193. Політика управління кіберризиками та ризиками безпеки надавача фінансових платіжних послуг може бути складовою політики управління операційним ризиком або окремим документом та повинна обов’язково містити:
1) мету, завдання та принципи управління кіберризиками та ризиками безпеки;
2) організаційну структуру процесу управління кіберризиками та ризиками безпеки з урахуванням розподілу функціоналу учасників процесу відповідно до трьох ліній захисту, їх повноважень, відповідальності та порядку взаємодії;
3) порядок взаємодії між учасниками процесу управління кіберризиками та ризиками безпеки;
4) підходи надавача фінансових платіжних послуг до управління кіберризиками та ризиками безпеки;
5) механізми для встановлення рівня ризиків, які надавач фінансових платіжних послуг уважає допустимими під час надання платіжної послуги з урахуванням усіх бізнес-процесів, що забезпечують надання цієї послуги (далі - рівень ризиків безпеки);
6) наслідки недотримання політики управління кіберризиками та ризиками безпеки персоналом надавача платіжних послуг аутсорсерами, які мають доступ до інформаційної інфраструктури надавача фінансових платіжних послуг (включаючи постачальників послуг технічного характеру, що залучаються надавачем фінансових платіжних послуг на умовах аутсорсингу);
7) процедури та критерії з виявлення, аналізу та оцінки (вимірювання), моніторингу, контролю, звітування та зниження кіберризиків та ризиків безпеки, а також моніторингу загроз їх виникнення.
194. Політика управління кіберризиками та ризиками безпеки надавача фінансових платіжних послуг визначає:
1) необхідність проведення не рідше одного разу на рік аналізу та оцінки впровадженої політики управління кіберризиками та ризиками безпеки платіжних послуг та можливих порушень;
2) відповідність заходів з управління кіберризиками та ризиками безпеки платіжних послуг цілям заходів інформаційної безпеки та кібербезпеки надавача фінансових платіжних послуг;
3) наявність планів реагування на кіберінциденти та інциденти безпеки платіжних послуг з урахуванням можливих сценаріїв.
195. Надавач фінансових платіжних послуг зобов’язаний розробляти, документувати та впроваджувати порядок і процедури управління кіберризиками та ризиками безпеки надавача фінансових платіжних послуг з метою забезпечення безпеки інформаційної інфраструктури, забезпечення відповідних гарантій захисту від вторгнень і неправомірного використання інформації, збереження її конфіденційності, цілісності, доступності, автентичності та гарантувати точну й оперативну передачу інформації без серйозних збоїв і невиправданих затримок.
Надавач фінансових платіжних послуг не рідше одного разу на рік переглядає політику управління кіберризиками та ризиками безпеки щодо можливості оновлення / внесення змін перед упровадженням змін до інформаційної інфраструктури, процесів або процедур, а також оновлює / вносить зміни до політики управління кіберризиками та ризиками безпеки після кожного інциденту безпеки рівнів критичності "високий (помаранчевий)", "критичний (червоний)", "надзвичайний (чорний)", визначених у пункті 201 глави 33 розділу VII цього Положення.
196. Порядки та процедури управління кіберризиками та ризиками безпеки надавача фінансових платіжних послуг повинні обов’язково містити:
1) затверджені рівні допустимого ризику для кіберризиків та ризиків безпеки надавача фінансових платіжних послуг;
2) визначення та опис основних інструментів та індикаторів, що використовуються надавачем фінансових платіжних послуг в управлінні кіберризиками та ризиками безпеки, та порядок їх використання;
3) процедуру та методику оцінки кіберризиків та ризиків безпеки;
4) правила визначення критеріїв значних подій кіберризиків та ризиків безпеки, порядок їх класифікації, процедури їх оброблення, аналізу, дослідження, ескалації інформації та звітування керівникам надавача фінансових платіжних послуг;
5) порядок та процедури реагування на кіберризики та ризики безпеки;
6) опис засобів контролю та порядок моніторингу кіберризиків та ризиків безпеки;
7) порядок обміну інформацією між учасниками процесу управління кіберризиками та ризиками безпеки, включаючи визначення видів, форм і строків подання управлінської звітності щодо кіберризиків та ризиків безпеки.
197. Оцінка кіберризиків та ризиків безпеки здійснюється надавачем фінансових платіжних послуг за допомогою інструментів, визначених для оцінки операційного ризику із зазначеною для цих інструментів періодичністю, інструментів, що застосовуються надавачем фінансових платіжних послуг у межах впровадженої системи управління безпекою, або за допомогою інших інструментів, визначених надавачем фінансових платіжних послуг, не рідше одного разу на рік.
198. Надавач фінансових платіжних послуг забезпечує впровадження задокументованих і затверджених процесів та процедур щодо:
1) забезпечення безперервності функціонування інформаційної інфраструктури;
2) управління інцидентами / проблемами інформаційно-комунікаційних технологій для їх моніторингу та реєстрації, включаючи процедури визначення, відстеження, реєстрації, категоризації та класифікації за пріоритетом на основі критичності процесів, а також процедури реагування;
3) управління змінами для забезпечення контролю за всіма змінами в системах та сервісах інформаційно-комунікаційних технологій, включаючи процедури реєстрації, тестування, оцінювання, затвердження, упровадження і верифікації змін.
199. Процедура забезпечення безпеки надавача фінансових платіжних послуг повинна включати всі зазначені нижче елементи:
1) обмеження доступу до інформаційної інфраструктури з урахуванням установлених прав та ролей;
2) визначення базової конфігурації для критичних компонентів інформаційної інфраструктури з урахуванням провідних практик, відповідних методів, зазначених у міжнародних стандартах, які мінімізують вплив кіберзагроз на інформаційну інфраструктуру, а також заходів для регулярної перевірки того, що заходи безпеки ефективно впроваджені;
3) визначення заходів захисту від шкідливого коду;
4) визначення заходів безпеки для забезпечення використання лише дозволених носіїв інформації та систем для передачі та зберігання даних надавача фінансових платіжних послуг;
5) процес безпечного видалення локальних або збережених зовні даних, які надавачу фінансових платіжних послуг більше не потрібно обробляти;
6) процес безпечної утилізації або виведення з експлуатації пристроїв зберігання локальних або збережених зовні даних, що містять інформацію з обмеженим доступом;
7) визначення та впровадження заходів безпеки для запобігання втраті та витоку даних для систем і кінцевих пристроїв;
8) упровадження технічних та організаційних заходів безпеки щодо облікових даних, які використовуються для доступу до хмарних ресурсів користувача, під час використання хмарних послуг.
33. Операційні інциденти, кіберінциденти та інциденти безпеки
200. Надавач фінансових платіжних послуг зобов’язаний забезпечити розроблення, документування та періодичне оновлення політики управління інцидентами під час надання платіжних послуг відповідно до Положення про захист інформації та кіберзахист учасниками платіжного ринку, затвердженого постановою Правління Національного банку України від 19 травня 2021 року № 43 (зі змінами) (далі - Положення про захист інформації та кіберзахист).
201. Залежно від ступеня негативних наслідків, що можуть настати в результаті операційних інцидентів, кіберінцидентів та інцидентів безпеки (далі - інциденти), установлюються такі критерії істотності інцидентів (далі - рівні критичності):
1) некритичний (білий);
2) низький (зелений);
3) середній (жовтий);
4) високий (помаранчевий);
5) критичний (червоний);
6) надзвичайний (чорний).
202. Рівні критичності, визначені в пункті 201 глави 33 розділу VII цього Положення, попередньо визначаються надавачем платіжних послуг, який зафіксував інцидент безпеки, та обов’язково підтверджуються (уточнюються за потреби) Національним банком.
203. Надавач фінансових платіжних послуг зобов’язаний у довільній формі повідомляти Національний банк про інциденти, які відповідають рівням критичності:
1) середній (жовтий) - протягом п’яти робочих днів із дня, коли було зафіксовано відповідний інцидент;
2) високий (помаранчевий), критичний (червоний) та надзвичайний (чорний) - негайно.
204. Повідомлення, що стосується кіберінцидентів та інцидентів безпеки, здійснюється в строки та спосіб, визначені Положенням про захист інформації та кіберзахист.
205. Повідомлення, що стосується операційних інцидентів, здійснюється в спосіб, визначений у пункті 230 глави 37 розділу VIII цього Положення.
34. Ліміти операційного ризику
206. Надавач фінансових платіжних послуг установлює ліміти (обмеження) для операційного ризику в межах затвердженого ризик-апетиту.
Надавач фінансових платіжних послуг також установлює ліміти для управління різними джерелами концентрації ризиків.
207. Надавач фінансових платіжних послуг установлює значення лімітів операційного ризику у відсотках до регулятивного капіталу надавача фінансових платіжних послуг на останню звітну дату. Надавач фінансових платіжних послуг має право встановлювати значення лімітів ризиків щодо окремих операцій або ризиків в абсолютних значеннях та/або у відсотках до інших показників надавача фінансових платіжних послуг.
208. Надавач фінансових платіжних послуг:
1) визначає порядок установлення значень лімітів ризиків та контролю за їх дотриманням у своїй політиці управління операційним ризиком;
2) переглядає значення лімітів ризиків у разі змін ринкових умов або плану діяльності надавача фінансових платіжних послуг, але не рідше ніж один раз на рік. Перегляд здійснюється на підставі пропозицій бізнес-підрозділів надавача фінансових платіжних послуг та підрозділу з управління ризиками;
3) розробляє процедуру ескалації порушень лімітів ризиків, яка повинна містити:
форму та порядок інформування про порушення лімітів ризиків ради, комітету з управління ризиками, виконавчого органу;
порядок погодження здійснення операцій надавача фінансових платіжних послуг, що призводять до перевищення лімітів ризиків (допустимих перевищень), із зазначенням видів ризиків, щодо яких дозволяються допустимі перевищення, максимального обсягу допустимого перевищення, вимог до документування рішення щодо допустимого перевищення, порядку інформування ради щодо допустимих перевищень.
209. Підрозділ з управління ризиками в порядку, визначеному внутрішніми документами щодо ескалації порушень лімітів ризиків, якомога швидше після виявлення порушення ліміту ризику інформує раду, комітет з управління ризиками, виконавчий орган щодо такого порушення.
210. Відповідальний орган проводить позачерговий перегляд значень лімітів, якщо допустимі перевищення або порушення лімітів ризиків є частими або постійними відповідно до внутрішніх документів. Результатом такого перегляду можуть бути:
1) перегляд значень діючих лімітів;
2) перегляд делегованих повноважень щодо допустимих перевищень;
3) залишення значень лімітів без змін та затвердження плану заходів щодо запобігання їх подальшому перевищенню / порушенню.
35. Безперервність надання платіжних послуг
211. Надавач фінансових платіжних послуг із метою забезпечення належного управління ризиками розробляє методологію забезпечення безперервності надання платіжних послуг, яка включає:
1) політику заходів із забезпечення безперервності надання платіжних послуг;
2) процедуру аналізу впливу негативних факторів на бізнес-процеси надавача фінансових платіжних послуг;
3) план забезпечення безперервності надання платіжних послуг.
212. Політика заходів із забезпечення безперервності надання платіжних послуг повинна обов’язково містити:
1) ключові цілі надавача фінансових платіжних послуг щодо забезпечення безперервності надання платіжних послуг;
2) принципи та підходи надавача фінансових платіжних послуг щодо здійснення аналізу впливу негативних факторів на бізнес-процеси надавача фінансових платіжних послуг;
3) принципи та підходи надавача фінансових платіжних послуг щодо розроблення та приведення в дію плану забезпечення безперервності надання платіжних послуг;
4) принципи та підходи надавача фінансових платіжних послуг щодо моніторингу ефективності та вдосконалення плану забезпечення безперервності надання платіжних послуг.
213. Процедура аналізу впливу негативних факторів на бізнес-процеси надавача фінансових платіжних послуг (далі - аналіз впливу) включає визначення рівнів критичності бізнес-процесів, систем та сервісів інформаційно-комунікаційних технологій, інших ресурсів (працівники, приміщення, техніка) із урахуванням:
1) цільового часу на відновлення процесів та систем, що обслуговують цей процес, після збою / переривання діяльності (англійською мовою - recovery time objective);
2) максимально допустимого проміжку часу, за який можлива втрата критичних даних надавача фінансових платіжних послуг у разі збою / відмови систем та сервісів інформаційно-комунікаційних технологій (англійською мовою - recovery point objective).
214. Аналіз впливу повинен охоплювати всі процеси та підрозділи надавача фінансових платіжних послуг з урахуванням їх взаємозалежності.
215. Надавач фінансових платіжних послуг у межах здійснення аналізу впливу забезпечує послідовний та комплексний аналіз вразливості процесів, систем та сервісів інформаційно-комунікаційних технологій надавача фінансових платіжних послуг до різних типів імовірних сценаріїв переривання діяльності, включаючи сценарій кібератаки. Надавач фінансових платіжних послуг здійснює кількісну та якісну оцінку ймовірного фінансового, операційного та репутаційного впливу сценаріїв на діяльність надавача фінансових платіжних послуг, використовуючи внутрішні та зовнішні дані.
216. Надавач фінансових платіжних послуг використовує результати аналізу впливу негативних факторів на процеси надавача фінансових платіжних послуг для встановлення цілей і пріоритетів під час розроблення плану забезпечення безперервності надання платіжних послуг. Залишкові ризики переривання діяльності (після оцінки надавачем фінансових платіжних послуг впливу застосування заходів, передбачених планом забезпечення безперервності надання платіжних послуг) повинні перебувати в межах затвердженого надавачем фінансових платіжних послуг ризик-апетиту.
217. Надавач фінансових платіжних послуг із метою забезпечення належного управління ризиками розробляє план забезпечення безперервності надання платіжних послуг, який уключає:
1) стратегічні цілі та пріоритети надавача фінансових платіжних послуг щодо забезпечення безперервності надання платіжних послуг у розрізі процесів надавача фінансових платіжних послуг;
2) процедури та заходи з виявлення і усунення загрози безперервності надання платіжних послуг, реагування на інциденти порушення безперервності надання платіжних послуг;
3) заходи в разі порушення безперервності надання платіжних послуг щодо внутрішніх комунікацій, а також зовнішніх комунікацій надавача фінансових платіжних послуг із користувачами, контрагентами надавача фінансових платіжних послуг, Національним банком, іншими регуляторними, контролюючими органами та органами державної влади;
4) заходи з відновлення діяльності для критичних процесів надавача фінансових платіжних послуг;
5) заходи з відновлення систем та сервісів інформаційно-комунікаційних технологій після збоїв.
36. Стрес-тестування операційного ризику
218. Надавач фінансових платіжних послуг здійснює не рідше одного разу на рік стрес-тестування операційного ризику для різних короткострокових і довгострокових стрес-сценаріїв, що можуть реалізуватися як для надавача фінансових платіжних послуг, так і для ринку в цілому, з метою виявлення причин можливих втрат унаслідок реалізації операційного ризику та оцінки відповідності результатів здійснення стрес-тестування встановленому рівню ризик-апетиту до операційного ризику.
219. Результатом здійснення стрес-тестування операційного ризику має бути визначення величини можливих втрат надавача фінансових платіжних послуг.
220. Вимоги глави 36 розділу VII цього Положення не поширюються на надавачів фінансових платіжних послуг, які згідно з критеріями, наведеними в Законі України "Про бухгалтерський облік та фінансову звітність в Україні", належать до мікропідприємств.
221. Надавач фінансових платіжних послуг під час здійснення стрес-тестування використовує метод сценарного аналізу.
222. Надавач фінансових платіжних послуг проводить сценарний аналіз з урахуванням суджень працівників підрозділів першої лінії захисту та працівників підрозділу з управління ризиками щодо:
1) імовірного збільшення частоти (кількості) подій та/або обсягу операційних збитків порівняно зі статистикою, що міститься в базі внутрішніх подій операційного ризику;
2) виникнення нових подій операційного ризику внаслідок упровадження нових або внесення значних змін у діючі процеси;
3) виникнення подій операційного ризику зі значним рівнем втрат та низькою імовірністю настання.
VIII. Порядок контролю Національного банку за дотриманням вимог до системи управління
37. Порядок подання звітів та інших документів до Національного банку щодо виконання окремих ключових функцій надавача фінансових платіжних послуг
223. Надавач фінансових платіжних послуг зобов’язаний регулярно подавати до Національного банку протягом 15 робочих днів місяця, наступного за звітним періодом:
1) звіт про роботу підрозділу внутрішнього аудиту (за перше півріччя та рік) за формою згідно з додатком 2 до цього Положення;
2) звіт щодо комплаєнс-ризику, передбачений главою 18 розділу IV цього Положення;
3) звітність про ризики надавача фінансових платіжних послуг, передбачену главою 28 розділу VI цього Положення.
224. Підрозділ внутрішнього аудиту подає до Національного банку письмове повідомлення, підготовлене відповідно до підпункту 11 пункту 114 глави 20 розділу V цього Положення, та інші документи (за потреби).
225. Надавач фінансових платіжних послуг після настання технічного збою або інших невідворотних обставин, які об’єктивно унеможливили виконання надавачем фінансових платіжних послуг вимог законодавства України (далі - технічний збій або інші невідворотні обставини), зобов’язаний документально зафіксувати інформацію про:
1) дату та час настання технічного збою або інших невідворотних обставин;
2) тривалість технічного збою або інших невідворотних обставин;
3) причини настання технічного збою або інших невідворотних обставин;
4) види послуг, на які вплинуло настання технічного збою або інших невідворотних обставин;
5) оцінку впливу технічного збою або інших невідворотних обставин на безперервність надання платіжних послуг;
6) заходи, ужиті для відновлення діяльності та недопущення надалі настання технічного збою або інших невідворотних обставин.
226. Надавач фінансових платіжних послуг у разі настання істотного технічного збою або істотних інших невідворотних обставин зобов’язаний у порядку, строки та спосіб, визначені цим Положенням, повідомити Національний банк про факт настання істотного технічного збою або істотних інших невідворотних обставин.
227. Надавач фінансових платіжних послуг зобов’язаний протягом трьох робочих днів після настання істотного технічного збою або істотних інших невідворотних обставин надавати Національному банку інформацію, зазначену в пункті 225 глави 37 розділу VIII цього Положення.
228. Інформація про настання істотного технічного збою або істотних інших невідворотних обставин надсилається надавачем фінансових платіжних послуг Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (у разі неможливості внаслідок настання істотного технічного збою або істотних інших невідворотних обставин надсилання інформації іншими способами).
229. Головний комплаєнс-менеджер повідомляє Національний банк про підтверджені факти неприйнятної поведінки в надавачі фінансових платіжних послуг / порушення в діяльності надавача фінансових платіжних послуг та конфлікти інтересів, що виникли в надавачі фінансових платіжних послуг, якщо відповідальним органом не були застосовані заходи, що забезпечили їх усунення. Інформація про підтверджені факти неприйнятної поведінки в надавачі фінансових платіжних послуг / порушення в діяльності надавача фінансових платіжних послуг та про конфлікти інтересів, що виникли в надавачі фінансових платіжних послуг, надається структурному підрозділу Національного банку, що здійснює безвиїзний нагляд за надавачем фінансових платіжних послуг.
230. Надавач фінансових платіжних послуг, інші особи подають до Національного банку документи / інформацію, подання яких передбачено цим Положенням, в один із таких способів:
1) на паперових носіях з одночасним поданням електронних копій цих документів без накладання КЕП (далі - електронні копії документів);
2) у формі електронного документа, підписаного шляхом накладання КЕП, або електронної копії документа, засвідченої відповідно керівником надавача фінансових платіжних послуг / головним внутрішнім аудитором КЕП, - на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу.
Документи на вимогу Національного банку також подаються в електронній формі у форматі, визначеному Національним банком.
231. Надавач фінансових платіжних послуг несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.
232. Документи, що подаються до Національного банку відповідно до цього Положення, мають викладатися українською мовою, не містити виправлень і неточностей, а також розбіжностей між відомостями, викладеними в них.
233. Паперові копії документів, що подаються до Національного банку відповідно до цього Положення, повинні засвідчуватися в такому порядку:
1) копія документа, виданого уповноваженим державним органом, засвідчується органом, який видав цей документ, або нотаріально;
2) копія документа фізичної особи засвідчується підписом такої особи або її уповноваженого представника;
3) копія документа юридичної особи засвідчується підписом її уповноваженого представника.
234. Пакет документів, що подається до Національного банку відповідно до цього Положення, повинен містити документ, що підтверджує повноваження уповноваженого представника, відповідальної особи (крім керівника юридичної особи).
235. Національний банк у разі наявності розбіжностей між даними, що містяться в документах у паперовій формі і в електронних документах чи електронних копіях документів, надає перевагу даним, наведеним у документах на паперових носіях. Національний банк в особі уповноваженої посадової особи має право вимагати від надавача фінансових платіжних послуг, інших осіб надання пояснень щодо розбіжностей між документами на паперових носіях та електронними документами чи електронними копіями документів, а також усунення цих розбіжностей.
236. Національний банк в особі уповноваженої посадової особи Національного банку має право здійснювати офіційну комунікацію із надавачем фінансових платіжних послуг, іншими особами засобами корпоративної електронної пошти (е-mail) Національного банку (шляхом надсилання повідомлення з офіційної електронної поштової скриньки Національного банку nbu@bank.gov.ua) під час розгляду пакета документів. Така комунікація може містити:
1) запитування додаткової інформації, документів і пояснень, потрібних для прийняття рішення згідно з цим Положенням;
2) отримання інформації, пояснень, додаткових документів, потрібних для прийняття рішення згідно з цим Положенням, у вигляді електронних документів та/або електронних копій документів;
3) надсилання повідомлень про рішення, прийняті Національним банком відповідно до цього Положення.
38. Порядок здійснення Національним банком контролю за дотриманням вимог до системи управління надавача фінансових платіжних послуг
237. Національний банк здійснює контроль відповідно до вимог Закону про платіжні послуги та інших законів у порядку, визначеному Положенням про проведення перевірок небанківських надавачів платіжних послуг, надавачів обмежених платіжних послуг, затвердженим постановою Правління Національного банку України від 06 квітня 2023 року № 47, Положенням про здійснення безвиїзного нагляду на платіжному ринку, за дотриманням надавачем фінансових платіжних послуг, ключовими особами та/або особами, на яких покладено виконання ключових функцій у надавачі фінансових платіжних послуг, вимог цього Положення, здійснює оцінку організації та належного функціонування системи внутрішнього контролю. Національний банк під час здійснення контролю та оцінки має право використовувати професійне судження.
238. Національний банк для оцінки достатності заходів з управління ризиками проводить:
1) аналіз діяльності надавача фінансових платіжних послуг, внутрішніх документів щодо управління ризиками, результатів щорічної самооцінки;
2) перевірку процесів, операцій, інструментів з управління ризиками;
3) інтерв’ю з керівниками надавача фінансових платіжних послуг та іншими працівниками надавача фінансових платіжних послуг;
4) оцінку відповідності внутрішніх документів надавача фінансових платіжних послуг вимогам цього Положення;
5) оцінку відповідності внутрішніх процесів надавача фінансових платіжних послуг вимогам внутрішніх документів надавача фінансових платіжних послуг.
239. Національний банк у межах повноважень має право письмово вимагати від надавача фінансових платіжних послуг, ключових осіб та/або осіб, на яких покладено виконання ключових функцій у надавачі фінансових платіжних послуг, з наведенням обґрунтування такої вимоги копії документів, додаткову інформацію, документи та звіти, визначені цим Положенням, а також письмові пояснення щодо системи управління надавача фінансових платіжних послуг.
240. Застосування Національним банком заходів впливу в разі порушення вимог цього Положення та/або в разі недостатності заходів з управління ризиками, що вживаються для захисту інтересів споживачів платіжних послуг, здійснюється в порядку, визначеному Законом про платіжні послуги та Положенням про застосування Національним банком України заходів впливу за порушення вимог законодавства, що регулює діяльність на платіжному ринку, затвердженим постановою Правління Національного банку України від 22 вересня 2022 року № 206 (зі змінами).
Додаток 1
до Положення про вимоги до
системи управління надавача
фінансових платіжних послуг
(пункт 57 глави 10 розділу III)
Перелік питань щодо внутрішнього контролю, які повинні врегульовуватися у внутрішніх документах надавача фінансових платіжних послуг
1. Організаційна структура надавача фінансових платіжних послуг, завдання, функції, повноваження органів управління та структурних підрозділів надавача фінансових платіжних послуг, включаючи повноваження щодо здійснення внутрішнього контролю.
2. Порядок розподілу та делегування повноважень у надавачі фінансових платіжних послуг.
3. Перелік та опис ключових процесів, щодо яких здійснюється внутрішній контроль, включаючи заходи та форми такого контролю.
4. Облікова політика надавача фінансових платіжних послуг.
5. Правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності надавача фінансових платіжних послуг, здійснення планування ефективного використання фінансових ресурсів із метою досягнення цілей діяльності надавача фінансових платіжних послуг.
6. Перелік функцій, що не має права виконувати один працівник надавача фінансових платіжних послуг та які потребують додаткового рівня контролю.
7. Регламенти / порядки складання звітності (фінансової, регуляторної, управлінської, податкової).
8. Правила підготовки, погодження та укладання надавачем фінансових платіжних послуг договорів.
9. Порядок здійснення відповідальним органом, виконавчим органом та працівниками надавача фінансових платіжних послуг внутрішніх і зовнішніх комунікацій, включаючи обмін інформацією / документами.
10. Правила / порядок здійснення документообігу, включаючи порядок формування та зберігання документів, що утворюються в діяльності надавача фінансових платіжних послуг.
11. Правила ведення архівів документації надавача фінансових платіжних послуг, включаючи електронні документи.
12. Перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту персональних даних працівників і користувачів надавача фінансових платіжних послуг.
13. Порядок надання, використання, контролю та скасування доступу працівників надавача фінансових платіжних послуг до інформаційних систем, включаючи віддалений доступ.
14. Порядок проведення резервування (копіювання) та архівування даних в інформаційних системах.
15. Порядок захисту інформації в інформаційних системах.
16. Процес подальшого контролю за якістю даних в інформаційних системах.
17. Правила використання працівниками надавача фінансових платіжних послуг корпоративної електронної пошти.
18. Порядок реєстрації, зберігання інформації про інциденти безпеки, управління інцидентами безпеки.
19. Порядок реєстрації, розгляду та опрацювання звернень до надавача фінансових платіжних послуг громадян, юридичних осіб, органів державної влади України та місцевого самоврядування.
20. Положення про систему внутрішнього контролю.
21. Види, періодичність та порядок здійснення заходів із контролю, структурні підрозділи / працівники, відповідальні за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та особи, уповноважені здійснювати розгляд звітів, процедури здійснення коригувальних заходів.
22. Порядок передавання надавачем фінансових платіжних послуг окремих функцій та/або окремих завдань / процесів у межах цих функцій на аутсорсинг, включаючи перелік та опис способів здійснення моніторингу та контролю за здійсненням таких функцій та/або окремих завдань / процесів.
23. Перелік та опис способів здійснення моніторингу та контролю за діяльністю відокремлених підрозділів.
24. Порядок залучення / призначення / звільнення / припинення повноважень осіб, на яких покладено виконання функцій другої та третьої ліній захисту.
25. Порядок підбору, найму, навчання, оцінки працівників надавача фінансових платіжних послуг.
26. Порядок здійснення моніторингу як компонента системи внутрішнього контролю та визначення осіб, відповідальних за його проведення.
27. Порядок здійснення внутрішнього контролю за дотриманням законодавства України про захист прав споживачів фінансових послуг, внутрішніх документів та процесів надавача фінансових платіжних послуг.
28. Положення про внутрішній аудит надавача фінансових платіжних послуг.
29. Порядок та процедури внутрішнього аудиту надавача фінансових платіжних послуг [складання плану (зміни до плану) проведення внутрішніх аудиторських перевірок надавача фінансових платіжних послуг, оформлення результатів та документування, програми забезпечення та підвищення якості внутрішнього аудиту].
30. Стратегія управління ризиками надавача фінансових платіжних послуг.
31. Декларація схильності до ризиків надавача фінансових платіжних послуг.
32. Політика управління ризиками, включаючи ліміти ризиків надавача фінансових платіжних послуг.
Додаток 2
до Положення про вимоги до
системи управління надавача
фінансових платіжних послуг
(підпункт 1 пункту 223
глави 37 розділу VIII)
Звіт
про роботу підрозділу внутрішнього аудиту надавача фінансових платіжних послуг
( Див. текст )