2) розгляду звітів, підготовлених за результатами здійснення контрольних заходів;
3) налаштування надійної системи звітування структурних / відокремлених підрозділів перед фінансовою компанією про інциденти, що сталися (визначаються фінансовою компанією самостійно у внутрішніх документах).
99. Фінансова компанія, розробляє та контролює виконання внутрішніх документів, що встановлюють:
1) види, періодичність та порядок здійснення заходів із контролю;
2) підрозділи / працівників, відповідальних за проведення заходів із контролю;
3) облікову політику фінансової компанії;
4) правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності фінансової компанії (фінансової та регуляторної), звітів у межах системи внутрішнього контролю, їх види, періодичність та порядок підготовки;
5) періодичність та порядок розгляду звітів;
6) осіб / орган управління фінансової компанії, уповноважених / уповноважений здійснювати розгляд звітів;
7) регламенти / порядки складання звітів у межах системи внутрішнього контролю;
8) перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту та обробки персональних даних працівників та клієнтів фінансової компанії;
9) інформацію про механізм захисту прав споживачів фінансових послуг та порядок урегулювання спірних питань, що виникають у процесі надання фінансових та інших послуг фінансовою компанією, а саме: порядок звернення споживача до фінансової компанії, включно зі скаргою на дії фінансової компанії, із зазначенням форми, у якій приймаються такі звернення (усна, письмова, усна та письмова), та каналів для їх прийняття (контактний номер телефону, електронна або поштова адреса для листування або інший спосіб зв’язку з фінансовою компанією); порядок реєстрації, розгляду та опрацювання заяви (повідомлення), звернення, скарги споживача фінансових послуг; порядок надання інформації споживачу фінансових послуг про хід розгляду заяви (повідомлення), звернення, скарги споживача фінансових послуг; опис альтернативних схем вирішення спорів зі споживачем фінансових послуг (якщо застосовується); опис аналізу даних щодо заяв (повідомлень), звернень, скарг споживачів фінансових послуг, що застосовується фінансовою компанією, та заходи (дії) за результатами такого аналізу для припинення виявлених порушень;
10) порядок реєстрації, розгляду та опрацювання звернень громадян, юридичних осіб, фізичних осіб-підприємців, громадських формувань, органів державної влади та місцевого самоврядування;
11) види, періодичність та порядок здійснення заходів із контролю, підрозділи / працівники, відповідальні за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та осіб, уповноважених здійснювати розгляд звітів;
12) перелік та опис способів здійснення моніторингу та контролю за функціями, що виконуються третіми особами, які залучаються до виконання ключових функцій (у разі залучення таких осіб на аутсорсинг);
13) перелік та опис способів здійснення моніторингу та контролю за наданням фінансової послуги з торгівлі валютними цінностями в готівковій формі відокремленими підрозділами та/або комерційними агентами / посередниками (за їх наявності / залучення).
100. Фінансова компанія здійснює заходи з контролю з метою запобігання, виявлення та усунення порушень законодавства України та внутрішніх документів фінансової компанії.
101. Фінансова компанія зобов’язана здійснювати внутрішній контроль за дотриманням законодавства України про захист прав споживачів фінансових послуг.
102. Фінансова компанія зобов’язана забезпечити розроблення, упровадження та застосування механізмів внутрішнього контролю під час організації внутрішніх процесів, а також у разі залучення третіх осіб до надання та/або рекламування послуг за умови дотримання законодавства України про захист прав споживачів фінансових послуг та несе відповідальність за недотримання вимог такими особами.
103. Заходами, дотримання яких свідчить про впровадження та ефективне функціонування контрольної діяльності як компонента системи внутрішнього контролю фінансової компанії, є:
1) фінансова компанія затвердила внутрішні документи щодо системи внутрішнього контролю та довела їх до відома всіх суб’єктів внутрішнього контролю (у межах їх компетенції);
2) фінансова компанія визначила у внутрішніх документах види контрольної діяльності за інформаційними та обліковими системами й технологіями (за потреби).
104. Процедурами контролю, наявність яких свідчить про належне впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю фінансової компанії, є дотримання заходів, установлених у пункті 23 глави 7 розділу III цього Положення, та:
1) фінансова компанія враховує ефективність застосовуваних у минулих періодах окремих видів заходів із контролю;
2) фінансовою компанією забезпечено можливість моніторингу здійснення відповідного виду контролю.
17. Контрольні заходи в контрольній діяльності
105. Фінансова компанія зобов’язана враховувати під час розроблення та перегляду контрольних заходів:
1) зміни в ринковому середовищі та законодавстві України;
2) адекватність установлених заходів із контролю щодо кожного з операційних та комплаєнс-ризиків;
3) ефективність застосовуваних у минулих періодах окремих видів заходів із контролю;
4) можливість моніторингу здійснення відповідного виду контролю.
106. Фінансова компанія визначає осіб, відповідальних за здійснення контрольних заходів, підготовку та опрацювання звітів про результати здійснення контрольних заходів за горизонтальною та вертикальною взаємодією з урахуванням принципу недопущення конфлікту інтересів.
107. Фінансова компанія зобов’язана проводити щорічну самостійну оцінку відповідності системи внутрішнього контролю (далі - щорічна самооцінка) її цілям, розміру, видам діяльності, вимогам законодавства України з обов’язковим урахуванням результатів здійснення контрольної діяльності та заходів із моніторингу ефективності системи внутрішнього контролю.
Результати проведеної щорічної самооцінки мають бути викладені у формі звіту про результати щорічної самооцінки за підписом уповноваженого працівника фінансової компанії / керівника підрозділу, відповідального за складання такого звіту.
Звіт про результати щорічної самооцінки має включати оцінку системи внутрішнього контролю. Звіт про результати щорічної самооцінки може містити іншу інформацію, обов’язковість включення якої визначено у внутрішньому документі / внутрішніх документах щодо системи внутрішнього контролю.
108. Звіт про результати щорічної самооцінки має бути доведений до відома відповідального органу, виконавчого органу та ключових осіб фінансової компанії.
18. Контроль за інформаційними потоками та комунікаціями
109. Фінансова компанія визначає у внутрішньому документі / внутрішніх документах порядок здійснення суб’єктами внутрішнього контролю зовнішніх та внутрішніх комунікацій, порядок використання та отримання інформації з урахуванням установлення вимог до:
1) порядку роботи із зовнішньою / внутрішньою кореспонденцією, визначення відповідальних за адміністрування вхідної кореспонденції (права доступу, періодичність та терміни опрацювання);
2) процедури визначення кінцевих отримувачів та відповідальних за підготовку відповідей на вхідну кореспонденцію;
3) установлення обмежень на поширення інформації за межі фінансової компанії, надісланої фінансовій компанії Національним банком, як цільовому респонденту.
110. Фінансова компанія в разі настання технічного збою або інших невідворотних обставин (за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) зобов’язана невідкладно, але не пізніше другого робочого дня, а в разі настання технічного збою або інших невідворотних обставин у вихідний, святковий або неробочий день наступного робочого дня від дня настання технічного збою або інших невідворотних обставин повідомити Національний банк про факт настання технічного збою або інших невідворотних обставин будь-яким технічним засобом електронних комунікацій на гарячу лінію (контактний центр) Національного банку. Факт повідомлення Національного банку про технічний збій має бути зафіксовано в базі подій операційного ризику із зазначенням інформації про причини настання технічного збою, оцінку критичності наслідків та вжиті фінансовою компанією заходи для усунення наслідків технічного збою.
111. Фінансова компанія має право не повідомляти Національний банк про факт настання технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29), якщо тривалість такого технічного збою або інших невідворотних обставин не перевищує 24 години поспіль із моменту настання технічного збою або інших невідворотних обставин, за умови, що такий технічний збій або інші невідворотні обставини не призвели до невиконання фінансовою компанією вимог законодавства України. Інформація про технічний збій має бути зафіксована в базі подій операційного ризику із зазначенням причини настання технічного збою, оцінки критичності наслідків, ужитих заходів для усунення наслідків технічного збою.
112. Відокремлені / структурні підрозділи фінансової компанії зобов’язані протягом 30 хвилин із моменту виявлення технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) інформувати уповноважену особу фінансової компанії про їх настання в порядку, визначеному у внутрішньому документі / внутрішніх документах фінансової компанії.
113. Керівник фінансової компанії (уповноважена особа) зобов’язаний (зобов’язана) подавати до Національного банку повідомлення про факт настання технічного збою або інших невідворотних обставин у строки, спосіб та відповідно до вимог, установлених Положенням № 29. У повідомленні мають бути зазначені причини настання технічного збою, оцінка критичності наслідків та описані вжиті заходи для усунення наслідків технічного збою.
114. Критеріями, які свідчать про забезпечення якості інформації, що створюється, використовується та отримується фінансовою компанією у своїй діяльності є її:
1) актуальність, що полягає у внесенні змін до інформації та повідомленні заінтересованих осіб про такі зміни протягом розумного строку з моменту настання обставин, що спричинили необхідність їх внесення;
2) коректність, що полягає в забезпеченні достовірності та повноти інформації;
3) цілісність, що полягає у вжитті заходів із метою захисту інформації, включно з використанням інформаційних систем і технологій, спрямованих на захист інформації від спотворення, пошкодження, втрати або знищення;
4) збереження, що полягає в збереженні інформації протягом усього строку її використання фінансовою компанією, але не менше строків, визначених законодавством України та внутрішнім документом / внутрішніми документами;
5) доступність, що полягає у визначенні у внутрішньому документі / внутрішніх документах переліків інформації, яка є:
загальнодоступною;
з обмеженим доступом - може бути отримана та/або використана суб’єктами внутрішнього контролю виключно в межах їх повноважень;
6) достатність, що полягає у відповідності рівня деталізації інформації потребам внутрішніх та зовнішніх користувачів.
115. Фінансова компанія зобов’язана визначити у внутрішньому документі / внутрішніх документах порядок проведення перевірки якості інформації, достовірність джерела походження такої інформації.
Перевірка якості інформації має проводитись уповноваженими суб’єктами внутрішнього контролю.
116. Фінансова компанія зобов’язана забезпечити суб’єктів внутрішнього контролю можливістю використовувати інформаційні системи та технології, функціональні можливості яких дають змогу проведення перевірки дотримання критеріїв якості інформації.
117. Фінансова компанія має право запроваджувати внутрішню систему повідомлення працівниками (включаючи конфіденційно) про виявлені ризики порушення вимог законодавства України та внутрішніх документів.
Порядок роботи такої системи в разі її запровадження має бути визначено внутрішніми документами та доведено до відома всіх працівників.
118. Фінансова компанія визначає у внутрішньому документі / внутрішніх документах заходи з контролю під час здійснення зовнішньої комунікації, включаючи порядок отримання інформації від зовнішніх користувачів, її перевірки та передавання цієї інформації в межах організаційної структури фінансової компанії.
119. Суб’єкти внутрішнього контролю, уповноважені здійснювати зовнішні комунікації, зобов’язані дотримуватися вимог законодавства України та внутрішніх документів фінансової компанії щодо нерозголошення інформації з обмеженим доступом.
120. Фінансова компанія, здійснюючи внутрішню та зовнішню комунікацію, зобов’язана дотримуватися критеріїв якості інформації, визначених цим Положенням.
121. Фінансова компанія має право встановити у внутрішньому документі / внутрішніх документах порядок проведення оцінки якості та ефективності внутрішніх та зовнішніх комунікацій, їх впливу на ефективне функціонування системи внутрішнього контролю та на досягнення цілей його діяльності.
19. Моніторинг ефективності системи внутрішнього контролю
122. Фінансова компанія здійснює моніторинг ефективності системи внутрішнього контролю відповідно до вимог цього Положення та внутрішніх документів із метою:
1) оцінки якості роботи системи внутрішнього контролю за певний період часу;
2) визначення здатності системи внутрішнього контролю забезпечити досягнення цілей діяльності фінансової компанії, включаючи визначення ймовірності виникнення та оцінку суттєвості потенційно можливих недоліків системи внутрішнього контролю, що можуть спричинити негативний вплив на досягнення цілей;
3) розроблення заходів, спрямованих на мінімізацію негативного впливу з метою вдосконалення системи внутрішнього контролю.
123. Фінансова компанія обирає види заходів із моніторингу системи внутрішнього контролю, включаючи моніторинг ефективності процедур із контролю та оцінку ефективності системи внутрішнього контролю як комбінацію поточних та періодичних заходів із моніторингу з урахуванням установлених цілей діяльності, кількості та складності видів контролю, ймовірності виникнення недоліків, а також кваліфікації та досвіду працівників.
124. Фінансова компанія має право визначати у внутрішньому документі / внутрішніх документах, крім суб’єктів третьої лінії захисту, й інших працівників фінансової компанії першої й другої ліній захисту, уповноважених здійснювати моніторинг ефективності внутрішнього контролю.
125. Заходами, дотримання яких свідчить про впровадження та функціонування моніторингу ефективності як компонента системи внутрішнього контролю фінансової компанії, є:
1) установлення у внутрішньому документі / внутрішніх документах порядку здійснення поточних і періодичних перевірок відповідності законодавству України та внутрішнім документам, якості та ефективності системи внутрішнього контролю;
2) забезпечення належного здійснення уповноваженими суб’єктами внутрішнього контролю оцінок компонентів системи внутрішнього контролю та своєчасне повідомлення про виявлені недоліки системи внутрішнього контролю та / або допущені суб’єктами внутрішнього контролю порушення та причини їх вчинення, відповідальних за прийняття рішення про здійснення заходів для усунення виявлених недоліків, порушень та/або внесення змін до внутрішніх документів.
126. Суб’єкти третьої лінії захисту фінансової компанії зобов’язані здійснювати не рідше одного разу на рік загальну оцінку ефективності системи внутрішнього контролю відповідно до вимог законодавства України.
127. Фінансова компанія здійснює обов’язкові поточні та періодичні заходи з моніторингу ефективності системи внутрішнього контролю.
Поточні заходи з моніторингу здійснюються з метою оперативного виявлення та усунення недоліків системи внутрішнього контролю. Відповідальність за проведення таких заходів несуть суб’єкти першої та другої ліній захисту в межах повноважень.
Періодичні заходи з моніторингу, включаючи оцінку ефективності системи внутрішнього контролю, здійснюються суб’єктами третьої лінії захисту з метою виявлення недоліків після факту події.
128. Суб’єкти третьої лінії захисту фінансової компанії зобов’язані за результатами здійснення моніторингу ефективності системи внутрішнього контролю складати звіти, що надаються на розгляд органу управління фінансової компанії.
129. Звіти, що надаються органу управління фінансової компанії, мають містити інформацію про виявлені недоліки системи внутрішнього контролю та порушення (за наявності), аналіз причин їх виникнення, ймовірні наслідки, до яких можуть призвести ці недоліки, рекомендації / пропозиції щодо підвищення ефективності функціонування системи внутрішнього контролю, процес контролю за станом виконання рекомендацій / пропозицій, затверджених раніше.
130. Фінансова компанія забезпечує подання звітів щодо результатів моніторингу ефективності системи внутрішнього контролю також працівникам, які відповідають за здійснення заходів коригування, та керівникам у межах визначених повноважень.
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
27 грудня 2024 року № 185
Зміни
до Положення про регулювання діяльності фінансових компаній, які мають право здійснювати діяльність з надання гарантій
( Див. текст )
1. Підпункт 3 пункту 10 розділу I виключити.
2. У розділі II:
1) в абзаці сьомому пункту 12 слова "має право включити до" замінити словами "враховує до складу";
2) у пункті 13 слова та літери "має право включити субординований борг до РК (збільшити РК на суму субординованого боргу)" замінити словами та літерами "враховує субординований борг до складу РК (збільшує РК на суму субординованого боргу)";
3) абзац перший пункту 14 викласти в такій редакції:
"14. Небанківський гарант, який відповідно до вимог пункту 13 розділу II цього Положення врахував субординований борг до складу РК, зменшує суму субординованого боргу, врахованого до складу РК:".
3. У додатку до Положення:
1) у заголовку слова "включається до" замінити словами "враховується до складу";
2) у заголовку колонки 3 таблиці, абзаці четвертому пункту 1, абзаці четвертому пункту 2 слова "включається до" замінити словами "враховується до складу".
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
27 грудня 2024 року № 185
Зміни
до Положення про вимоги до системи управління страховика
( Див. текст )
1. Главу 33 розділу VIII після пункту 260 доповнити п’ятьма новими пунктами 260-1-260-5 такого змісту:
"260-1. Страховик після настання технічного збою або інших невідворотних обставин, які об’єктивно унеможливили виконання таким страховиком вимог законодавства України [за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням про порядок повідомлення надавачами фінансових або супровідних послуг про настання технічного збою або інших невідворотних обставин, затвердженим постановою Правління Національного банку України від 14 березня 2024 року № 29 (далі - Положення № 29)], зобов’язаний документально зафіксувати інформацію про:
1) дату та час настання технічного збою або інших невідворотних обставин;
2) тривалість технічного збою або інших невідворотних обставин;
3) причини настання технічного збою або інших невідворотних обставин;
4) види послуг, на які вплинуло настання технічного збою або інших невідворотних обставин;
5) оцінку впливу технічного збою або інших невідворотних обставин на безперервність діяльності страховика;
6) заходи, ужиті для відновлення діяльності та недопущення надалі настання технічного збою або інших невідворотних обставин.
260-2. Страховик у разі настання технічного збою або інших невідворотних обставин (за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) зобов’язаний у порядку, строки та спосіб, визначені цим Положенням, повідомити Національний банк про факт настання технічного збою або інших невідворотних обставин.
260-3. Страховик зобов’язаний невідкладно, але не пізніше другого робочого дня, а в разі настання технічного збою або інших невідворотних обставин у вихідний, святковий або неробочий день наступного робочого дня від дня настання технічного збою або інших невідворотних обставин надавати Національному банку інформацію, зазначену в пункті 260-1 глави 33 розділу VIII цього Положення.
260-4. Інформація про настання технічного збою або інших невідворотних обставин надсилається страховиком до Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються в Національному банку для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (за неможливості внаслідок настання технічного збою або інших невідворотних обставин надсилання інформації іншими способами).
260-5. Страховик має право не повідомляти Національний банк про факт настання технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29), якщо тривалість такого технічного збою або інших невідворотних обставин не перевищує 24 години поспіль із моменту настання технічного збою або інших невідворотних обставин, за умови, що такий технічний збій або інші невідворотні обставини не призвели до невиконання страховиком вимог законодавства України.".
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
27 грудня 2024 року № 185
Зміни
до Положення про вимоги до системи управління кредитною спілкою
( Див. текст )
1. Главу 29 розділу VI після пункту 320 доповнити п’ятьма новими пунктами 320-1-320-5 такого змісту:
"320-1. Кредитна спілка після настання технічного збою або інших невідворотних обставин, які об’єктивно унеможливили виконання такою кредитною спілкою вимог законодавства України [за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням про порядок повідомлення надавачами фінансових або супровідних послуг про настання технічного збою або інших невідворотних обставин, затвердженим постановою Правління Національного банку України від 14 березня 2024 року № 29 (далі - Положення № 29)], зобов’язана документально зафіксувати інформацію про:
1) дату та час настання технічного збою або інших невідворотних обставин;
2) тривалість технічного збою або інших невідворотних обставин;
3) причини настання технічного збою або інших невідворотних обставин;
4) види послуг, на які вплинуло настання технічного збою або інших невідворотних обставин;
5) оцінку впливу технічного збою або інших невідворотних обставин на безперервність діяльності кредитної спілки;
6) заходи, ужиті для відновлення діяльності та недопущення надалі настання технічного збою або інших невідворотних обставин.
320-2. Кредитна спілка в разі настання технічного збою або інших невідворотних обставин (за винятком випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29) зобов’язана в порядку, строки та спосіб, визначені цим Положенням, повідомити Національний банк про факт настання технічного збою або інших невідворотних обставин.
320-3. Кредитна спілка зобов’язана невідкладно, але не пізніше другого робочого дня, а в разі настання технічного збою або інших невідворотних обставин у вихідний, святковий або неробочий день наступного робочого дня від дня настання технічного збою або інших невідворотних обставин надавати Національному банку інформацію, зазначену в пункті 320-1 глави 29 розділу VI цього Положення.
320-4. Інформація про настання технічного збою або інших невідворотних обставин надсилається кредитною спілкою Національному банку:
1) засобами системи електронної пошти Національного банку (у разі підключення);
2) на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua;
3) іншими засобами електронного зв’язку, які використовуються в Національному банку для електронного документообігу;
4) засобами поштового зв’язку в паперовій формі (за неможливості внаслідок настання технічного збою або інших невідворотних обставин надсилання інформації іншими способами).
320-5. Кредитна спілка має право не повідомляти Національний банк про факт настання технічного збою або інших невідворотних обставин (крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про які встановлений Положенням № 29), якщо тривалість такого технічного збою або інших невідворотних обставин не перевищує 24 години поспіль із моменту настання технічного збою або інших невідворотних обставин, за умови, що такий технічний збій або інші невідворотні обставини не призвели до невиконання кредитною спілкою вимог законодавства України.".
