47-1. Значима фінансова компанія зобов’язана щороку здійснювати самооцінку ризиків шляхом аналізу бізнес-процесів компанії з метою виявлення ризиків, визначених у пунктах 40, 46 глави 8 розділу IV цього Положення, та інших видів ризиків притаманних її діяльності, визначених відповідно до пункту 47 глави 8 розділу IV цього Положення (далі - самооцінка ризиків).
( Главу 8 розділу IV доповнено новим пунктом 47-1 згідно з Постановою Національного банку № 109 від 02.09.2025 )
47-2. Значима фінансова компанія за результатами здійснення самооцінки ризиків забезпечує управління ризиками відповідно до підходів з управління ризиками, встановлених у пунктах 51-53 глави 8 розділу IV цього Положення.
( Главу 8 розділу IV доповнено новим пунктом 47-2 згідно з Постановою Національного банку № 109 від 02.09.2025 )
47-3. Головний ризик-менеджер [керівник підрозділу з управління ризиками або особа, на яку покладена функція такого підрозділу / відповідальна за аутсорсинг функції з управління ризиками (призначається з числа суб’єктів другої лінії захисту)] надає звіт про результати самооцінки ризиків органу управління фінансової компанії та ключовим особам значимої фінансової компанії.
( Главу 8 розділу IV доповнено новим пунктом 47-3 згідно з Постановою Національного банку № 109 від 02.09.2025 )
47-4. Значима фінансова компанія в листі за підписом уповноваженої особи фінансової компанії направляє копію звіту про результати самооцінки ризиків Національному банку протягом п’яти робочих днів із дати складання звіту про результати самооцінки ризиків, але не пізніше 15 липня року, у якому Національний банк оприлюднив інформацію щодо визначення фінансової компанії значимою.
( Главу 8 розділу IV доповнено новим пунктом 47-4 згідно з Постановою Національного банку № 109 від 02.09.2025 )
47-5. Значима фінансова компанія вносить зміни у внутрішні документи з питань організації системи внутрішнього контролю на підставі рішень органу управління, за результатами самооцінки ризиків.
( Главу 8 розділу IV доповнено новим пунктом 47-5 згідно з Постановою Національного банку № 109 від 02.09.2025 )
48. Комплексна та адекватна система управління ризиками фінансової компанії має передбачати:
1) організацію системи управління ризиками, що ґрунтується на застосуванні моделі трьох ліній захисту та забезпечує чіткий розподіл функцій, обов’язків і повноважень з управління ризиками між усіма суб’єктами системи управління ризиками, а також між працівниками фінансової компанії та передбачає їх відповідальність згідно з таким розподілом;
2) культуру управління ризиками та кодекс поведінки (етики);
3) внутрішні документи з питань управління ризиками;
4) інструменти для ефективного управління ризиками.
49. Суб’єктами системи управління ризиками фінансової компанії є:
1) відповідальний орган фінансової компанії та створені ним комітети (у разі створення);
2) виконавчий орган фінансової компанії та створені ним комітети (у разі створення);
3) бізнес-підрозділи, підрозділи підтримки діяльності фінансової компанії;
4) підрозділ з управління ризиками, головний ризик-менеджер (керівник підрозділу з управління ризиками) або особа, на яку покладена функція такого підрозділу, підрозділ контролю за дотриманням норм (комплаєнс), керівник підрозділу контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу;
5) внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);
6) керівники та працівники фінансової компанії, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішніми документами, та не входять до складу органів управління фінансової компанії й підрозділів фінансової компанії.
50. Фінансова компанія встановлює ліміти (обмеження) для ризиків, що підлягають кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо кредитного ризику, ризику ліквідності, комплаєнс-ризику, валютного ризику, операційного ризику та зобов’язана здійснювати вимірювання (оцінку) ризиків з урахуванням взаємозв’язку ризиків та впливу окремого ризику на інші ризики, притаманні її діяльності. Перелік та значення лімітів ризиків визначає та затверджує відповідальний орган фінансової компанії.
Вимірювання ризиків, проведене фінансовою компанією, має бути задокументоване, включаючи детальний опис та пояснення ризиків, що охоплюються вимірюванням, використані підходи, а також ключові судження та припущення, що були зроблені під час такого вимірювання.
51. Система управління ризиками фінансової компанії має передбачати визначення ризиків, притаманних діяльності, установлення лімітів ризиків (якісних та/або кількісних, єдиним значенням або діапазоном чи межами) вимірювання ризиків за новими продуктами та значними змінами в діяльності до початку їх упровадження, включаючи зміни в реалізації продуктів та в системі управління ризиками фінансової компанії, установлення допустимого рівня ризиків за новими продуктами.
52. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити процеси та інструменти для моніторингу ризиків, що забезпечують своєчасне виявлення ризиків та адекватне управління ними.
53. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити методи (інструменти) управління виявленими ризиками в межах підходів до управління ризиками. Такими методами управління ризиками можуть бути:
1) прийняття ризику, що передбачає прийняття фінансовою компанією ідентифікованого ризику та неприйняття будь-яких інших дій для його зниження;
2) передавання фінансовою компанією ризику третім особам за винагороду, водночас для здійснення контролю за ризиками фінансовою компанією, наявний рівень ризику не змінюється;
3) пом’якшення або зниження ризику, що передбачає коригування певних процесів та/або впровадження додаткових контрольних заходів, спрямованих на зменшення ймовірності виникнення ризику, запобігання перевищенню допустимого рівня ризику та/або зменшенню впливу ризику на результати діяльності фінансової компанії;
4) уникнення ризику, що передбачає припинення здійснення або зміну діяльності (включаючи розірвання ділових відносин, продаж активу), яка створює ризик;
5) інші методи, доступні для застосування фінансовою компанією.
54. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити порядок звітування про ризики, загальну оцінку ризиків, самооцінку ризиків (для значимих фінансових компаній) та пов’язані з ними плани дій органу управління фінансової компанії. Процедура ескалації ризиків фінансової компанії має забезпечити змогу звітувати про проблеми, пов’язані з ризиками, у межах періодичного звітування, а також поза періодичним звітуванням для термінових питань. Будь-яка діяльність фінансової компанії, що виходить за межі затвердженого ризик-апетиту, лімітів ризиків, має бути предметом відповідних аналізу та схвалення відповідальним органом фінансової компанії.
( Пункт 54 глави 8 розділу IV із змінами, внесеними згідно з Постановою Національного банку № 109 від 02.09.2025 )
9. Внутрішні документи з питань управління ризиками
55. Фінансова компанія в межах системи управління ризиками розробляє і впроваджує внутрішні документи з питань управління ризиками.
56. Фінансова компанія зобов’язана мати такі затверджені відповідальним органом фінансової компанії внутрішні документи в межах системи управління ризиками:
1) стратегію управління ризиками;
2) декларацію схильності до ризиків;
3) політику управління ризиками, включаючи ліміти ризиків, та політику управління окремими видами ризиків у випадках, визначених цим Положенням.
57. Орган управління фінансової компанії здійснює контроль за дотриманням внутрішніх документів з урахуванням цього Положення та законодавства України.
58. Фінансова компанія своєчасно та періодично переглядає (не рідше одного разу на три роки) та оновлює (актуалізує) внутрішні документи з питань управління ризиками з урахуванням змін у законодавстві України, дія яких поширюється на фінансові компанії, змін у профілі ризиків фінансової компанії, а також з урахуванням інших внутрішніх чи зовнішніх подій та/або обставин.
Зміни в системі управління ризиками фінансової компанії, а також причини таких змін мають бути задокументовані й підлягають затвердженню відповідальним органом фінансової компанії. Внутрішні документи з питань управління ризиками фінансової компанії мають бути доступними для внутрішнього аудиту, зовнішнього аудиту та оцінювання якості системи внутрішнього контролю фінансової компанії з урахуванням характеру її діяльності, оцінювання та контролю рівня, характеру та особливостей ризиків діяльності особи, що охоплюється наглядовою діяльністю Національного банку.
59. Стратегія управління ризиками фінансової компанії обов’язково має містити:
1) основні цілі управління ризиками;
2) перелік ризиків із зазначенням видів операцій та категорій клієнтів (профілю клієнта, цільової аудиторії), які генерують ці ризики;
3) принципи та підходи щодо визначення прийнятного співвідношення дохідності та ризиків;
4) загальні принципи управління ризиками.
60. Декларація схильності до ризиків визначає:
1) рівень ризик-апетиту щодо кожного з видів ризиків, який повинен стати основою для встановлення лімітів та який повинен узгоджуватися з установленим сукупним рівнем ризик-апетиту та документами з планування діяльності фінансової компанії;
2) види ризиків, щодо яких фінансова компанія прийняла рішення про доцільність / необхідність їх утримання з метою досягнення її цілей, установлених документами з планування діяльності;
3) види ризиків, яких фінансова компанія має уникати.
61. Політика управління ризиками фінансової компанії має містити:
1) визначення та класифікацію ризиків, включаючи інші визначені фінансовою компанією ризики, притаманні фінансовій компанії, за видами ризиків;
2) перелік видів ризиків;
3) процеси та інструменти щодо виявлення, вимірювання (оцінки), моніторингу, контролю та звітування щодо ризиків, що застосовуються фінансовою компанією до нових ризиків, порядок їх виявлення та пом’якшення;
4) ліміти ризиків за визначеними фінансовою компанією видами ризиків відповідно до ризик-апетиту фінансової компанії та порядок контролю за їх дотриманням;
5) методи, інструменти, положення, методичні вказівки, ключові припущення та обмеження в управлінні ризиками;
6) зміст та форму звітування щодо ризиків, його порядок і періодичність / терміни;
7) процедуру ескалації ризиків, що встановлює порядок інформування органу управління фінансової компанії про порушення лімітів ризиків, ризик-апетиту;
8) процес погодження з відповідальним органом фінансової компанії, що потрібний у разі будь-яких очікуваних відхилень від стратегії управління ризиками, декларації схильності до ризику, лімітів ризиків;
9) положення, що регламентують діяльність підрозділу з управління ризиками (особи, на яку покладена функція такого підрозділу), з урахуванням вимог, установлених цим Положенням;
10) опис організаційної структури підрозділу з управління ризиками (у разі його створення);
11) розподіл обов’язків, повноважень учасників системи управління ризиками та їх відповідальності щодо управління ризиками, що є добре інтегрованим в організаційну структуру фінансової компанії та в процеси прийняття рішень;
12) порядок звітування перед органом управління фінансової компанії;
13) іншу інформацію у випадках, визначених цим Положенням.
62. Фінансова компанія має право включити до політики управління ризиками інші положення щодо управління ризиками додатково до встановлених цим Положенням, які не суперечать вимогам цього Положення.
63. Політика управління ризиками фінансової компанії має бути викладена таким чином, щоб учасникам системи управління ризиками були зрозумілі завдання та обов’язки щодо управління ризиками, також відображений зв’язок системи управління ризиками із загальною системою корпоративного управління.
10. Управління операційним ризиком
64. Фінансова компанія створює ефективну систему управління операційним ризиком, що має повністю інтегруватися в загальну систему управління ризиками.
Фінансова компанія оцінює операційний ризик з урахуванням його взаємозв’язку та впливу на інші ризики, притаманні її діяльності.
Фінансова компанія самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику, що має обов’язково включати показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців.
Фінансова компанія створює та веде базу внутрішніх подій операційного ризику, здійснює аналіз накопиченої в ній інформації.
65. Політика управління операційним ризиком може бути складовою політики управління ризиком фінансової компанії або окремим документом та має обов’язково містити:
1) мету, завдання та принципи управління операційним ризиком;
2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціональних обов’язків відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;
3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення операційного ризику;
4) критерії визначення значних подій операційного ризику, порядок їх дослідження та ескалації інформації щодо таких подій;
5) ліміти, порядок установлення лімітів операційного ризику та порядок їх контролю;
6) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);
7) перелік та інформаційне наповнення форм управлінського звітування щодо операційного ризику, порядок і періодичність / терміни його надання суб’єктам системи управління ризиками;
8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв;
9) порядок запобігання ризику внутрішнього та зовнішнього шахрайства.
66. Порядок та процедури управління операційним ризиком мають обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення операційного ризику, включаючи інструменти / індикатори, що використовуються;
2) процедури контролю за повнотою та якістю даних про події операційного ризику, включаючи інструменти, що використовуються для такого контролю;
3) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-процесами, категоріями клієнтів;
4) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов’язаних із кредитним ризиком;
5) критерії визначення груп пов’язаних операційних подій;
6) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;
7) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;
8) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком із метою уникнення їх дублювання;
9) порядок обміну інформацією між учасниками процесу управління операційним ризиком, включаючи види, форми й терміни подання інформації.
66-1. Фінансова компанія з метою управління операційним ризиком разом з іншими заходами, спрямованими на зменшення ймовірності виникнення ризику, запобігання перевищенню допустимого рівня ризику та/або зменшення впливу ризику на результати діяльності фінансової компанії, зобов’язана забезпечити:
1) контроль за своєчасністю реєстрації та забезпечення актуальності обтяження предмета застави та/або об’єкта фінансового лізингу та/або відступлення права грошової вимоги у відповідних державних реєстрах (якщо вимога щодо реєстрації у відповідних реєстрах установлена законодавством України та/або внутрішніми документами фінансової компанії);
2) збереження доказів створення пріоритету права вимоги предмета застави та/або об’єкта фінансового лізингу та/або відступлення права грошової вимоги фінансової компанії та контроль за збереженням такого пріоритету у відповідних державних реєстрах обтяження предмета застави або об’єкта фінансового лізингу та/або відступлення права грошової вимоги згідно з відповідним договором (якщо вимога щодо реєстрації у відповідних реєстрах установлена законодавством України та/або внутрішніми документами фінансової компанії);
( Главу 10 розділу IV доповнено новим пунктом 66-1 згідно з Постановою Національного банку № 12 від 02.02.2026 )
67. Фінансова компанія розробляє та впроваджує процедури контролю за повнотою та якістю даних про події операційного ризику, що передбачають:
1) розподіл обов’язків та відповідальності між підрозділами фінансової компанії щодо контролю за повнотою та якістю даних про події операційного ризику під час їх збору, унесення до бази внутрішніх подій операційного ризику та подальшої перевірки;
2) заходи поточного (під час збору та внесення даних до бази внутрішніх подій операційного ризику) та подальшого контролю за повнотою та якістю даних про події операційного ризику, включаючи автоматизовані та/або ручні перевірки щодо наявності помилок та суперечливості даних, відповідності обліковим, фінансовим, статистичним даним та даним управлінської звітності;
3) підходи з управління операційним ризиком із дотриманням моделі трьох ліній захисту.
11. Управління кредитним ризиком
68. Фінансова компанія створює ефективну систему управління кредитним ризиком, що забезпечує виявлення, вимірювання, моніторинг, звітування, контроль і зменшення кредитного ризику як на індивідуальній, так і на портфельній основі.
69. Фінансова компанія під час оцінки кредитного ризику враховує ризик концентрації в розрізі:
1) величини заборгованості за клієнтами та/або групою пов’язаних клієнтів;
2) строків виконання зобов’язань;
3) кредитних продуктів;
4) мети отримання фінансової послуги;
5) видів забезпечення за договорами про надання фінансових послуг;
6) операцій з пов’язаними особами або групою пов’язаних осіб.
70. Фінансова компанія розробляє та періодично (не рідше одного разу на три роки) переглядає кредитну політику з метою забезпечення її ефективності та відповідності рівню ризик-апетиту фінансової компанії.
71. Фінансова компанія доводить кредитну політику до відома працівників, які беруть участь у процесі видачі та супроводження кредитів відповідно до функціональних обов’язків і зобов’язані чітко розуміти підхід до процесу кредитування та нести відповідальність за невиконання політики, порядків і процедур.
72. Кредитна політика має містити:
1) перелік цільових напрямів надання фінансових послуг;
2) загальні критерії кредитування та категорії клієнтів (профіль клієнта, цільова аудиторія), включаючи категорії клієнтів, з якими фінансова компанія відмовляється від установлення ділових відносин;
3) принципи управління ризиком концентрації;
4) загальні умови, на яких мають надаватися такі фінансові послуги: цінові умови, строковість, обсяги, види забезпечення та рівень забезпечення (покриття) заборгованості;
5) порядок ухвалення рішень про надання фінансових послуг;
6) процедуру делегування повноважень щодо ухвалення рішень про надання фінансових послуг;
7) підходи до операцій з пов’язаними особами;
8) ліміти кредитного ризику, порядок установлення лімітів кредитного ризику та порядок їх контролю.
73. Порядок та процедури з управління кредитним ризиком фінансової компанії мають обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення кредитного ризику, включаючи інструменти / індикатори, що використовуються;
2) перелік документів, які має надати клієнт для розгляду запиту (заяви), на підставі якого (якої) фінансова компанія визначає можливість укладення з ним договору про надання фінансових послуг (далі - запит);
3) порядок розгляду запиту, підстави для ухвалення рішень щодо надання фінансової послуги;
4) порядок роботи фінансової компанії з клієнтом до і під час надання фінансових послуг, включаючи розкриття клієнту інформації про умови і порядок надання кредиту, а також про орієнтовну загальну вартість кредиту для споживача фінансових послуг за весь строк користування кредитом;
5) вимоги до оцінки майна, що отримується фінансовою компанією в заставу або забезпечення за договорами про надання фінансових послуг;
6) порядок формування резервів під очікувані збитки за фінансовими активами у відповідності до міжнародних стандартів фінансової звітності;
7) порядок перегляду умов надання фінансової послуги;
8) порядок роботи із заборгованістю, яка не була сплачена клієнтом у строк, визначений договором;
9) порядок обміну інформацією між учасниками процесу управління кредитним ризиком, включаючи види, форми й терміни надання інформації.
74. Фінансова компанія створює та застосовує механізми внутрішнього контролю, інші механізми, що забезпечують своєчасне інформування органу управління фінансової компанії про відхилення від кредитної політики, порядку і процедур управління кредитним ризиком та порушення встановлених лімітів ризиків для прийняття своєчасних і адекватних управлінських рішень.
12. Управління комплаєнс-ризиком
75. Фінансова компанія створює ефективну систему управління комплаєнс-ризиком, що має бути повністю інтегрована в загальну систему управління ризиками.
76. Фінансова компанія розробляє та запроваджує:
1) процедури та процеси забезпечення відповідності діяльності фінансової компанії вимогам законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, законодавства України про захист прав споживачів фінансових послуг, включаючи вимоги щодо взаємодії зі споживачами фінансових послуг при врегулюванні простроченої заборгованості (вимоги щодо етичної поведінки), нагляду (контролю) за дотриманням вимог законодавства України про рекламу (у частині реклами фінансових послуг), контролю за поширенням інформації про фінансові та супровідні послуги (далі - законодавство України про захист прав споживачів фінансових послуг) та внутрішнім документам фінансової компанії, включно за новими продуктами та значними змінами в діяльності до початку їх упровадження, включаючи зміни в реалізації продуктів;
2) політику виявлення, запобігання та управління конфліктами інтересів у фінансовій компанії;
3) процедуру забезпечення контролю за достовірністю фінансової та регуляторної звітності;
4) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, включаючи види, форму й терміни надання інформації;
5) процедуру забезпечення контролю за виконанням вимог законодавства України щодо залучення коштів фінансовими компаніями (якщо компанія здійснює залучення коштів);
6) правила взаємодії фінансової компанії з Національним банком, іншими органами державної влади та державного управління, які в межах компетенції здійснюють нагляд за діяльністю фінансової компанії, з питань дотримання фінансовою компанією вимог законодавства України.
77. Фінансова компанія забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом’якшення.
78. Головний комплаєнс-менеджер [керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу] подає звіти щодо оцінки комплаєнс-ризику органу управління не рідше одного разу на квартал або частіше у випадках, установлених законодавством України.
Головний комплаєнс-менеджер [керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу] відповідає за організацію навчання суб’єктів внутрішнього контролю з питань дотримання встановлених фінансовою компанією вимог системи внутрішнього контролю.
Головний комплаєнс-менеджер [керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу] має право з виконанням основних функцій поєднувати виконання функції відповідального працівника фінансової компанії за проведення фінансового моніторингу з урахуванням вимог цього Положення, Положення про авторизацію надавачів фінансових послуг та умови здійснення ними діяльності з надання фінансових послуг, затвердженого постановою Правління Національного банку України від 29 грудня 2023 року № 199 (зі змінами) (далі - Положення № 199), та вимог Положення про здійснення установами фінансового моніторингу, затвердженого постановою Правління Національного банку України від 28 липня 2020 року № 107 (зі змінами).
79. Фінансова компанія зобов’язана запровадити культуру управління ризиками з метою просування обізнаності органу управління фінансової компанії, а також працівників фінансової компанії (включаючи осіб, які виконують функції або окремі завдання та процеси в межах функцій на аутсорсингу) щодо ризиків, ризик-апетиту, стратегії управління ризиками на всіх організаційних рівнях, що сприяє:
1) усвідомленню ризик-апетиту та пов’язаних із ним лімітів ризиків (включаючи ліміти ризиків, установлені для окремих підрозділів фінансової компанії та в межах таких підрозділів);
2) послідовному впровадженню системи управління ризиками в усіх підрозділах / функціях фінансової компанії;
3) підтримці своєчасного вимірювання (оцінки) та інформування про нові ризики.
80. Фінансова компанія зобов’язана передбачити процедури та процеси забезпечення дотримання компанією пруденційних вимог, включаючи пруденційні нормативи, установлені нормативно-правовими актами Національного банку для видів діяльності, які здійснює фінансова компанія, безперервного моніторингу їх виконання, виявлення ризику їх порушення, а також негайного повідомлення про такий ризик органу управління фінансової компанії, та порядку такого повідомлення.
81. Фінансова компанія, що залучає кошти від інвестора - фізичної особи, додатково до вимог пункту 76 глави 12 розділу IV цього Положення забезпечує отримання та збереження доказів відповідності такої фізичної особи вимогам, установленим Положенням № 199.
82. Фінансова компанія, яка не є підприємством, що становить суспільний інтерес, має право передавати на аутсорсинг:
1) функцію ведення бухгалтерського обліку, внутрішнього аудиту, управління ризиками та/або контролю за дотриманням норм (комплаєнс) та/або окремі завдання чи процеси в межах таких функцій у порядку, визначеному в главі 19 розділу II Положення № 199;
2) інші функції чи окремі завдання та процеси в межах таких функцій у порядку, установленому такою фінансовою компанією, на підставі укладених договорів.
Фінансова компанія, яка не є підприємством, що становить суспільний інтерес, у разі передавання на аутсорсинг функції з ведення бухгалтерського обліку, внутрішнього аудиту або функції з управління ризиками (крім аутсорсингу виконання окремих завдань та процесів у межах виконання такої функції), призначає з числа своїх штатних працівників особу, відповідальну за контроль за дотриманням аутсорсером вимог законодавства України.
( Пункт 82 глави 12 розділу IV в редакції Постанови Національного банку № 12 від 02.02.2026 )
13. Управління ризиком ліквідності
83. Фінансова компанія створює ефективну систему управління ризиком ліквідності для забезпечення підтримання достатнього рівня ліквідності як у звичайних, так і в стресових ситуаціях, що має бути повністю інтегрована в загальну систему управління ризиками.
Фінансова компанія оцінює ризик ліквідності з урахуванням його взаємозв’язку та впливу на інші ризики, притаманні її діяльності.
Фінансова компанія визначає мінімальний перелік кількісних показників ризик-апетиту до ризику ліквідності, до якого належать тривалість періоду повного і своєчасного виконання фінансовою компанією своїх зобов’язань за договорами, укладеними з клієнтами під час стресової ситуації, та потрібний для цього обсяг ліквідних активів.
84. Фінансова компанія здійснює планування діяльності та планує укладення нових договорів про надання фінансових послуг з урахуванням можливості реалізації факторів ризику, включаючи втрату або погіршення умов залучення незабезпечених і доступних у нормальних умовах джерел фінансування, а також наявного обсягу необтяжених ліквідних активів.
85. Фінансова компанія розробляє та запроваджує порядок і процедури управління ризиком ліквідності, що повинні обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення ризику ліквідності, включаючи інструменти / індикатори, що використовуються;
2) перелік стабільних джерел фінансування, а також вимоги до складу, обсягу та характеристик високоякісних ліквідних активів, які фінансова компанія планує використати для покриття можливого дефіциту ліквідності;
3) перелік індикаторів раннього попередження про настання / загрозу настання кризи ліквідності;
4) порядок обміну інформацією між учасниками процесу управління ризиком ліквідності, включаючи види, форму й терміни надання інформації.
86. Головний ризик-менеджер (керівник підрозділу з управління ризиками або особа, на яку покладена функція такого підрозділу такого підрозділу) подає звіти щодо ризику ліквідності відповідальному органу фінансової компанії не рідше одного разу на квартал, виконавчому органу - не рідше одного разу на місяць.
V. Організація внутрішнього аудиту у фінансовій компанії
14. Підходи в організації аудиту
87. Служба внутрішнього аудиту підпорядковується відповідальному органу фінансової компанії та звітує перед ним.
88. Служба внутрішнього аудиту організаційно не залежить від інших підрозділів фінансової компанії (не підпорядковується таким підрозділам).
Служба внутрішнього аудиту з метою забезпечення організаційної незалежності служби внутрішнього аудиту повинна мати можливість прямого звернення до відповідального органу фінансової компанії та виконавчого органу фінансової компанії.
( Пункт 88 глави 14 розділу V доповнено новим абзацом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89. Служба внутрішнього аудиту здійснює свою діяльність на підставі положення про внутрішній аудит фінансової компанії із дотриманням законодавства України та міжнародних стандартів професійної практики внутрішнього аудиту, включаючи Глобальні стандарти внутрішнього аудиту, прийняті Радою з міжнародних стандартів внутрішнього аудиту (International Internal Audit Standards Board - IIASB) та опубліковані 09 січня 2024 року Інститутом внутрішніх аудиторів (далі - Глобальні стандарти внутрішнього аудиту).
( Пункт 89 глави 14 розділу V в редакції Постанови Національного банку № 12 від 02.02.2026 )
89-1. Фінансова компанія з урахуванням положень пункту 36 глави 7 розділу III цього Положення та відповідно до Глобальних стандартів внутрішнього аудиту зобов’язана мати внутрішні документи з питань внутрішнього аудиту, які повинні визначати:
1) стратегію внутрішнього аудиту фінансової компанії, яка щонайменше має містити бачення організації та подальшого розвитку функції внутрішнього аудиту, стратегічні цілі та заходи для досягнення стратегічних цілей із підтримки функції внутрішнього аудиту;
2) порядок та процедури здійснення внутрішнього аудиту фінансової компанії [складання плану (змін до плану) проведення внутрішніх аудиторських перевірок фінансової компанії, оформлення їх результатів та документування, програми забезпечення та підвищення якості внутрішнього аудиту, моніторинг (відстеження) службою внутрішнього аудиту стану виконання рекомендацій (пропозицій), наданих за результатами внутрішніх аудиторських перевірок та порядок ескалювання органу управління фінансової компанії повідомлень про невиконання рекомендацій (пропозицій), наданих за результатами внутрішніх аудиторських перевірок];
3) методологію внутрішнього аудиту фінансової компанії, яка щонайменше має містити методологію побудови відносин і комунікації між підрозділом внутрішнього аудиту фінансової компанії та особами, які прямо або опосередковано зацікавлені в діяльності фінансової компанії і її результатах, методологію управління ресурсами внутрішнього аудиту для реалізації стратегії внутрішнього аудиту;
4) порядок організації функції внутрішнього аудиту, який щонайменше має містити мету, завдання, повноваження та обов’язки служби внутрішнього аудиту, підзвітність підрозділу внутрішнього аудиту;
5) шляхи забезпечення постійного професійного розвитку компетенцій осіб, відповідальних за проведення внутрішнього аудиту та їх навчання;
6) критерії визначення значних змін у діяльності фінансової компанії.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89-2. Фінансова компанія зобов’язана періодично (не рідше одного разу на рік) здійснювати оцінку необхідності внесення змін у внутрішні документи з питань внутрішнього аудиту.
Фінансова компанія переглядає внутрішні документи з питань внутрішнього аудиту в разі змін у законодавстві України, Глобальних стандартах внутрішнього аудиту, якщо зміни потребують їх урахування у внутрішніх документах з питань внутрішнього аудиту.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89-3. Відповідальний орган фінансової компанії зобов’язаний забезпечити службу внутрішнього аудиту ресурсами, потрібними для виконання функцій та річного плану внутрішнього аудиту.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89-4. Фінансова компанія зобов’язана запровадити систему обов’язкового документування результатів навчання внутрішніх аудиторів, яка передбачає збереження документів про завершене навчання.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89-5. Винагорода внутрішніх аудиторів не повинна залежати від результатів роботи структурних підрозділів фінансової компанії.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89-6. Служба внутрішнього аудиту зобов’язана:
1) володіти знанням Глобальних стандартів внутрішнього аудиту, а також знаннями, навичками та вміннями, необхідними для виконання посадових обов’язків;
2) дотримуватися принципів та стандартів у сфері етики та професіоналізму, визначених Глобальними стандартами внутрішнього аудиту;
3) підвищувати свою кваліфікацію та розвивати професійну компетентність шляхом:
участі в професійних організаціях аудиторів;
проходження відповідного внутрішнього навчання, навчання в закладах освіти, що надають послуги з підвищення кваліфікації внутрішніх аудиторів, навчання, організованого професійними організаціями аудиторів.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
89-7. Служба внутрішнього аудиту під час виконання функції внутрішнього аудиту в фінансовій компанії зобов’язана:
1) не розголошувати та не використовувати конфіденційну інформацію, що стала відома під час виконання функцій, на свою користь чи на користь третіх осіб, та забезпечити збереження і своєчасне повернення одержаних від керівників або структурних підрозділів фінансової компанії документів та інформації на всіх носіях;
2) не брати участі в створенні та організації, включаючи разом зі структурними підрозділами фінансової компанії, будь-яких заходів та процесів, що забезпечують діяльність фінансової компанії (крім заходів та процесів внутрішнього аудиту) або сприймаються як такі, що впливають на неупередженість та об’єктивність внутрішніх аудиторів;
3) не брати участі в розробленні внутрішніх документів фінансової компанії (крім документів щодо виконання функції внутрішнього аудиту) та не візувати внутрішні документи фінансової компанії.
( Главу 14 розділу V доповнено новим пунктом згідно з Постановою Національного банку № 12 від 02.02.2026 )
( Пункт 90 виключено на підставі Постанови Національного банку № 12 від 02.02.2026 )
14-1. Планування роботи служби внутрішнього аудиту та здійснення внутрішніх аудиторських перевірок
89-8. Виконання функції внутрішнього аудиту фінансової компанії передбачає здійснення внутрішніх аудиторських перевірок фінансової компанії (далі - внутрішній аудит) принаймні один раз на рік або частіше, якщо відбулися значні зміни в діяльності фінансової компанії відповідно до критеріїв значних змін, визначених фінансовою компанією відповідно до Глобальних стандартів внутрішнього аудиту та річного плану проведення аудиторських перевірок на звітний рік.
89-9. Служба внутрішнього аудиту фінансової компанії готує річний план аудиторських перевірок на основі ризик орієнтованого підходу та рекомендацій Національного банку (за наявності) і за потреби може переглядати його принаймні один раз на рік або частіше, якщо відбулися значні зміни в діяльності фінансової компанії, відповідно до критеріїв значних змін, визначених фінансовою компанією відповідно до Глобальних стандартів внутрішнього аудиту.
89-10. Служба внутрішнього аудиту подає річний план аудиторських перевірок на затвердження відповідальному органу фінансової компанії до 10 грудня року, що передує звітному.
Відповідальний орган фінансової компанії затверджує річний план аудиторських перевірок не пізніше 31 грудня року, що передує звітному.
89-11. Служба внутрішнього аудиту має право проводити аудиторські перевірки, що не включені до річного плану аудиторських перевірок (далі - позапланові внутрішні аудиторські перевірки), для забезпечення оцінки тих сфер діяльності фінансової компанії, у яких є (виникли) значні ризики протягом звітного року.
Позапланові внутрішні аудиторські перевірки можуть здійснюватися на вимогу відповідального органу фінансової компанії та/або за погодженою з відповідальним органом фінансової компанії ініціативою виконавчого органу фінансової компанії чи служби внутрішнього аудиту.
89-12. Служба внутрішнього аудиту щороку включає до плану внутрішнього аудиту завдання з оцінки надійності, адекватності та ефективності системи внутрішнього контролю за процесом формування звітності, що надається до Національного банку.
Звіт за результатами такого завдання має містити висновок щодо здатності впроваджених заходів контролю забезпечувати достовірність, повноту та вчасність звітування, а також інформацію про показники, файли звітності, дані бухгалтерського, операційного та реєстраційного обліку, які підлягали аудиту, період перевірки, обсяг вибірки, які використовувалися під час тестування контролю, установлені недоліки та порушення, а також рекомендації щодо вдосконалення системи внутрішнього контролю фінансової компанії та відповідальних за їх виконання, строки виконання рекомендацій.
89-13. Національний банк має право вимагати у фінансової компанії:
1) проведення службою внутрішнього аудиту:
внутрішнього аудиту;
аудиторської перевірки з окремих питань діяльності та/або за визначений період діяльності фінансової компанії;
2) надання Національному банку інформації з питань, що належать до компетенції служби внутрішнього аудиту, за формою та в установлений ним у письмовому запиті строк;
3) приведення діяльності служби внутрішнього аудиту у відповідність до Глобальних стандартів внутрішнього аудиту та вимог законодавства України.
89-14. Річний бюджет служби внутрішнього аудиту може бути включений до загального бюджету фінансової компанії та забезпечувати реалізацію стратегії та ефективне виконання функції та плану внутрішнього аудиту.
( Розділ V доповнено новою главою 14-1 згідно з Постановою Національного банку № 12 від 02.02.2026 )
15. Звітність за результатами аудиту
91. Служба внутрішнього аудиту за результатами проведеної роботи готує та подає відповідальному органу:
1) щонайменше два рази на рік протягом 15 днів місяця, наступного за звітним періодом (пів року), звіт про діяльність служби внутрішнього аудиту та інші документи за результатами внутрішнього аудиту і пропозиції щодо усунення виявлених порушень та підвищення ефективності процесів управління та контролю фінансової компанії;
2) не пізніше останнього дня першого місяця року, наступного за звітним, звіт про виконання річного плану проведення внутрішніх аудиторських перевірок фінансової компанії з наданням підтвердження щодо організаційної незалежності підрозділу внутрішнього аудиту фінансової компанії, а також оцінку ефективності внутрішнього аудиту з дотриманням Глобальних стандартів внутрішнього аудиту.
( Пункт 91 глави 15 розділу V в редакції Постанови Національного банку № 12 від 02.02.2026 )
92. В аудиторському звіті за результатами внутрішнього аудиту викладаються цілі та обсяг аудиторських завдань, виявлені недоліки в діяльності фінансової компанії, випадки недотримання внутрішніх документів фінансової компанії, причини, що зумовили такі недоліки та/або порушення, пропозиції з визначенням строків щодо їх усунення.
( Пункт 92 глави 15 розділу V в редакції Постанови Національного банку № 12 від 02.02.2026 )
93. Аудиторський звіт за результатами внутрішнього аудиту складається з урахуванням Глобальних стандартів внутрішнього аудиту, підписується (власноруч або електронним підписом) особою, яка безпосередньо виконувала перевірку / головним внутрішнім аудитором, та доводиться до відома власнику процесу, що перевірявся.
( Пункт 93 глави 15 розділу V в редакції Постанови Національного банку № 12 від 02.02.2026 )
94. Аудиторський звіт за результатами внутрішнього аудиту надається керівникам підрозділів, що підлягали аудиту, виконавчому органу фінансової компанії для вжиття своєчасних і належних організаційних заходів.
95. Процес моніторингу (відстеження) службою внутрішнього аудиту результатів внутрішніх аудиторських перевірок фінансової компанії починається після підписання / затвердження аудиторського звіту та закінчується після виконання усіх наданих рекомендацій (пропозицій).
96. Подальший моніторинг (відстеження) результатів внутрішніх аудиторських перевірок завершується після підтвердження службою внутрішнього аудиту фінансової компанії виконання підрозділом / підрозділами фінансової компанії, що підлягав / підлягали аудиту, усіх та повною мірою рекомендацій (пропозицій), що надавалися за результатами аудиту.
15-1. Контроль за діяльністю / оцінювання діяльності служби внутрішнього аудиту
96-1. Відповідальний орган фінансової компанії здійснює контроль за діяльністю служби внутрішнього аудиту, щорічне оцінювання ефективності та відповідності служби внутрішнього аудиту встановленим вимогам.
96-2. Щорічне оцінювання ефективності служби внутрішнього аудиту, що здійснюється відповідальним органом фінансової компанії, включає:
1) аналіз цілей діяльності служби внутрішнього аудиту, включаючи їх відповідність законодавству України та Глобальним стандартам внутрішнього аудиту;
2) аналіз здатності служби внутрішнього аудиту виконувати свої функції та обов’язки;
3) оцінку прогресу у виконанні службою внутрішнього аудиту цілей діяльності / показників результативності служби внутрішнього аудиту / плану внутрішнього аудиту;
4) розгляд результатів програми забезпечення та підвищення якості функції внутрішнього аудиту;
5) визначення ступеня досягнення цілей діяльності служби внутрішнього аудиту.
96-3. Зовнішня оцінка проводиться не рідше ніж один раз на п’ять років кваліфікованим незалежним експертом або групою незалежних експертів, які не є працівниками фінансової компанії та відповідають Глобальним стандартам внутрішнього аудиту.
Зовнішня оцінка може бути виконана шляхом проведення самооцінки з незалежною верифікацією.
96-4. Внутрішня оцінка проводиться не рідше ніж один раз на рік шляхом розгляду та затвердження відповідальним органом фінансової компанії звіту про діяльність служби внутрішнього аудиту за звітний рік, проведення головним внутрішнім аудитором періодичних самооцінок, здійснення оцінки роботи служби внутрішнього аудиту працівниками фінансової компанії, які володіють достатніми знаннями у сфері внутрішнього аудиту та залучаються в разі потреби для такої оцінки.
96-5. Головний внутрішній аудитор із метою здійснення контролю за діяльністю / оцінювання діяльності служби внутрішнього аудиту:
1) зобов’язаний проводити періодичне внутрішнє оцінювання ефективності виконання функції внутрішнього аудиту не рідше ніж один раз на рік;
2) повідомляє про результати внутрішньої оцінки щонайменше один раз на рік відповідальний орган фінансової компанії та виконавчий орган фінансової компанії.
96-6. Особи, які проводили зовнішню оцінку, повідомляють про результати зовнішньої оцінки відповідальний орган фінансової компанії та виконавчий орган фінансової компанії після її завершення.
96-7. Повідомлення про результати зовнішньої та внутрішньої оцінки обов’язково включають:
1) висновок про:
оцінку ефективності служби внутрішнього аудиту з дотриманням Глобальних стандартів внутрішнього аудиту;
дотримання законодавства України, що стосується внутрішнього аудиту;
2) плани щодо усунення недоліків та можливостей для поліпшення роботи служби внутрішнього аудиту.
96-8. Відповідальний орган фінансової компанії як суб’єкт системи внутрішнього контролю з метою здійснення контролю за діяльністю, щорічної оцінки ефективності та відповідності встановленим вимогам служби внутрішнього аудиту:
1) забезпечує контроль за проведенням внутрішньої оцінки;
2) затверджує методику / методики для внутрішньої оцінки якості роботи служби внутрішнього аудиту, що включає / включають проведення періодичних внутрішніх оцінок, що здійснюються відповідно до вимог програми забезпечення та підвищення якості внутрішнього аудиту;
3) обговорює з головним внутрішнім аудитором програму забезпечення та підвищення якості внутрішнього аудиту;
4) затверджує показники результативності служби внутрішнього аудиту щонайменше один раз на рік.
( Розділ V доповнено новою главою 15-1 згідно з Постановою Національного банку № 12 від 02.02.2026 )
VI. Контрольна діяльність у фінансовій компанії
16. Процедури контролю у фінансовій компанії
97. Фінансова компанія забезпечує здійснення процедур контролю шляхом:
1) розмежування функцій - працівники, відповідальні за вчинення правочинів, не мають здійснювати бухгалтерський облік операцій, що виконуються за такими правочинами. В одному підрозділі не може бути зосереджено проведення операції, починаючи з її ініціювання до відображення в регістрах бухгалтерського обліку, обліковій та реєстраційній системі фінансової компанії, крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
2) контролю за введенням даних в облікову та реєстраційну систему, інші інформаційні системи фінансової компанії - уведення інформації / операції в облікову та реєстраційну системи, інші інформаційні системи одним працівником (виконавцем) має бути перевірено іншим працівником (контролером), крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
3) звіряння даних - звіряння даних має відбуватися між різними інформаційними та обліковими системами, а також на різних етапах оброблення даних, що реалізується шляхом порівняння детальної інформації та/або кінцевих даних;
4) контролю за виправленнями - унесення будь-яких виправлень до вхідної інформації в обліковій та реєстраційній системі, інших системах фінансової системи має бути додатково проконтрольовано особою, яка є штатним працівником фінансової компанії та не є виконавцем такого виправлення.
98. Фінансова компанія здійснює контрольну діяльність шляхом:
1) запровадження та виконання заходів із контролю щодо всіх процесів та на всіх організаційних рівнях;
