2) змін у внутрішньобанківських документах, уключаючи документи щодо здійснення внутрішнього контролю;
3) культури контролю;
4) затверджених планів робіт підрозділів банку;
5) розпоряджень керівників банку та підрозділів банку, уключаючи розпорядження щодо здійснення заходів з контролю;
6) правил техніки безпеки та охорони праці;
7) порядку користування, передавання, збереження документів та інших носіїв інформації, що становить банківську та комерційну таємницю;
8) процедур щодо дотримання вимог з інформаційної безпеки;
9) відповідальності (дисциплінарної, адміністративної, кримінальної) за вчинення порушень.
82. Банк розробляє та впроваджує заходи з контролю під час комунікації з зовнішніми користувачами. Такі заходи можуть уключати політику та процедури отримання інформації від зовнішніх користувачів та передавання цієї інформації в межах організаційної структури банку, що дає змогу керівникам банку визначати тенденції, події або обставини, які можуть вплинути на досягнення цілей банку.
83. Банк, здійснюючи комунікацію з зовнішніми користувачами, забезпечує:
1) надання актуальної та своєчасної інформації щодо діяльності банку зовнішнім користувачам, уключаючи акціонерів, партнерів, клієнтів банку, наглядові, контролюючі, правоохоронні органи;
2) отримання інформації щодо функціонування системи внутрішнього контролю банку від зовнішніх аудиторів, наглядових органів, інших зовнішніх користувачів з метою ухвалення адекватних управлінських рішень.
84. Банк отримує від зовнішніх користувачів інформацію про функціонування системи внутрішнього контролю банку, що може включати:
1) оцінку системи внутрішнього контролю у банку зовнішніми аудиторами та наглядовими (контролюючими) органами;
2) відгуки клієнтів стосовно якості надання банківських послуг;
3) публікації про банк у засобах масової інформації, на інформаційних сайтах, у зовнішніх інформаційних системах.
85. Правління банку оцінює інформацію від зовнішніх користувачів щодо системи внутрішнього контролю та інформує раду банку щодо виявлених недоліків системи внутрішнього контролю.
86. Банк самостійно обирає метод зовнішньої комунікації, ураховуючи цільову аудиторію, характер комунікації, своєчасність, вартість та вимоги законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів.
87. Критерії, що свідчать про використання банком якісної інформації та належне функціонування системи комунікацій банку, уключають таке:
1) банк здійснює контроль за якістю інформації, що надається, отримується, генерується, використовується;
2) банк забезпечує передавання на всі свої організаційні рівні інформації щодо його діяльності, уключаючи інформацію щодо цілей та обов’язків керівників та працівників банку з внутрішнього контролю;
3) банк здійснює комунікацію із зовнішніми користувачами з питань діяльності банку.
VII. Моніторинг ефективності системи внутрішнього контролю
88. Банк здійснює моніторинг ефективності системи внутрішнього контролю (далі - моніторинг системи внутрішнього контролю) відповідно до вимог цього Положення, внутрішньобанківських документів з метою:
1) оцінки якості роботи системи внутрішнього контролю у визначений період часу;
2) визначення здатності системи внутрішнього контролю забезпечити досягнення цілей діяльності банку, уключаючи визначення імовірності виникнення та оцінку суттєвості потенційно можливих недоліків системи внутрішнього контролю, що можуть спричинити негативний вплив на досягнення цілей банку;
3) розроблення заходів, спрямованих на мінімізацію негативного впливу з метою вдосконалення системи внутрішнього контролю.
89. Банк обирає види заходів з моніторингу системи внутрішнього контролю, уключаючи моніторинг ефективності процедур з контролю та оцінку ефективності системи внутрішнього контролю банку, як комбінацію поточних та періодичних заходів з моніторингу з урахуванням установлених цілей діяльності банку, характеру, обсягу та складності його операцій, кількості та складності видів контролю, ймовірності виникнення недоліків, а також кваліфікації та досвіду працівників банку. Відповідальність за проведення таких заходів у межах визначених банком повноважень несуть:
1) керівники підрозділів другої лінії захисту банку - за моніторинг ефективності процедур контролю на першій лінії захисту в межах виконання функцій незалежного контролю другої лінії захисту;
2) керівник підрозділу внутрішнього аудиту (третьої лінії захисту банку) - за оцінку ефективності системи внутрішнього контролю банку в цілому.
90. Банк визначає функції органів управління та підрозділів банку щодо моніторингу системи внутрішнього контролю, а саме:
1) ради банку щодо затвердження вимог щодо здійснення моніторингу системи внутрішнього контролю та розгляду результатів оцінки ефективності системи внутрішнього контролю, проведеної підрозділом внутрішнього аудиту, з метою забезпечення контролю за проведенням заходів з моніторингу;
2) правління банку щодо забезпечення моніторингу процедур з контролю в банку, забезпечення підготовки та надання раді банку пропозицій щодо необхідності вдосконалення заходів з контролю, розроблення заходів щодо оперативного усунення недоліків у функціонуванні системи внутрішнього контролю, виявлених за результатами перевірок підрозділу внутрішнього аудиту, зовнішніх аудиторів і наглядових органів;
3) підрозділу управління ризиками банку щодо контролю за суттєвими ризиками банку, за винятком комплаєнс-ризику;
4) підрозділу контролю за дотриманням норм (комплаєнс) банку щодо забезпечення організації контролю за відповідністю діяльності банку вимогам законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів, стандартів професійних об’єднань, дія яких поширюється на банк;
5) підрозділу внутрішнього аудиту щодо оцінки комплексності, ефективності та адекватності системи внутрішнього контролю.
91. Банк здійснює поточні заходи з моніторингу з метою оперативного виявлення та усунення недоліків системи внутрішнього контролю. Відповідальність за проведення таких заходів несуть керівники підрозділів першої та другої ліній захисту банку в межах визначених банком повноважень.
92. Банк здійснює періодичні заходи з моніторингу, уключаючи оцінку ефективності системи внутрішнього контролю банку в цілому, з метою виявлення недоліків після факту події.
93. Банк здійснює періодичні заходи з моніторингу з урахуванням:
1) характеру та обсягу питань з урахуванням складності операцій банку, ризику порушень та випадків виникнення порушень у системі внутрішнього контролю в минулому, а також вимог цього Положення, нормативно-правових актів Національного банку;
2) частоти моніторингу питань з урахуванням обсягу та складності операцій банку, основних видів контролю, частоти і характеру змін, що відбуваються в операційному середовищі;
3) тривалості проведення заходів з моніторингу;
4) достатності та рівня кваліфікації працівників банку, відповідальних за проведення заходів, та наданих цим працівникам повноважень;
5) порядку підготовки звітів щодо результатів моніторингу системи внутрішнього контролю, обговорення та затвердження цих звітів;
6) достатності та повноти необхідної інформації щодо проведення заходів з моніторингу.
94. Звіти, що надаються раді та/або правлінню банку, мають містити інформацію про виявлені недоліки системи внутрішнього контролю, аналіз причин їх виникнення, ймовірні наслідки, до яких можуть призвести ці недоліки, рекомендації/пропозиції щодо підвищення ефективності функціонування системи внутрішнього контролю, механізми контролю за станом виконання рекомендацій/пропозицій, затверджених раніше. Банк затверджує порядок підготовки та надання таких звітів у внутрішньобанківських документах.
95. Банк забезпечує надання звітів щодо результатів моніторингу системи внутрішнього контролю працівникам банку, які відповідають за здійснення коригуючих дій, та керівникам банку в межах визначених банком повноважень.
96. Банк здійснює оцінку ефективності системи внутрішнього контролю як вид періодичних заходів з моніторингу, визначаючи зміст, процедуру, метод та критерії оцінки ефективності системи внутрішнього контролю. Підрозділ внутрішнього аудиту банку здійснює таку оцінку не рідше ніж один раз на рік (із урахуванням особливостей діяльності банку) відповідно до вимог Положення № 311.
97. Банк має проводити оцінку ефективності системи внутрішнього контролю додатково в разі настання або високої ймовірності настання подій, що мають/можуть мати істотний вплив на діяльність банку (придбання, продаж, списання істотного обсягу активів, значних змін у бізнес-моделі, організаційній структурі банку або його макроекономічному та/або бізнес-середовищі).
98. Банк у внутрішньобанківських документах установлює розподіл відповідальності за ефективність системи внутрішнього контролю таким чином:
1) рада та правління банку несуть відповідальність за ефективність системи внутрішнього контролю;
2) підрозділи першої лінії захисту банку несуть безпосередню відповідальність за виконання заходів щодо виправлення недоліків системи внутрішнього контролю;
3) підрозділ з управління ризиками та підрозділ контролю за дотриманням норм (комплаєнс) відповідають за якість виконання заходів із моніторингу системи внутрішнього контролю (за винятком оцінки ефективності системи внутрішнього контролю);
4) підрозділ внутрішнього аудиту відповідає за якість оцінки ефективності системи внутрішнього контролю.
99. Рада банку забезпечує здійснення оцінки ефективності системи внутрішнього контролю підрозділом внутрішнього аудиту банку відповідно до критеріїв оцінки ефективності цієї системи та затверджує такі критерії.
100. Підрозділ внутрішнього аудиту перевіряє наявність, оцінює комплексність, ефективність та адекватність системи внутрішнього контролю, відповідність цієї системи видам та обсягам здійснюваних банком операцій, змінам у бізнес-моделі банку, його макроекономічному та бізнес-середовищі.
101. Критерії оцінки ефективності системи внутрішнього контролю в банку можуть уключати:
1) наявність у банку організаційної структури системи внутрішнього контролю, що включає розподіл функцій між суб’єктами контролю з можливістю чіткого визначення відповідальних осіб за виконання цих функцій;
2) наявність документів, що регламентують:
принципи побудови системи внутрішнього контролю;
функції та повноваження працівників банку та підрозділів банку в системі внутрішнього контролю;
порядок взаємодії, прийняття рішень та розподіл повноважень підрозділів банку під час здійснення внутрішнього контролю;
порядок виявлення недоліків та організації звітування щодо функціонування системи внутрішнього контролю;
контроль за ефективністю системи внутрішнього контролю;
3) охоплення заходами з контролю всіх операцій та продуктів банку;
4) порядок контролю за функціонуванням системи внутрішнього контролю керівниками банку;
5) результати оцінки ефективності системи управління ризиками банку;
6) результати оцінки ефективності управління інформаційними потоками, уключаючи отримання і передавання інформації, забезпечення функціонування системи інформаційної безпеки;
7) відповідність політики за окремими напрямами діяльності банку та процедур банку вимогам законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів, стандартів професійних об’єднань, дія яких поширюється на банк, узгодженість внутрішньобанківських документів між собою;
8) комплексність, ефективність та адекватність установлених заходів із контролю та контроль за їх виконанням працівниками банку відповідно до внутрішньобанківських документів;
9) наявність у банку культури контролю, що включає своєчасну фіксацію та аналіз виявлених недоліків системи внутрішнього контролю, звітування щодо виявлених недоліків керівникам банку в межах визначених банком повноважень, ужиття своєчасних та адекватних заходів щодо усунення виявлених недоліків;
10) результати оцінки відповідності системи внутрішнього контролю банку його розміру, бізнес-моделі, масштабу діяльності, видам та складності операцій банку.
102. Банк з урахуванням особливостей його діяльності може додатково визначати інші критерії оцінки ефективності системи внутрішнього контролю додатково до встановлених у пункті 101 розділу VII цього Положення.
103. Банк установлює критерії визначення суттєвості недоліків системи внутрішнього контролю на основі ймовірності їх виникнення та можливості впливу на здатність банку забезпечити досягнення цілей його діяльності. Банк забезпечує застосування цих критеріїв працівниками всіх підрозділів банку та періодичне оновлення таких критеріїв.
104. Банк за результатами оцінки ефективності системи внутрішнього контролю розробляє заходи та забезпечує їх виконання з метою усунення виявлених недоліків, уключаючи коригуючі заходи. Коригуючі заходи включають розроблення нових та оновлення наявних заходів з контролю.
105. Критерії, що свідчать про впровадження та здійснення моніторингу системи внутрішнього контролю в банку, уключають таке:
1) банк розробив та забезпечує виконання поточних та періодичних заходів з моніторингу з метою оцінки впровадження та функціонування компонентів системи внутрішнього контролю;
2) банк своєчасно оцінює ефективність своєї системи внутрішнього контролю та забезпечує інформування керівників підрозділів банку, які відповідають за вжиття коригуючих дій, та керівників банку щодо виявлених недоліків системи внутрішнього контролю.
Директор Департаменту методології | Н. Іваненко |
ПОГОДЖЕНО Перший заступник Голови Національного банку України | К. Рожкова |
Додаток
до Положення про організацію
систем внутрішнього контролю
в банках України та банківських групах
(пункт 28 розділу II)
МІНІМАЛЬНИЙ ПЕРЕЛІК
питань, що мають бути врегульовані у внутрішньобанківських документах щодо внутрішнього контролю
1. Організаційна структура банку, положення про органи управління (рада, правління, комітети), підрозділи банку.
2. Порядок визначення та затвердження посад, що належать до категорії "Управлінський персонал".
3. Порядок розподілу та делегування повноважень у банку.
4. Процедури/регламенти/порядки/технологічні карти щодо кожного процесу діяльності банку, що містять детальний опис операцій банку та управлінських процедур, уключаючи заходи та форми внутрішнього контролю.
5. Облікова політика.
6. Правила здійснення бухгалтерського контролю.
7. Перелік операцій, що не може виконувати один працівник банку та які потребують додаткового контролю.
8. Деталізований перелік функцій, які не можуть виконувати працівники, які є асоційованими особами.
9. Технологічні процедури/регламенти/порядки відкриття, закриття операційного дня.
10. Процедури/регламенти/порядки складання звітності (фінансової, статистичної, управлінської, податкової).
11. Правила підготовки, погодження та укладання банком договорів.
12. Правила/порядок здійснення документообігу.
13. Порядок формування та зберігання документів, що утворюються в діяльності банку.
14. Правила ведення архівів банківської документації та електронних документів.
15. Порядок надання, контролю за використанням та скасуванням довіреностей на здійснення правочинів.
16. Правила укладання з працівниками договорів про матеріальну відповідальність.
17. Порядок та процедури проведення інвентаризацій матеріальних цінностей та активів банку.
18. Порядки проведення подальшого контролю за банківськими операціями (уключаючи перевірки, ревізії касових операцій).
19. Порядок організації охорони пропускного режиму до будівель, правила доступу до спеціальних приміщень.
20. Порядок організації захисту приміщень.
21. Порядок захисту матеріальних цінностей під час перевезення (за наявності).
22. Порядок зберігання, переміщення та обліку матеріальних цінностей.
23. Порядок зберігання, захисту, використання та розкриття інформації та документів, що містять банківську та комерційну таємницю.
24. Порядок та процедури захисту персональних даних.
25. Порядок надання, використання, контролю та скасування доступу працівникам до інформаційних систем, уключаючи віддалений доступ.
26. Порядок проведення резервного архівування даних в інформаційних системах.
27. Порядок та процедури захисту інформації в інформаційних системах.
28. Процедури подальшого контролю за якістю даних в інформаційних системах.
29. Порядок управління оновленим програмним забезпеченням.
30. Порядок використання працівниками банку електронної пошти та інтернет-ресурсів.
31. Порядок реєстрації, зберігання інформації про інциденти інформаційної безпеки, управління інцидентами безпеки інформації.
32. Порядок реєстрації, розгляду та опрацювання звернень до банку громадян, юридичних осіб та державних органів.
33. Порядок моніторингу та аналізу публікацій у засобах масової інформації про банк та його керівників.
34. Порядок здійснення публічної комунікаційної діяльності керівників та працівників банку.
35. Внутрішньобанківські документи з питань управління ризиками відповідно до Положення № 64.
36. Порядок підбору, найму, навчання, оцінки працівників банку.
37. Політика та порядки мотивації, винагороди працівників банку, уключаючи програми мотивації/винагороди окремих категорій працівників банку.
38. Порядок відбору аутсорсерів, контролю за їх діяльністю та співпраці з ними.
39. Положення про підрозділ внутрішнього аудиту.
40. Порядок та форми проведення внутрішнього аудиту.
41. Положення про внутрішній аудит банку.
42. Порядок та процедури внутрішнього аудиту [складання плану аудиторських перевірок (аудиту), використання ризик-орієнтованого планування, оформлення результатів та документування, програми забезпечення та підвищення якості внутрішнього аудиту].
43. Звіти про роботу підрозділу внутрішнього аудиту, уключаючи висновки про ефективність системи внутрішнього контролю банку.
44. Звіти про результати контролю за виконанням заходів, спрямованих на підвищення ефективності системи внутрішнього контролю банку.