпорядження, рішення, накази або документи, розроблені в іншій формі;

5) декларація схильності до ризиків - внутрішній документ, який визначає сукупну величину ризик-апетиту, види ризиків, які надавач фінансових платіжних послуг прийматиме або уникатиме з метою виконання свого плану діяльності, та рівень ризик-апетиту щодо кожного з таких ризиків (індивідуальний рівень);

6) допустимий рівень ризику - максимальна величина ризику, яку надавач фінансових платіжних послуг у змозі прийняти за всіма видами ризиків з огляду на здатність адекватно та ефективно управляти ризиками, а також з урахуванням обмежень, установлених законодавством України;

7) інформаційна інфраструктура - програмне забезпечення та/або технічні засоби в інформаційній, інформаційно-комунікаційній та комунікаційній системах, що використовуються надавачем фінансових платіжних послуг для здійснення платіжних операцій;

8) інцидент безпеки - подія або низка пов’язаних подій, що виникли під час надання платіжних послуг / виконання платіжних операцій та не були заплановані надавачем фінансових платіжних послуг, що мали або ймовірно матимуть негативний вплив на конфіденційність, цілісність, доступність інформації та/або безперервність надання платіжних послуг;

9) істотний технічний збій або істотні інші невідворотні обставини - неспроможність надавача фінансових платіжних послуг своєчасно та ефективно надавати фінансові платіжні послуги протягом 24 годин поспіль з моменту настання технічного збою або інших невідворотних обставин, що призвело до порушення надавачем фінансових платіжних послуг вимог законодавства України, включаючи вимогу щодо безперервності надання фінансових платіжних послуг;

10) ключові процеси - дії, операції, завдання, що виконуються структурними підрозділами, окремими працівниками надавача фінансових платіжних послуг, інформаційними системами (включаючи функції, передані на аутсорсинг), що мають безпосередній та істотний вплив на досягнення цілей діяльності надавача фінансових платіжних послуг, та порушення здійснення контрольних заходів щодо таких дій, операцій, завдань може завдати істотних збитків надавачу фінансових платіжних послуг або його користувачам та/або може призвести до порушення вимог законодавства України;

11) комплаєнс-ризик - ризик виникнення збитків та/або санкцій, додаткових втрат або недоотримання запланованих доходів, або втрати репутації внаслідок невиконання надавачем фінансових платіжних послуг вимог законодавства України про діяльність та регулювання діяльності на ринку фінансових послуг, включаючи законодавство України, що регулює діяльність на платіжному ринку, ринкових стандартів, правил добросовісної конкуренції та корпоративної етики, правил платіжних систем, а також внутрішніх документів надавача фінансових платіжних послуг, виникнення конфлікту інтересів або невідповідності діяльності надавача фінансових платіжних послуг таким вимогам;

12) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником / контрагентом узятих на себе зобов’язань відповідно до умов договору;

13) критична або важлива функція - функція, припинення чи переривання якої суттєво погіршить фінансову ефективність надавача фінансових платіжних послуг або надійність, або безперервність надання його послуг;

14) критичний (червоний) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних, внаслідок чого виникають реальні загрози для національної безпеки, обороноздатності, економічної безпеки, зовнішніх відносин, створюється реальна загроза обмеження в наданні основних послуг населенню надавачем фінансових платіжних послуг;

15) культура управління ризиками - дотримання визначених надавачем фінансових платіжних послуг принципів, правил, норм надавача фінансових платіжних послуг, спрямованих на поінформованість усіх працівників надавача фінансових платіжних послуг щодо прийняття ризиків та управління ризиками;

16) ліміти (обмеження) щодо ризиків надавача фінансових платіжних послуг (далі - ліміт ризику) - обмеження (якісні та/або кількісні, єдиним значенням або діапазоном чи межами), установлені для контролю за величиною ризиків, на які наражається надавач фінансових платіжних послуг протягом своєї діяльності, з метою дотримання затвердженого рівня ризик-апетиту;

17) надавачі фінансових платіжних послуг - платіжні установи (крім малих платіжних установ), установи електронних грошей, оператори поштового зв’язку, які мають право надавати фінансові платіжні послуги, філії іноземних платіжних установ;

18) надзвичайний (чорний) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних, внаслідок чого відбувається невідворотний вплив на повноцінне функціонування держави;

19) некритичний (білий) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що не загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних;

20) низький (зелений) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, але не загрожує порушенню конфіденційності, цілісності та доступності критичних даних;

21) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок виникнення під час надання платіжних послуг / виконання платіжних операцій недоліків або помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників надавача фінансових платіжних послуг або інших осіб, збоїв у роботі систем надавача фінансових платіжних послуг або внаслідок впливу зовнішніх факторів;

22) орган управління надавача фінансових платіжних послуг - загальні збори учасників (акціонерів) надавача фінансових платіжних послуг (далі - загальні збори), наглядова рада надавача фінансових платіжних послуг (далі - рада) (у разі її створення), одноосібний / колегіальний виконавчий орган надавача фінансових платіжних послуг (далі - виконавчий орган);

23) передавання ризику - використання надавачем фінансових платіжних послуг ресурсів інших осіб для покриття ризику за винагороду зі збереженням наявного рівня ризику;

24) підрозділ внутрішнього аудиту - постійно діючий підрозділ, створений радою (якщо її немає - загальними зборами) (далі - відповідальний орган), який забезпечує виконання функцій внутрішнього аудиту, визначених законодавством України, або внутрішній аудитор / головний внутрішній аудитор;

25) підрозділ з управління ризиками - постійно діючий підрозділ, створений відповідальним органом, який забезпечує виконання функцій з управління ризиками, визначених законодавством України, або головний ризик-менеджер;

26) підрозділ контролю за дотриманням норм (комплаєнс) - постійно діючий підрозділ, створений відповідальним органом, який забезпечує виконання функцій контролю за дотриманням норм (комплаєнс), визначених законодавством України, або головний комплаєнс-менеджер [особа, на яку покладена функція контролю за дотриманням норм (комплаєнс)] (далі - головний комплаєнс-менеджер);

27) підрозділи контролю - підрозділ з управління ризиками, підрозділ контролю за дотриманням норм (комплаєнс), підрозділ внутрішнього аудиту;

28) пом’якшення або зниження ризиків - комплекс заходів, спрямованих на зменшення ймовірності прояву ризику та/або зменшення впливу ризику на результати діяльності надавача фінансових платіжних послуг;

29) посадові особи надавача фінансових платіжних послуг - одноосібний виконавчий орган або члени колегіального виконавчого органу та члени ради (далі - керівники), ключові особи надавача фінансових платіжних послуг (далі - ключова особа);

30) прийняття ризиків - утримання ризиків на рівні, що перебуває в межах визначеного надавачем фінансових платіжних послуг ризик-апетиту або визначеної схильності до ризиків та не створює загрози для користувачів, акціонерів / учасників надавача фінансових платіжних послуг та його фінансового стану;

31) ризик-апетит, або схильність до ризику, - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначена наперед та в межах допустимого рівня ризику, щодо яких надавач фінансових платіжних послуг прийняв рішення про доцільність / необхідність їх утримання з метою досягнення його стратегічних цілей та виконання плану діяльності;

32) ризик безпеки - ризик виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок виникнення під час надання платіжних послуг / виконання платіжних операцій подій, обставин, факторів, що можуть нести загрозу порушення виконання вимог щодо захисту інформації та персональних даних користувачів, автентифікації, зберігання, захисту, використання інформації, що становить таємницю надавача платіжних послуг;

33) ризик контрагента - імовірність невиконання контрагентом договірних зобов’язань;

34) ризик ліквідності - ризик виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неспроможності надавача фінансових платіжних послуг забезпечувати фінансування зростання активів та/або виконання своїх зобов’язань у належні строки;

35) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливого впливу факторів ринкового ризику, включаючи курси іноземних валют, процентні ставки та/або інші фактори, на вартість / ціну фінансових інструментів;

36) середній (жовтий) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, внаслідок чого створюються передумови для порушення конфіденційності, цілісності та доступності критичних даних, виникають передумови для порушення безперервності надання платіжних послуг;

37) система внутрішнього контролю - сукупність заходів з внутрішнього аудиту, управління ризиками, комплаєнсу та інших елементів, визначених законодавством України, включаючи це Положення, а також політики, правил і заходів, які забезпечують функціонування, взаємозв’язок та підтримку таких заходів та елементів і спрямовані на досягнення визначених мети, цілей і вимог до діяльності надавача фінансових платіжних послуг та забезпечення безперервності надання платіжних послуг;

38) система стримувань та противаг - розподіл повноважень між органами управління та/або підрозділами надавача фінансових платіжних послуг, який забезпечує взаємну підконтрольність, а також унеможливлює (упереджує) можливість прийняття органами управління надавача фінансових платіжних послуг рішень, що можуть призвести до негативних наслідків у діяльності надавача фінансових платіжних послуг;

39) система управління ризиками - сукупність належним чином задокументованих, затверджених і виданих політики, методик і процедур управління ризиками, розпоряджень, рішень, наказів або документів, розроблених в іншій формі, з урахуванням вимог законодавства України, які визначають порядок дій, спрямованих на здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та мінімізацію (зниження до контрольованого рівня) усіх суттєвих ризиків діяльності надавача фінансових платіжних послуг;

40) стрес-тестування - метод вимірювання (оцінки) потенційного впливу ризику як величини збитків, що можуть стати наслідком шокових змін різних факторів ризику, які відповідають виключним (екстремальним), але ймовірним подіям;

41) уникнення ризику - відмова від здійснення певних операцій або припинення ділових відносин, які наражають надавача фінансових платіжних послуг на ризик.

Термін "ключові особи" уживається в цьому Положенні в значенні, наведеному в Положенні про авторизацію надавачів фінансових послуг та умови здійснення ними діяльності з надання фінансових послуг, затвердженому постановою Правління Національного банку України від 29 грудня 2023 року № 199 (зі змінами).

Термін "кіберризик" уживається в цьому Положенні в значенні, наведеному в абзаці другому частини першої статті 66 Закону про платіжні послуги.

Термін "уповноважена посадова особа Національного банку" уживається в цьому Положенні в значенні, наведеному в Положенні про здійснення Національним банком України безвиїзного нагляду на платіжному ринку за небанківськими надавачами платіжних послуг, надавачами обмежених платіжних послуг, затвердженому постановою Правління Національного банку України від 05 травня 2023 року № 60 (зі змінами) (далі - Положення про здійснення безвиїзного нагляду на платіжному ринку).

Інші терміни в цьому Положенні вживаються у значеннях, наведених у Законі про платіжні послуги, Законі про фінансові послуги, інших законах України та нормативно-правових актах Національного банку України (далі - Національний банк) з питань регулювання діяльності надавачів фінансових платіжних послуг.

3. Це Положення визначає:

1) вимоги до системи управління надавача фінансових платіжних послуг:

системи корпоративного управління відповідно до вимог, встановлених Законом про платіжні послуги та цим Положенням, включаючи вимоги щодо ключових осіб;

системи внутрішнього контролю, що включає систему управління ризиками, контроль за дотриманням норм (комплаєнс) та внутрішній аудит, згідно з вимогами, встановленими Законом про фінансові послуги, Законом про платіжні послуги та цим Положенням;

2) порядок здійснення контролю Національним банком за дотриманням надавачем фінансових платіжних послуг вимог до системи управління, включаючи порядок складання та подання звітів та іншої інформації до Національного банку щодо системи управління надавача фінансових платіжних послуг.

3-1. Вимоги цього Положення також поширюються на установи, зазначені впідпунктах 1, 2, 4 пункту 1 глави 1 розділу I цього Положення, які суміщають діяльність з надання фінансових платіжних послуг з наданням нефінансових платіжних послуг.

( Главу 1 розділу І доповнено пунктом 3-1 згідно з Постановою Національного банку № 73 від 02.07.2025 )

2. Організація системи управління надавача фінансових платіжних послуг

4. Система управління надавача фінансових платіжних послуг повинна відповідати вимогам, визначеним Законом про платіжні послуги, іншими законами України, цим Положенням та іншими нормативно-правовими актами Національного банку.

5. Надавач фінансових платіжних послуг зобов’язаний організувати та постійно забезпечувати ефективність своєї системи управління, належне функціонування системи корпоративного управління, системи внутрішнього контролю та належне управління ризиками з урахуванням особливостей виду діяльності, бізнес-моделі, характеру і видів послуг, які він надає, ризиків, притаманних такій діяльності, а також особливостей, встановлених законами з питань регулювання окремих ринків фінансових послуг, Законом України "Про товариства з обмеженою та додатковою відповідальністю" (далі - Закон про товариства з обмеженою та додатковою відповідальністю), Законом України "Про акціонерні товариства" (далі - Закон про акціонерні товариства), Положенням про порядок здійснення авторизації діяльності надавачів фінансових платіжних послуг та обмежених платіжних послуг, затвердженим постановою Правління Національного банку України від 07 жовтня 2022 року № 217 (зі змінами) (далі - Положення про авторизацію надавачів фінансових платіжних послуг), та цим Положенням.

6. Внутрішні документи надавача фінансових платіжних послуг щодо організації системи управління повинні відповідати вимогам законодавства України, включаючи вимоги цього Положення.

7. Порядок організації роботи виконавчого органу, включаючи чіткий розподіл повноважень між головою і членами колегіального виконавчого органу, а також порядок організації роботи ради та комітетів ради, ключових осіб (або осіб, які виконують такі функції) повинні визначатись у внутрішніх документах, що регламентують діяльність виконавчого органу, ради, комітетів ради та ключових осіб. Надавач фінансових платіжних послуг для забезпечення ефективності своєї системи управління переглядає внутрішні документи щодо потреби внесення змін до них не рідше одного разу на рік.

8. Надавач фінансових платіжних послуг (крім філії іноземної платіжної установи) зобов’язаний створити у своїй структурі окремі підрозділи внутрішнього аудиту, з управління ризиками та контролю за дотриманням норм (комплаєнс) або покласти виконання відповідних функцій на внутрішнього аудитора / головного внутрішнього аудитора, головного ризик-менеджера, головного комплаєнс-менеджера та забезпечити їх належними ресурсами для ефективного та належного виконання їхніх функцій.

9. Внутрішній аудитор / головний внутрішній аудитор, головний ризик-менеджер не мають права обіймати будь-які інші посади та виконувати будь-які інші обов’язки в цьому надавачі фінансових платіжних послуг та/або інших юридичних особах.

10. Вимоги, визначені в пункті 9 глави 2 розділу I цього Положення, не застосовуються до материнських та дочірніх компаній надавача фінансових платіжних послуг, компаній - учасників фінансової групи, до якої належить такий надавач фінансових платіжних послуг, професійних об’єднань на ринку фінансових платіжних послуг, юридичних осіб, кінцевим бенефіціарним власником в яких є кінцевий бенефіціарний власник такого надавача фінансових платіжних послуг.

II. Система корпоративного управління надавача фінансових платіжних послуг

3. Загальні збори надавача фінансових платіжних послуг

11. Загальні збори є вищим органом управління надавача фінансових платіжних послуг.

12. До виключної компетенції загальних зборів належить вирішення питань, віднесених Законом про товариства з обмеженою та додатковою відповідальністю або Законом про акціонерні товариства до виключної компетенції загальних зборів такого товариства.

13. До компетенції загальних зборів надавача фінансових платіжних послуг з урахуванням вимог законів України можуть бути віднесені інші питання діяльності, за винятком тих, які законом України або статутом надавача фінансових платіжних послуг віднесені до виключної компетенції ради, інших органів надавача фінансових платіжних послуг.

Загальні збори з урахуванням вимог законів України уповноважені розглядати і приймати рішення з питань, віднесених законом України або статутом надавача фінансових платіжних послуг до виключної компетенції ради, якщо радою прийнято рішення про внесення відповідного питання на розгляд загальних зборів.

14. Загальні збори з урахуванням вимог законів України, включаючи вимоги Закону про товариства з обмеженою та додатковою відповідальністю та Закону про акціонерні товариства:

1) визначають основні напрями діяльності надавача фінансових платіжних послуг;

2) затверджують / приймають рішення про застосування принципів (кодексу) корпоративного управління надавача фінансових платіжних послуг;

3) вирішують питання про обрання та припинення повноважень членів ради;

4) за відсутності ради вирішують питання про призначення та припинення повноважень (звільнення) голови та членів колегіального виконавчого органу, а також ключових осіб;

5) вирішують інші питання, віднесені до компетенції загальних зборів, відповідно до вимог законодавства України.

4. Рада надавача фінансових платіжних послуг

15. Рада несе відповідальність за забезпечення стратегічного управління надавача фінансових платіжних послуг.

16. Рада в межах своїх повноважень з урахуванням компетенції, визначеної відповідно законом України та статутом, несе відповідальність за:

1) безпеку та фінансову стійкість надавача фінансових платіжних послуг;

2) відповідність діяльності надавача фінансових платіжних послуг законодавству України;

3) упровадження стратегічних цілей надавача фінансових платіжних послуг відповідно до основних напрямів діяльності, визначених загальними зборами, та плану діяльності надавача фінансових платіжних послуг;

4) забезпечення ефективної організації корпоративного управління;

5) функціонування та контроль за ефективністю системи внутрішнього контролю, системи управління ризиками та контролю за дотриманням норм (комплаєнс), системи внутрішнього аудиту надавача фінансових платіжних послуг;

6) призначення голови та членів колегіального виконавчого органу, а також ключових осіб.

17. Рада затверджує організаційну структуру надавача фінансових платіжних послуг, що відповідає його потребам, розміру, особливостям діяльності надавача фінансових платіжних послуг, характеру й обсягам фінансових платіжних та інших послуг, профілю ризику надавача фінансових платіжних послуг, надає змогу раді та виконавчому органу виконувати свої обов’язки належним чином відповідно до вимог законодавства України та сприяє ефективному прийняттю рішень кожним з органів управління і належному управлінню надавачем фінансових платіжних послуг у цілому. Організаційна структура містить у собі визначення персонального розподілу функцій, обов’язків, відповідальності, повноважень членів ради, виконавчого органу, ключових осіб, їх підконтрольності та підзвітності, а також забезпечує наявність системи стримування і противаг.

18. Рада має право внести на розгляд загальних зборів питання, яке законом України або статутом надавача фінансових платіжних послуг віднесене до її виключної компетенції.

19. Рада має право утворювати постійні чи тимчасові комітети з числа осіб, які входять до її складу, для попереднього вивчення і підготовки до розгляду на засіданні питань, що належать до компетенції ради.

20. Рада має право утворити постійно діючі комітети (далі - комітети ради):

1) комітет з питань аудиту (аудиторський комітет) з урахуванням вимог до аудиторського комітету, передбачених Законом України "Про аудит фінансової звітності та аудиторську діяльність";

2) комітет з управління ризиками;

3) комітет з питань винагороди та призначень.

21. Рада в межах компетенції визначає обсяг повноважень комітетів ради, контролює та регулює їхню діяльність.

22. Загальні збори або орган, визначений статутом надавача фінансових платіжних послуг, здійснюють повноваження ради, якщо її не створено.

5. Виконавчий орган надавача фінансових платіжних послуг

23. До компетенції виконавчого органу належить вирішення всіх питань, пов’язаних з керівництвом поточною діяльністю надавача фінансових платіжних послуг, крім питань, що належать до виключної компетенції загальних зборів та ради.

Виконавчі або невиконавчі члени (директори) можуть обиратися до складу колегіального виконавчого органу. Невиконавчий член здійснює функції нагляду, управління ризиками та контролю за діяльністю товариства та виконавчих членів колегіального виконавчого органу.

24. Виконавчий орган у межах своїх повноважень відповідає за:

1) безпеку та фінансову стійкість надавача фінансових платіжних послуг;

2) безперервність надання платіжних послуг;

3) відповідність діяльності надавача фінансових платіжних послуг законодавству України;

4) забезпечення поточного управління надавачем фінансових платіжних послуг;

5) виконання рішень загальних зборів та ради;

6) щоденне управління та контроль за операціями надавача фінансових платіжних послуг;

7) реалізацію стратегії надавача фінансових платіжних послуг, плану діяльності надавача фінансових платіжних послуг;

8) відповідність діяльності надавача фінансових платіжних послуг декларації схильності до ризиків.

III. Система внутрішнього контролю

6. Загальні засади побудови системи внутрішнього контролю

25. Надавач фінансових платіжних послуг зобов’язаний створити комплексну, адекватну та ефективну систему внутрішнього контролю, що включає систему управління ризиками, контроль за дотриманням норм (комплаєнс) та внутрішній аудит, відповідно до вимог Закону про платіжні послуги, Положення про авторизацію надавачів фінансових платіжних послуг та цього Положення.

26. Система внутрішнього контролю повинна забезпечувати:

1) виконання функцій управління ризиками, контролю за дотриманням норм (комплаєнс) та внутрішнього аудиту з урахуванням розміру надавача фінансових платіжних послуг, складності, обсягів, видів, характеру здійснюваних надавачем фінансових платіжних послуг операцій, організаційної структури та профілю ризику надавача фінансових платіжних послуг;

2) досягнення надавачем фінансових платіжних послуг операційних, інформаційних цілей та комплаєнс-цілей, стратегічних цілей, визначених у його внутрішніх документах та плані діяльності.

27. Операційні цілі діяльності надавача фінансових платіжних послуг передбачають:

1) забезпечення спрямованості процедур контролю на ефективність управління активами, зобов’язаннями та позабалансовими позиціями надавача фінансових платіжних послуг з метою досягнення показників плану діяльності з одночасним уникненням або обмеженням втрат внаслідок впливу негативних внутрішніх та зовнішніх факторів;

2) здійснення систематичного процесу виявлення, вимірювання (оцінювання), моніторингу, контролю, звітування та мінімізації (зниження до контрольованого рівня) усіх видів ризиків у діяльності надавача фінансових платіжних послуг на всіх організаційних рівнях.

28. Інформаційні цілі діяльності надавача фінансових платіжних послуг можуть передбачати:

1) забезпечення цілісності, повноти та достовірності фінансової, управлінської та іншої інформації, що використовується для прийняття управлінських рішень;

2) забезпечення обміну інформацією як за вертикаллю, так і за горизонталлю організаційної структури надавача фінансових платіжних послуг.

29. Інформація, визначена в підпункті 1 пункту 28 глави 6 розділу III цього Положення, охоплює звітність надавача фінансових платіжних послуг з фінансових та нефінансових питань, що подається зовнішнім та внутрішнім користувачам.

30. Комплаєнс-цілі діяльності надавача фінансових платіжних послуг повинні передбачати забезпечення організації діяльності надавача фінансових платіжних послуг та виконання надавачем фінансових платіжних послуг вимог:

1) законодавства України про діяльність та регулювання діяльності на ринку фінансових послуг, включаючи законодавство України, що регулює діяльність на платіжному ринку;

2) ринкових стандартів;

3) правил добросовісної конкуренції та корпоративної етики;

4) правил платіжних систем;

5) щодо врегулювання конфлікту інтересів;

6) внутрішніх документів надавача фінансових платіжних послуг або відповідності діяльності надавача фінансових платіжних послуг таким вимогам.

31. Надавач фінансових платіжних послуг має право у своїх внутрішніх документах визначати додаткові цілі системи внутрішнього контролю.

32. Система внутрішнього контролю надавача фінансових платіжних послуг повинна містити такі компоненти:

1) контрольне середовище, вимоги до якого встановлені в пункті 37 глави 6 розділу III цього Положення;

2) система управління ризиками, вимоги до якої встановлені в пункті 39 глави 6 розділу III та в розділі VI цього Положення;

3) контрольна діяльність, вимоги до якої встановлені в главі 12 розділу III цього Положення;

4) контроль за інформаційними потоками та комунікаціями, вимоги до якого встановлені в главі 13 розділу III цього Положення;

5) моніторинг ефективності системи внутрішнього контролю, вимоги до якого встановлені в главі 14 розділу III цього Положення.

33. Надавач фінансових платіжних послуг визначає у своїх внутрішніх документах опис кожного з компонентів системи внутрішнього контролю, визначених у пункті 32 глави 6 розділу III цього Положення.

34. Надавач фінансових платіжних послуг запроваджує систему внутрішнього контролю шляхом:

1) прийняття внутрішніх документів із дотриманням вимог пунктів 53-57, 59 глави 10 розділу III цього Положення;

2) побудови організаційної структури надавача фінансових платіжних послуг з урахуванням вимог розділу III цього Положення;

3) впровадження компонентів системи внутрішнього контролю, визначених у пункті 32 глави 6 розділу III цього Положення.

35. Надавач фінансових платіжних послуг зобов’язаний після запровадження системи внутрішнього контролю забезпечувати її постійне та ефективне функціонування.

36. Суб’єктами внутрішнього контролю надавача фінансових платіжних послуг є:

1) відповідальний орган;

2) комітети ради;

3) виконавчий орган / невиконавчий член колегіального виконавчого органу;

4) підрозділи, безпосередньо залучені до процесу надання платіжних послуг (бізнес-підрозділи), та підрозділи підтримки діяльності надавача фінансових платіжних послуг;

5) підрозділ з управління ризиками;

6) підрозділ контролю за дотриманням норм (комплаєнс);

7) підрозділ внутрішнього аудиту.

37. Заходами, дотримання яких свідчить про належне впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, є такі:

1) надавачем фінансових платіжних послуг затверджено, доведено до відома всіх працівників відповідно до пункту 58 глави 10 розділу III цього Положення та контролюється дотримання і належне виконання внутрішніх документів, що визначають стандарти етичної поведінки працівників, порядок здійснення внутрішніх та зовнішніх комунікацій;

2) надавачем фінансових платіжних послуг визначено порядок дій та повноваження осіб, відповідальних за здійснення контролю за діяльністю структурних підрозділів / осіб, на яких покладено виконання окремих функцій у системі трьох ліній захисту, щодо належного функціонування системи внутрішнього контролю надавача фінансових платіжних послуг;

3) створено організаційну структуру надавача фінансових платіжних послуг, яка забезпечує побудову системи внутрішнього контролю, у межах якої визначено та розподілено функції, обов’язки, повноваження, відповідальність, визначено підзвітність та підконтрольність суб’єктів внутрішнього контролю, а також забезпечує належний рівень системи стримування і противаг;

4) надавач фінансових платіжних послуг з урахуванням цілей його діяльності забезпечує створення умов, потрібних для залучення компетентних осіб, які володіють необхідним досвідом, професійними навичками та якостями для виконання функцій та обов’язків, забезпечує їх належними ресурсами для ефективного та належного виконання їх функцій та забезпечує навчання таких працівників шляхом опису відповідних процесів у внутрішніх документах та виділення необхідних коштів (за потреби);

5) рада (якщо її не створено - орган, визначений статутом надавача фінансових платіжних послуг) забезпечує функціонування та контроль за ефективністю комплексної та адекватної системи внутрішнього контролю;

6) виконавчий орган у межах своїх повноважень забезпечує виконання рішень ради (якщо її не створено - органу, визначеного статутом надавача фінансових платіжних послуг) щодо забезпечення організації та функціонування системи внутрішнього контролю надавача фінансових платіжних послуг;

7) суб’єкти внутрішнього контролю надавача фінансових платіжних послуг несуть відповідальність за неналежне виконання та/або невиконання ними своїх обов’язків.

38. Надавач фінансових платіжних послуг створює комплексну та адекватну систему управління ризиками як компонент системи внутрішнього контролю, що відповідає вимогам, визначеним у розділі VI цього Положення.

39. Заходами з управління ризиками, дотримання яких свідчить про впровадження та ефективність, комплексність та адекватність функціонування системи управління ризиками як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, є:

1) відповідність затверджених радою стратегії управління ризиками та декларації схильності до ризиків надавача фінансових платіжних послуг його загальним стратегічним цілям розвитку;

2) відповідність профілю ризику надавача фінансових платіжних послуг затвердженому радою рівню ризик-апетиту;

3) повнота та ефективність впровадження внутрішніх документів з питань управління ризиками;

4) створення та дотримання культури управління ризиками, включаючи забезпечення обізнаності та залучення членів ради та членів колегіального виконавчого органу, а також інших працівників надавача фінансових платіжних послуг до управління ризиками, шляхом проведення періодичних засідань ради, комітетів ради за участю головного ризик-менеджера / працівників підрозділу з управління ризиками, документування таких засідань, навчання працівників надавача фінансових платіжних послуг з питань управління ризиками;

5) відповідність внутрішніх документів щодо управління ризиками вимогам цього Положення;

6) наявність у головного ризик-менеджера та головного комплаєнс-менеджера належного статусу та відповідної кваліфікації для виконання покладених на них функцій з управління ризиками, контролю за дотриманням норм (комплаєнс).

7. Три лінії захисту

40. Надавач фінансових платіжних послуг створює та впроваджує систему внутрішнього контролю, що ґрунтується на розподілі обов’язків між відповідальними за певний процес у межах системи внутрішнього контролю особами та/або структурними підрозділами надавача фінансових платіжних послуг з урахуванням вимог цього Положення.

41. Надавач фінансових платіжних послуг зобов’язаний забезпечити розподіл обов’язків між структурними підрозділами надавача фінансових платіжних послуг, що ґрунтується на системі трьох ліній захисту, яка передбачає, що:

1) до першої лінії захисту належать підрозділи, безпосередньо залучені до процесу надання платіжних послуг (бізнес-підрозділи), підрозділи підтримки діяльності надавача фінансових платіжних послуг, а також працівники цих підрозділів (далі - суб’єкти першої лінії), які ініціюють, здійснюють або відображають господарські операції, приймають ризики в процесі своєї діяльності та відповідають за поточне управління цими ризиками, здійснюють заходи з контролю в межах своєї компетенції;

2) до другої лінії захисту належать структурні підрозділи / особи, на яких покладено виконання функцій з управління ризиками, контролю за дотриманням норм (комплаєнс) (далі - суб’єкти другої лінії), які забезпечують ефективність впроваджених першою лінією захисту заходів із контролю та управління ризиками, їх відповідність вимогам законодавства України та внутрішнім документам надавача фінансових платіжних послуг;

3) до третьої лінії захисту належить структурний підрозділ / окрема посадова особа, визначений / визначена відповідальним органом для проведення внутрішнього аудиту, що здійснює оцінювання ефективності діяльності першої та другої ліній захисту, загальне оцінювання ефективності системи внутрішнього контролю в межах виконання функції внутрішнього аудиту надавача фінансових платіжних послуг (далі - суб’єкти третьої лінії).

42. Відокремлені підрозділи надавача фінансових платіжних послуг залежно від їх розміру, функцій та повноважень, якими вони наділені відповідно до внутрішніх документів надавача фінансових платіжних послуг, можуть бути віднесені надавачем фінансових платіжних послуг до першої лінії захисту та/або мати у своїй структурі розподіл функцій за трьома лініями захисту.

43. Надавач фінансових платіжних послуг зобов’язаний забезпечити розподіл функцій у межах системи трьох ліній захисту з дотриманням обмежень щодо конфлікту інтересів на рівні керівників, підрозділів, працівників першої, другої і третьої ліній захисту, а також незалежність другої та третьої ліній захисту.

8. Відповідальність та функції органів управління надавача фінансових платіжних послуг щодо функціонування системи внутрішнього контролю

44. Рада як суб’єкт внутрішнього контролю відповідно до виключної компетенції:

1) затверджує та контролює реалізацію стратегічних цілей та плану діяльності надавача фінансових платіжних послуг;

2) затверджує організаційну структуру надавача фінансових платіжних послуг, а також структури підрозділів з управління ризиками, контролю за дотриманням норм (комплаєнс), внутрішнього аудиту;

3) затверджує внутрішні документи, віднесені до компетенції ради, включаючи документи, згідно з якими відбувається делегування повноважень ради в процесі здійснення внутрішнього контролю (крім повноважень, що належать до виключної компетенції ради), які передбачають право головного ризик-менеджера та головного комплаєнс-менеджера накладати заборону (вето) на рішення виконавчого органу та встановлення підстав (випадків) такої заборони, а також здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);

4) приймає рішення про обрання та припинення повноважень осіб, які входять до складу виконавчого органу, призначення та припинення повноважень (звільнення) ключових осіб;

Усі документи

Конституція

Кодекси України

Верховна Рада України

Президент України

Кабінет Міністрів України

Міністерства України

Органи судової влади

Нормативні акти міжнародного характеру

Документи СРСР та УРСР

Cтандарти бух.обліку

Головні новини

Усі головні

Головне за тиждень

від редакції «Дебет-Кредит»

Останні консультації

Облік земельного податку за невикористовувану ділянку: на який рахунок?
ТОВ є власником незабудованої земельної ділянки з цільовим призначенням для торгівлі. Ділянка не використовується у господарській діяльності. Виникає питання щодо коректного відображення в бухгалтерському обліку сум нарахованого земельного податку, зокрема, на якому рахунку витрат його слід обліковувати?
Нюанси заповнення рядків 10, 10.1, 10.1.1 – 10.1.4, 10.2, 10.2.1 – 10.2.6 додатка 1 до декларації з рентної плати
Як заповнюються рядки 10, 10.1, 10.1.1 – 10.1.4, 10.2, 10.2.1 – 10.2.6 додатка 1 до податкової декларації з рентної плати у разі реалізації видобутих корисних копалин (мінеральної сировини) товарної продукції гірничого підприємства із гірських порід, які класифікуються за кодами 2505, 2507 00, 2517 згідно з УКТ ЗЕД?
Екологічний податок при використанні під час воєнного стану пального для роботи генераторів
Підприємство під час воєнного стану використовує на генератори понад 200 тонн пального на рік. Чи потрібно сплачувати екологічний податок, якщо дозволи на викиди відсутні?
Який максимальний розмір доходу встановлений для нарахування ЄСВ?
З 1 січня 2025 року для суми доходу - 20 МЗП. З 1 серпня 2025 року - 15 МЗП для доходів, нарахованих військовослужбовцям, поліцейським та особам рядового і начальницького складу
Акцизний податок при використанні пального не для госпдіяльності
Підприємство, що не є платником акцизного податку, придбало 100 тонн пального. Оскільки пальне було використано на цілі, не пов'язані з госпдіяльністю, підприємство нарахувало компенсуючі податкові зобов'язання з ПДВ. Чи виникає у такого підприємства обов'язок реєструватися платником акцизного податку?

Усі консультації

Семінари для бухгалтерів

Відрядження по Україні та за кордон: зміни! дозволені витрати, відмітки, документи, звітність, ФОПи, дистанційні працівники, затримки, відпустки, курсові різниці, Роз’їзний характер робіт: як організувати, податкові переваги та недоліки
Лектор: Мойсеєнко Т.
21 серпня, четвер
Одноденний Новий експрес-курс по військовому обліку (зміни з 31 липня!) «Нові Списки військового обліку (додаток 5) з 31 липня: переходимо правильно! Ідеальний Військовий облік за один день, без стресу і без штрафів» + місяць безкоштовних консультацій...
Лектор: Мойсеєнко Т.
25 серпня, понеділок
Штучний інтелект для юристів: промт-інженерія, приклади використання, ризики, правове регулювання та впровадження у роботу компанії
Лектор: Логойда І.І., Бундз Т.В.
26 серпня, вівторок
Зміни в трудовому законодавстві з 14 червня! Нове! Базова віськова служба з 1 вересня! Нове! Зміна персональних даних працівника чи даних роботодавця. Обмін інформацією для працівників та роботодавців: встигнути до 12 серпні 2025!
Лектор: Мойсеєнко Т
28 серпня, четвер

Усі семінари

Перевір свого контрагента:

сервіс надано OpenDataBot