• Посилання скопійовано
Документ підготовлено в системі iplex

Про затвердження Положення про вимоги до системи управління кредитною спілкою

Національний банк України  | Постанова, Звіт, Класифікація, Перелік, Форма типового документа, Положення від 02.02.2024 № 15
Реквізити
  • Видавник: Національний банк України
  • Тип: Постанова, Звіт, Класифікація, Перелік, Форма типового документа, Положення
  • Дата: 02.02.2024
  • Номер: 15
  • Статус: Документ діє
  • Посилання скопійовано
Реквізити
  • Видавник: Національний банк України
  • Тип: Постанова, Звіт, Класифікація, Перелік, Форма типового документа, Положення
  • Дата: 02.02.2024
  • Номер: 15
  • Статус: Документ діє
Документ підготовлено в системі iplex
279. Кредитна спілка затверджує порядок дослідження значних подій операційного ризику, який обов’язково містить:
1) критерії віднесення подій операційного ризику до значних;
2) процедуру ескалації результатів дослідження та затвердження заходів щодо мінімізації наслідків події та запобігання подібним подіям надалі.
280. Кредитна спілка розробляє та запроваджує управлінську звітність про операційні ризики, яка містить звіти щодо:
1) узагальнених даних подій операційного ризику, аналіз їх динаміки порівняно з попередніми періодами;
2) значних подій операційного ризику, результатів дослідження їх причин та заходів щодо запобігання таким подіям надалі;
3) значних зовнішніх подій операційного ризику та їх потенційних наслідків для кредитної спілки;
4) результатів самооцінки операційного ризику та результатів застосування інших інструментів вимірювання операційного ризику, які використовуються кредитною спілкою.
281. Підрозділ з управління ризиками / головний ризик-менеджер подає звіти щодо операційного ризику раді та її комітету з управління ризиками (у разі його створення), виконавчому органу не рідше одного разу на квартал.
282. Підрозділ з управління ризиками / головний ризик-менеджер не пізніше наступного робочого дня після виявлення значних подій операційного ризику інформує раду та її комітет з управління ризиками (у разі його створення), виконавчий орган про значне підвищення операційних ризиків з метою прийняття своєчасних та адекватних управлінських рішень.
25. Управління процентним ризиком
283. Кредитна спілка визначає мінімальний перелік кількісних показників ризик-апетиту до процентного ризику, який складається з очікуваних втрат (можливих збитків) для процентного ризику у відсотках до регулятивного капіталу кредитної спілки.
284. Кредитна спілка розробляє, не рідше одного разу на три роки переглядає та за потреби оновлює (актуалізує) політику, порядки та процедури управління процентним ризиком з метою забезпечення їх відповідності рівню ризик-апетиту до цього ризику.
285. Політика управління процентним ризиком може містити:
1) мету, завдання та принципи управління процентним ризиком;
2) організаційну структуру процесу управління процентним ризиком з урахуванням розподілу функціональних обов’язків учасників процесу, їх повноваження, відповідальність та порядок взаємодії;
3) перелік лімітів для контролю за процентним ризиком та порядок їх установлення;
4) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення процентного ризику;
5) процедури визначення, затвердження та перегляду припущень, що використовуються під час вимірювання процентного ризику;
6) перелік та формат (інформаційне наповнення) форм управлінської звітності щодо процентного ризику, порядок та періодичність / терміни їх надання суб’єктам системи управління ризиками.
286. Порядок та процедури управління процентним ризиком повинні обов’язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення процентного ризику, включаючи інструменти / індикатори, що використовуються;
2) опис сценаріїв зміни процентних ставок, ймовірностей дефолту;
3) порядок обміну інформацією між учасниками процесу управління процентним ризиком, включаючи види, форми і терміни надання інформації.
287. Кредитна спілка використовує під час вимірювання процентного ризику зрозумілі, повні та документовані припущення, що відповідають плану діяльності кредитної спілки, а також історичній ринковій та власній статистиці кредитної спілки.
288. Кредитна спілка розробляє управлінську звітність щодо процентного ризику, яка повинна містити звіти щодо:
1) величини процентного ризику з описовою частиною, що визначає активи, зобов’язання, позабалансові позиції, грошові потоки та продукти, що є головними з точки зору схильності до процентного ризику;
2) порушень кредитною спілкою установлених лімітів процентного ризику та авторизованих перевищень лімітів.
289. Підрозділ з управління ризиками / головний ризик-менеджер подає звіти щодо процентного ризику раді та її комітету з управління ризиками (у разі його утворення) не рідше одного разу на квартал, виконавчому органу - не рідше одного разу на місяць.
290. Підрозділ з управління ризиками / головний ризик-менеджер у разі значного підвищення процентного ризику (наближення фактичних показників ринкового ризику до встановлених значень лімітів або порушення / потенційного порушення лімітів) не пізніше наступного робочого дня інформує про це раду, комітет з управління ризиками (у разі його утворення), виконавчий орган.
26. Управління комплаєнс-ризиком
291. Кредитна спілка створює ефективну систему управління комплаєнс-ризиком, що повинна бути повністю інтегрована в загальну систему управління ризиками.
292. Кредитна спілка розробляє та запроваджує:
1) процедури та процеси забезпечення відповідності діяльності кредитної спілки вимогам законодавства України та внутрішніх документів під час діяльності кредитної спілки;
2) процедуру забезпечення контролю за достовірністю фінансової та регуляторної звітності;
3) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, включаючи види, форми і терміни надання інформації;
4) правила взаємодії кредитної спілки з Національним банком, іншими органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю кредитної спілки, з питань дотримання вимог законодавства України.
293. Кредитна спілка забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом’якшення.
294. Кредитна спілка з метою виявлення та вимірювання комплаєнс-ризику використовує інформацію:
1) від працівників кредитної спілки в межах механізму конфіденційного повідомлення про неприйнятну поведінку в кредитній спілці;
2) із бази внутрішніх подій операційного ризику;
3) зі скарг членів кредитної спілки, інших споживачів послуг / клієнтів кредитної спілки;
4) з особистого звернення працівників кредитної спілки чи третіх осіб до підрозділу комплаєнсу;
5) зі звітів підрозділу внутрішнього аудиту та перевірок зовнішніх аудиторів;
6) результатів перевірок Національним банком, органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю кредитної спілки, накладені штрафи, установлені порушення законодавства України;
7) інших джерел інформації, отриманих працівниками підрозділу комплаєнс під час своєї діяльності.
295. Кредитна спілка розробляє управлінську звітність щодо комплаєнс-ризику, яка повинна обов’язково містити звіти щодо:
1) продуктів, видів діяльності, процесів, що піддають кредитну спілку значному комплаєнс-ризику та впливають на кредитну спілку в разі його реалізації, а також пропозицій щодо уникнення чи пом’якшення цього ризику;
2) випадків порушень вимог законодавства України про діяльність та регулювання діяльності на ринку фінансових послуг і внутрішніх документів кредитної спілки, а також усунення таких порушень;
3) випадків застосування Національним банком заходів впливу, коригувальних заходів або заходів раннього втручання до кредитної спілки;
4) випадків порушень працівниками кредитної спілки кодексу поведінки (етики), результатів дослідження їх причин та заходів для запобігання таким подіям надалі;
5) випадків формування недостовірної звітності для органів державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю кредитної спілки, а також застосованих до кредитної спілки санкцій (крім заходів впливу, застосованих Національним банком);
6) значних змін у законодавстві України та їх потенційних наслідків для кредитної спілки;
7) випадків конфлікту інтересів.
296. Підрозділ комплаєнсу / головний комплаєнс-менеджер подає звіти щодо оцінки комплаєнс-ризику раді та її комітету з управління ризиками (в разі його утворення), виконавчому органу не рідше одного разу на квартал або частіше у випадках, установлених законодавством України.
297. Кредитна спілка створює та веде базу внутрішніх подій комплаєнс-ризику, здійснює аналіз накопиченої в ній інформації. Якщо кредитна спілка веде базу внутрішніх подій комплаєнс-ризику окремо від бази внутрішніх подій операційного ризику, то вона забезпечує реєстрацію в базі внутрішніх подій операційного ризику всіх подій комплаєнс-ризику, що підпадають під визначені кредитною спілкою критерії звітування щодо внутрішніх подій операційного ризику.
V. Організація внутрішнього аудиту
27. Планування роботи підрозділу внутрішнього аудиту / головного внутрішнього аудитора
298. Рада як суб’єкт системи внутрішнього контролю відповідно до виключної компетенції, визначеної Законом про кредитні спілки, визначає плани роботи підрозділу внутрішнього аудиту / головного внутрішнього аудитора та здійснює контроль за його діяльністю.
299. Позапланові внутрішні аудиторські перевірки можуть здійснюватися на вимогу ради, її аудиторського комітету (в разі його утворення) та/або за погодженою з радою ініціативою виконавчого органу чи головного внутрішнього аудитора.
300. Внутрішня аудиторська перевірка незалежно від її тематики має передбачати перевірку та оцінювання таких сфер (процесів) діяльності кредитної спілки:
1) ефективності роботи систем управління ризиками та внутрішнього контролю, корпоративного управління щодо поточних та потенційно можливих ризиків кредитної спілки в майбутньому;
2) надійності, ефективності та цілісності систем та процесів управління інформацією, повноти та якості даних, уключаючи дані, що надаються Національному банку;
3) дотримання кредитною спілкою вимог законодавства України, внутрішніх положень, правил та кодексів поведінки, що застосовуються до працівників кредитної спілки.
301. Внутрішня аудиторська перевірка здійснюється на підставі програми, під час підготовки якої має враховуватися таке:
1) обсяг програми внутрішньої аудиторської перевірки та аудиторських процедур має бути достатнім для досягнення цілей завдання;
2) обсяг та вид проведення аудиторських процедур визначається на основі результатів оцінки ризиків, проведеної під час підготовки до внутрішньої аудиторської перевірки та/або під час складання плану роботи підрозділу внутрішнього аудиту / головного внутрішнього аудитора, річного плану проведення внутрішніх аудиторських перевірок кредитної спілки на звітний рік.
302. Програма внутрішньої аудиторської перевірки може містити:
1) найменування об’єкта (сфери діяльності) внутрішньої аудиторської перевірки;
2) підставу для проведення внутрішньої аудиторської перевірки;
3) цілі та напрями внутрішньої аудиторської перевірки з урахуванням оцінки ризиків, пов’язаних з об’єктом перевірки;
4) перелік процесів, які підлягатимуть внутрішній аудиторській перевірці, із зазначенням орієнтовного часу (днів), що планується витратити на їх перевірку;
5) період, що підлягає внутрішній аудиторській перевірці;
6) дату початку та закінчення проведення внутрішньої аудиторської перевірки;
7) процедури збору, аналізу, оцінки та документування інформації про об’єкт перевірки, мінімальний обсяг вибірки та види аналітичних процедур, що використовуватимуться під час внутрішньої аудиторської перевірки;
8) перелік працівників підрозділу внутрішнього аудиту та інших осіб, які братимуть участь у внутрішній аудиторській перевірці;
9) розкриття характеру обмеження(ень) за його (їх) наявності, організаційної незалежності та індивідуальної об’єктивності.
303. Програма внутрішньої аудиторської перевірки складається в письмовому вигляді та затверджується головним внутрішнім аудитором до початку проведення аудиторської перевірки (аудиту).
Під час здійснення аудиту до програми можуть уноситися зміни, які мають бути письмово задокументовані та затверджені головним внутрішнім аудитором у порядку, визначеному внутрішніми документами кредитної спілки.
304. Головний внутрішній аудитор, працівники підрозділу внутрішнього аудиту, що проводять аудиторську перевірку (аудит), зобов’язані:
1) вживати заходів щодо недопущення будь-якої можливості виникнення конфлікту інтересів;
2) невідкладно в письмовій формі повідомити безпосередньо головного внутрішнього аудитора, а головний внутрішній аудитор - раду про наявність конфлікту інтересів.
305. Особи, зазначені в абзаці першому пункту 304 глави 27 розділу V цього Положення, не повинні виконувати завдання з внутрішнього аудиту за наявності в них конфлікту інтересів.
306. Урегулювання конфлікту інтересів забезпечується головним внутрішнім аудитором та радою в межах їх компетенції.
28. Оформлення результатів внутрішньої аудиторської перевірки
307. Аудиторський звіт про результати проведення внутрішньої аудиторської перевірки (далі - аудиторський звіт) складається з дотриманням вимог міжнародних стандартів професійної практики внутрішнього аудиту, підписується працівником підрозділу внутрішнього аудиту, який безпосередньо виконував перевірку (в разі його утворення), та/або головним внутрішнім аудитором.
308. В аудиторському звіті викладаються виявлені недоліки в діяльності кредитної спілки, порушення кредитною спілкою вимог законодавства України, причини, що зумовили такі недоліки та/або порушення, а також рекомендації (пропозиції) щодо їх усунення.
309. Процес моніторингу / відстеження підрозділом внутрішнього аудиту / головним внутрішнім аудитором кредитної спілки результатів внутрішньої аудиторської перевірки починається після надання об’єкту аудиту аудиторського звіту та закінчується після підтвердження головним внутрішнім аудитором виконання в повній мірі об’єктом аудиту всіх наданих за результатами внутрішньої аудиторської перевірки рекомендацій (пропозицій).
310. Аудиторський звіт надається керівникам підрозділів [учасникам процесів, які підлягали перевірці (аудиту)], виконавчому органу, раді та її аудиторському комітету (в разі його утворення) для вжиття своєчасних і належних організаційних (коригувальних) заходів.
311. Головний внутрішній аудитор один раз на пів року складає та подає раді звіт про роботу підрозділу внутрішнього аудиту / головного внутрішнього аудитора кредитної спілки за формою згідно з додатком 6 до цього Положення протягом 15 днів місяця, наступного за звітним періодом (пів року).
Звіт про роботу підрозділу внутрішнього аудиту / головного внутрішнього аудитора розглядається аудиторським комітетом ради (в разі його утворення) та затверджується радою.
312. Підрозділ внутрішнього аудиту / головний внутрішній аудитор не пізніше останнього дня першого місяця року, наступного за звітним, складає звіт про виконання річного плану проведення внутрішніх аудиторських перевірок, який розглядається аудиторським комітетом ради (в разі його утворення) та затверджується радою протягом 10 робочих днів після складання такого звіту.
VI. Порядок звітування та контролю щодо виконання вимог у межах системи управління кредитної спілки
29. Порядок подання кредитною спілкою до Національного банку звітів та іншої інформації щодо виконання функцій управління ризиками та внутрішнього аудиту
313. Кредитна спілка зобов’язана подавати до Національного банку:
1) звіт про роботу підрозділу внутрішнього аудиту / головного внутрішнього аудитора кредитної спілки, складений відповідно до пункту 311 глави 28 розділу V цього Положення, впродовж 15 днів з дня затвердження такого звіту радою;
2) інформацію про виникнення у кредитній спілці конфлікту інтересів та заходи, вжиті для його врегулювання, впродовж 10 робочих днів із дня виявлення такого конфлікту інтересів.
314. Головний внутрішній аудитор зобов’язаний протягом двох робочих днів із дня виявлення під час проведення внутрішньої аудиторської перевірки викривлення показників фінансової звітності кредитної спілки, порушень та недоліків у її роботі, недотримання кредитною спілкою вимог до значимих кредитних спілок, якщо кредитна спілка отримала статус значимої кредитної спілки, а також будь-яких подій у діяльності кредитної спілки, що можуть негативно вплинути на її платоспроможність і надійність, якщо виконавчий орган своєчасно не вжив заходів щодо усунення цих порушень та недоліків, а рада не розглянула звернення головного внутрішнього аудитора щодо бездіяльності виконавчого органу та за результатами розгляду цього звернення не вжила відповідних заходів, подати до Національного банку письмове повідомлення про виявлені порушення та недоліки.
315. Документи, зазначені в пунктах 313, 314 глави 29 розділу VI цього Положення, подаються до Національного банку в один із таких способів:
1) у паперовій формі з одночасним обов’язковим поданням електронних копій цих документів [без накладення кваліфікованого електронного підпису (далі - КЕП)] на цифрових носіях інформації (USB-флешнакопичувачах) або засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
2) у формі електронного документа та/або електронної копії оригіналу документа в паперовій формі, підписаного шляхом накладання КЕП, - електронним повідомленням на офіційну електронну поштову скриньку Національного банку nbu@bank.gov.ua або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу.
316. Електронні документи та електронні копії документів повинні мати коротку назву латинськими літерами, що відображає зміст і реквізити документа.
317. Електронні копії документів у паперовій формі створюються шляхом сканування з документів у паперовій формі з урахуванням таких вимог:
1) документ сканується у файл у форматі pdf;
2) сканована копія кожного окремого документа зберігається як окремий файл;
3) документ, що містить більше однієї сторінки, сканується в один файл;
5) роздільна здатність сканування повинна бути не нижче ніж 300 dpi.
318. Документ, який складається з двох і більше аркушів та подається в паперовій формі, повинен бути пронумерований, прошитий із зазначенням кількості аркушів. На копії документа в паперовій формі робиться відмітка про засвідчення копії цього документа, що містить напис "Згідно з оригіналом", та зазначається найменування посади (за наявності), особистий підпис особи, яка засвідчує копію, її власне ім’я та прізвище, дата засвідчення копії. Такий напис повинен бути зазначений на кожній копії документа.
319. Кредитна спілка несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.
320. Документи, що подаються до Національного банку відповідно до цього Положення, мають викладатися українською мовою, не містити виправлень і неточностей, розбіжностей у відомостях.
30. Порядок здійснення Національним банком контролю за дотриманням вимог до системи управління кредитною спілкою
321. Контроль за дотриманням вимог цього Положення до системи управління кредитної спілки здійснюється Національним банком на постійній основі шляхом здійснення ним пруденційного нагляду у формі безвиїзного нагляду та інспекційних перевірок (інспектування) в порядку, встановленому нормативно-правовими актами Національного банку з питань здійснення безвиїзного нагляду або проведення інспекційних перевірок діяльності учасників ринків небанківських фінансових послуг.
322. Національний банк під час здійснення нагляду за діяльністю кредитних спілок, а також особи, уповноважені Національним банком на проведення інспекційної перевірки, під час її проведення мають право отримувати від кредитної спілки, ключових осіб кредитної спілки інформацію / пояснення / документи / копії документів щодо дотримання вимог цього Положення в порядку, встановленому нормативно-правовими актами Національного банку з питань здійснення безвиїзного нагляду або проведення інспекційних перевірок діяльності учасників ринків небанківських фінансових послуг.
323. Національний банк має право надати кредитній спілці письмові рекомендації щодо підвищення ефективності управління та контролю за діяльністю кредитної спілки, якщо за результатами проведеної оцінки Національний банк має підстави вважати, що в кредитній спілці не забезпечується ефективне управління та контроль за її діяльністю.
Кредитна спілка протягом двох місяців із дня отримання від Національного банку письмових рекомендацій щодо підвищення ефективності управління та контролю за діяльністю кредитної спілки повідомляє Національний банк про заходи, яких ужито або буде вжито для виконання наданих рекомендацій, або в разі незгоди з наданими рекомендаціями чи окремими з них інформує Національний банк про незгоду з наданням обґрунтованих пояснень, які враховуються Національним банком під час визначення наглядових дій.
324. Застосування Національним банком коригувальних заходів у разі потенційного порушення вимог цього Положення, заходів впливу у разі порушення вимог цього Положення здійснюється в порядку, визначеному Законом про кредитні спілки та нормативно-правовим актом Національного банку з питань застосування Національним банком коригувальних заходів, заходів раннього втручання, заходів впливу у сфері державного регулювання діяльності на ринках небанківських фінансових послуг.
325. Кредитна спілка несе відповідальність за ризики, пов’язані з передаванням операційних функцій (окремих завдань, процесів у межах таких функцій) на аутсорсинг та виконанням аутсорсером цих функцій.
Передавання кредитною спілкою функцій на аутсорсинг не звільняє від відповідальності кредитну спілку та/або керівників кредитної спілки за невиконання нею / ними вимог законодавства України.
Кредитна спілка зобов’язана надавати на вимогу Національного банку всю інформацію, необхідну для того, щоб Національний банк міг здійснювати нагляд за дотриманням кредитною спілкою в разі передавання нею на аутсорсинг функцій (окремих завдань, процесів у межах таких функцій) вимог цього Положення, нормативно-правового акта Національного банку з питань авторизації надавачів фінансових послуг та умов здійснення ними діяльності.
Додаток 1
до Положення про вимоги до системи
управління кредитною спілкою
(пункт 60 глави 5 розділу II)
Розрахунок
показника значимості кредитної спілки
1. Розрахунок показника значимості кредитної спілки здійснюється за такою формулою:
де З - показник значимості кредитної спілки;
Ij - частка j-ого індикатора кредитної спілки в загальному значенні j-ого індикатора в системі кредитних спілок, розрахована відповідно до пунктів 2, 3 додатка 1 до Положення про вимоги до системи управління кредитною спілкою (далі - Положення);
wj - коефіцієнти зважування індикаторів, зазначені в колонці 4 таблиці пункту 1 додатка 1 до Положення:
Таблиця
№ з/п Критерій Індикатор (Ij ) Коефіцієнт зважування (wj ), %
1 2 3 4
1 Розмір кредитної спілки Активи кредитної спілки 30
2 Напрями діяльності кредитної спілки Заборгованість за кредитами, наданими кредитною спілкою своїм членам 30
3 Заборгованість за кредитами, наданими кредитною спілкою іншим кредитним спілкам 5
4 Заборгованість за вкладами (депозитами) членів кредитної спілки 30
5 Територія, на якій кредитна спілка надає послуги Кількість адміністративно-територіальних одиниць, визначених у частині другій
статті 133 Конституції України, в яких кредитна спілка має відокремлені підрозділи та/або надає послуги
5
2. Розрахунок частки кредитної спілки за індикаторами, зазначеними в колонці 3 рядків 1-4 таблиці пункту 1 додатка 1 до Положення, в загальному значенні відповідного індикатора в системі кредитних спілок здійснюється за такою формулою:
де Ij - частка j-ого індикатора кредитної спілки в загальному значенні j-ого індикатора в системі кредитних спілок;
Iкс - j-й індикатор кредитної спілки;
Iс - j-й індикатор у системі кредитних спілок.
3. Розрахунок частки кредитної спілки за індикатором, зазначеним у колонці 3 рядка 5 таблиці пункту 1 додатка 1 до Положення, розраховується як співвідношення кількості адміністративно-територіальних одиниць, визначених у частині другій статті 133 Конституції України, в яких кредитна спілка має відокремлені підрозділи та/або надає послуги, і загальної кількості адміністративно-територіальних одиниць, визначених у частині другій статті 133 Конституції України:
де Ij - частка j-ого індикатора кредитної спілки в загальному значенні j-ого індикатора в системі кредитних спілок;
Iкс - j-й індикатор кредитної спілки.
Додаток 2
до Положення про вимоги до системи
управління кредитною спілкою
(підпункт 2 пункту 137 глави 13 розділу III)
Мінімальний перелік питань щодо внутрішнього контролю, які мають бути врегульовані у внутрішніх документах кредитної спілки
1. Організаційна структура кредитної спілки, завдання, функції, повноваження органів управління та структурних підрозділів кредитної спілки, включаючи повноваження щодо здійснення внутрішнього контролю.
2. Порядок розподілу та делегування повноважень у кредитній спілці.
3. Перелік та опис процесів, щодо яких здійснюється внутрішній контроль, включаючи заходи та форми внутрішнього контролю.
4. Облікова політика кредитної спілки.
5. Правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності кредитної спілки, здійснення планування ефективного використання фінансових ресурсів з метою досягнення цілей діяльності кредитної спілки.
6. Перелік функцій, які не має права виконувати один працівник кредитної спілки та які потребують додаткового рівня контролю.
7. Регламенти / порядки складання управлінської звітності та форми такої звітності.
8. Правила підготовки, погодження та укладання кредитною спілкою договорів.
9. Порядок здійснення радою, виконавчим органом та працівниками кредитної спілки внутрішніх і зовнішніх комунікацій, включаючи обмін інформацією / документами.
10. Порядок оброблення, зберігання, використання інформації, яка створюється кредитною спілкою та отримується нею із зовнішніх джерел.
11. Правила ведення архівів документації кредитної спілки, уключаючи електронні документи.
12. Перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту персональних даних працівників, членів та контрагентів кредитної спілки.
13. Порядок надання, використання, контролю та скасування доступу працівників кредитної спілки до інформаційних систем, уключаючи віддалений доступ.
14. Порядок проведення резервування (копіювання) та архівування даних в інформаційних системах.
15. Порядок захисту інформації в інформаційних системах.
16. Процес подальшого контролю за якістю даних в інформаційних системах.
17. Правила використання працівниками кредитної спілки корпоративної електронної пошти.
18. Порядок реєстрації, зберігання інформації про інциденти інформаційної безпеки, управління інцидентами безпеки інформації.
19. Порядок реєстрації, розгляду та опрацювання звернень до кредитної спілки членів кредитної спілки, інших фізичних та юридичних осіб, органів державної влади та місцевого самоврядування, правоохоронних органів.
20. Види, періодичність та порядок здійснення заходів із контролю, структурні підрозділи / працівники, відповідальні за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та особи, уповноважені здійснювати розгляд звітів, процедури здійснення коригувальних заходів.
21. Процедури та заходи з контролю, що застосовуються підрозділами кожної з трьох ліній захисту.
22. Перелік та опис способів здійснення моніторингу та контролю за діяльністю відокремлених підрозділів (за їх наявності), кредитних посередників, третіх осіб, які залучаються кредитною спілкою до виконання функцій, окремих завдань та процесів у межах здійснення таких функцій кредитної спілки (у разі залучення таких осіб).
23. Порядок залучення / призначення / звільнення / припинення повноважень осіб, на яких покладено виконання функцій другої та третьої ліній захисту.
24. Кваліфікаційні вимоги до працівників кредитної спілки.
25. Порядок підбору, найму, навчання, оцінки працівників кредитної спілки.
26. Порядок здійснення моніторингу ефективності системи внутрішнього контролю як компонента системи внутрішнього контролю та визначення осіб, відповідальних за його проведення.
27. Порядок здійснення внутрішнього контролю за дотриманням пруденційних нормативів та пруденційних вимог, внутрішніх документів та процесів кредитної спілки.
28. Порядок передавання кредитною спілкою окремих функцій та/або окремих завдань / процесів у межах цих функцій на аутсорсинг, включаючи перелік та опис способів здійснення моніторингу та контролю за здійсненням таких функцій та/або окремих завдань / процесів.
29. Порядок та процедури внутрішнього аудиту кредитної спілки [складання плану (унесення змін до плану) проведення внутрішніх аудиторських перевірок, оформлення результатів та документування, програми забезпечення підвищення якості внутрішнього аудиту].
Додаток 3
до Положення про вимоги до системи
управління кредитною спілкою
(пункт 189 глави 18 розділу IV)
Профіль ризиків
Таблиця
№ з/п Вид ризику Фактори ризику Імовірність настання ризику Величина ризику / рівень ризику Заходи з пом’якшення ризику Залишковий ризик
1 2 3 4 5 6 7
1 Кредитний ризик
2 Операційний ризик
3 Ризик ліквідності
4 Процентний ризик
5 Комплаєнс-ризик
n
Разом х х х
Сукупний рівень ризик-апетиту х х х х
Описова частина
Пояснення до заповнення таблиці
1. У колонці 2 - зазначаються всі види ризиків, які кредитна спілка прийняла та утримує.
2. У колонці 3 - зазначаються основні фактори ризику за кожним із видів ризиків: обставини, що спричиняють / можуть передувати виникненню ризику, певна загроза або вразливість, що існує в діяльності кредитної спілки.
3. У колонці 4 - зазначається імовірність настання подій, що можуть призвести / призведуть до втрат або недоотримання доходу (події ризику), визначається як одна з категорій:
1) низька / мала (0% - 20%);
2) середня (20% - 40%);
3) висока (40% - 70%);
4) критична (70% - 100%).
4. У колонці 5 - зазначається кількісна оцінка ризику в млн грн або якісна оцінка як одна з категорій:
1) прийнятний рівень;
2) допустимий рівень;
3) високий рівень;
4) критичний рівень.
5. У колонці 6 - зазначаються основні заходи, що вживаються кредитною спілкою для пом’якшення ризиків, зменшення їх негативного впливу, запобігання їх виникненню.
6. У колонці 7 - зазначається кількісна оцінка ризику в млн грн або його якісна оцінка з використанням категорій оцінки, що наведені в поясненні до заповнення колонки 5 таблиці додатка 3 до Положення про вимоги до системи управління кредитною спілкою, але після вжиття заходів з пом’якшення ризику.
7. В рядку "Описова частина" - зазначаються підходи та перелік припущень, що були використані під час визначення ризик-апетиту, внутрішні та зовнішні фактори ризику та обмеження, що впливають на прийняття ризиків кредитною спілкою.
Також можуть бути наведені заходи, що планує вжити кредитна спілка для пом’якшення впливу (мінімізації) ризиків.
Додаток 4
до Положення про вимоги до системи
управління кредитною спілкою
(пункт 273 глави 24 розділу IV)
Класифікація подій, що призводять до втрат
Таблиця
№ з/п Тип події першого рівня Визначення Тип події другого рівня Приклади
1 2 3 4 5
1 Внутрішнє шахрайство Втрати внаслідок шахрайських дій, незаконного привласнення майна або навмисного порушення норм законодавства України / внутрішніх документів, здійснених працівниками кредитної спілки Несанкціонована діяльність Операції, що не зареєстровані та не відображені в обліковій системі та регістрах бухгалтерського обліку (навмисно);
операції, що не відображені у звітності (навмисно);
недозволені операції, що призвели до втрат;
неналежна переоцінка позицій (навмисна)
2 Шахрайство та викрадення Шахрайство під час надання кредитів, оформлення вкладів (депозитів) без внесення коштів на рахунок;
крадіжка, вимагання, грабіж, привласнення активів;
умисне знищення активів;
заволодіння коштами за підробленими документами;
привласнення чужих рахунків або неправомірне використання рахунків;
навмисне порушення податкового законодавства України;
хабарі / підкуп
3 Зовнішнє шахрайство Втрати внаслідок шахрайських дій, незаконного привласнення майна або навмисного порушення норм законодавства України або внутрішніх документів, здійснених іншими особами Шахрайство та викрадення Крадіжка, грабіж;
шахрайство, підроблення;
погрози на адресу працівників кредитної спілки, вимагання;
підроблення документів для заволодіння коштами;
заволодіння коштами за підробленими документами;
неправдиве повідомлення про замінування приміщень кредитної спілки
4 Порушення безпеки інформаційних систем Вторгнення та атаки на інформаційні системи кредитної спілки;
поширення шкідливого програмного забезпечення;
крадіжка інформації з кредитної спілки, що призвело до втрат
5 Управління персоналом та охорона праці Втрати внаслідок дій, що не відповідають законодавству України в сфері охорони праці (виплати персоналу у зв’язку з виробничими травмами, втратою здоров’я та дискримінаційними обмеженнями) Неналежні трудові відносини з персоналом Порушення трудового законодавства України (тривалість робочого дня, суперечки щодо заробітної плати, компенсації в разі звільнення, інші трудові спори)
6 Неналежна безпека робочого середовища Випадки травмування осіб, які не є працівниками кредитної спілки, через неналежні умови в приміщеннях кредитної спілки або дії працівників кредитної спілки;
виробничі травми працівників кредитної спілки;
порушення вимог законодавства України з питань охорони праці
7 Дискримінація Усі види дискримінації
8 Клієнти, продукти та норми ділової практики Втрати внаслідок неумисного або недбалого ставлення до професійних обов’язків перед клієнтами (уключаючи неналежну якість рекомендацій) або в результаті недосконалості продуктів кредитної спілки Неналежне надання рекомендацій клієнтам, порушення вимог до розкриття інформації, порушення фідуціарних обов’язків Порушення фідуціарних обов’язків;
порушення щодо розкриття інформації;
надання неповної інформації або ненадання інформації споживачам фінансових послуг;
порушення вимог щодо нерозголошення даних про клієнтів;
практика нав’язування продуктів і послуг клієнтам кредитної спілки;
неправомірне стягування комісій;
неналежне використання конфіденційної інформації
9 Неналежні норми ведення діяльності Порушення антимонопольного законодавства України;
здійснення операцій, якщо немає ліцензії;
легалізація (відмивання) доходів, одержаних злочинним шляхом
10 Недоліки продуктів Недоліки продуктів;
помилки в моделях, що використовуються для ціноутворення за продуктами
11 Встановлення відносин із клієнтом, спонсорство, ризики Невиконання вимог щодо ідентифікації та перевірки клієнта;
перевищення значень лімітів ризику на одного клієнта
12 Консультаційні послуги Претензійні вимоги клієнтів щодо отриманих консультаційних послуг
13 Пошкодження або знищення активів Втрати внаслідок пошкодження або знищення активів через природну катастрофу або інші події Стихійні лиха, техногенні катастрофи, результати військових конфліктів, терористичні акти Природні стихійні лиха;
надзвичайні ситуації, викликані діяльністю людини (техногенні катастрофи, результати військових конфліктів, терористичні акти, вандалізм)
14 Унеможливлення діяльності та функціонування систем Втрати внаслідок збоїв, порушень у роботі систем підтримки діяльності Збої, порушення роботи систем Збої в роботі програмного, апаратного забезпечення, технічних засобів, телекомунікаційних систем та інших систем інженерної інфраструктури;
неузгодження, помилкове трактування сторонами умов виконання операцій
Додаток 5
до Положення про вимоги до системи
управління кредитною спілкою
(пункт 274 глави 24 розділу IV)
Перелік інформації про події операційного ризику, яка міститься в базі внутрішніх подій операційного ризику
1. Дата виникнення події.
2. Дата виявлення події.
3. Дата реєстрації події.
4. Дата обліку ефекту від події (не пізніше ніж перша дата обліку збитку від події на рахунках витрат).
5. Підрозділ, в якому сталася подія.
6. Підрозділ, який виявив подію.
7. Підрозділ, відповідальний за дослідження події.
8. Тип події другого рівня згідно з класифікацією, наведеною в додатку 4 до Положення про вимоги до системи управління кредитною спілкою.
9. Опис події.
10. Причина події.
11. Сума економічного ефекту події в гривневому еквіваленті (за можливості оцінити економічний ефект події).
12. Вид економічного ефекту події, що обов’язково включає:
1) збитки (витрати), уключаючи прямі витрати та резерви, створені під потенційні операційні збитки, з них окремо - нереалізовані збитки (що тимчасово обліковуються на рахунках дебіторської заборгованості);
2) компенсації (відшкодування) збитків та окремо від страхування й інших компенсацій (відшкодування) збитків або коригування суми резервів;
3) потенційні збитки (не відображені на балансових рахунках).
13. Вид крос-операційного ризику, з яким пов’язана подія, окремо - кредитний ризик.
14. Статус події (відкрита, закрита).
Додаток 6
до Положення про вимоги до системи
управління кредитною спілкою
(пункт 311 глави 28 розділу V)
Звіт
про роботу підрозділу внутрішнього аудиту / головного внутрішнього аудитора кредитної спілки