2) заходи, яких повинен вжити страховик, щоб гарантувати, що інвестиції страховика відповідають вимогам, встановленим у статті 44 Закону про страхування;
3) заходи, яких повинен вжити страховик для забезпечення того, щоб інвестиції страховика враховували особливості діяльності страховика, його затверджені ліміти ризику, його платоспроможність;
4) власні внутрішні оцінки кредитного ризику контрагентів, у яких розміщено активи страховика, включаючи контрагентів - центральні органи виконавчої влади;
5) кількісні ліміти на активи та ризики, включаючи позабалансові ризики, де це доречно для забезпечення ефективного управління ризиками - досягнення компанією бажаного рівня безпеки, якості, ліквідності, прибутковості та доступності для портфеля;
6) врахування середовища фінансового ринку;
7) умови, за яких страховик може передати активи в заставу чи позику;
8) зв’язок між ринковим ризиком та іншими ризиками за несприятливих сценаріїв;
9) процедури моніторингу ефективності інвестицій та перегляду політики управління ризиками за напрямом інвестування, коли це необхідно.
231. Управління ризиками страховика за напрямом інвестування включає такі ринкові ризики:
1) ризик інвестицій в акції;
2) процентний ризик;
3) валютний ризик;
4) ризик спреду;
5) майновий ризик;
6) ризик ринкової концентрації.
232. Страховик перед здійсненням будь-якої інвестиції або інвестиційної діяльності повинен провести оцінку щонайменше:
1) його здатності здійснювати інвестиції або інвестиційну діяльність та керувати ними;
2) ризиків, конкретно пов’язаних з інвестицією чи інвестиційною діяльністю, та впливу інвестиції чи інвестиційної діяльності на профіль ризику страховика;
3) узгодженості інвестицій або інвестиційної діяльності з інтересами бенефіціарів та страхувальників, обмеженнями відповідальності, встановленими страховиком, та ефективним управлінням портфелем;
4) впливу цієї інвестиції або інвестиційної діяльності на якість, безпеку, ліквідність, прибутковість і доступність усього портфеля інвестицій страховика.
233. Управління ризиками страховика за напрямом управління ризиком ліквідності додатково до положень, визначених у главах 27, 28 розділу VII цього Положення, повинно передбачати:
1) визначення загальних потреб у ліквідності в короткостроковій та довгостроковій перспективі, включаючи відповідний запас ліквідності для захисту від дефіциту ліквідності, та заходи, які повинен вживати страховик для врахування як короткострокового, так і довгострокового ризику ліквідності;
2) визначення відповідності складу активів страховика з точки зору їх характеру, строку їх погашення та ліквідності з метою виконання зобов’язань страховика в міру настання строку їх погашення;
3) процедуру визначення рівня невідповідності між надходженням та вибуттям грошових коштів щодо активів і зобов’язань, включаючи очікувані грошові потоки страхування та перестрахування, та план реагування на зміни в очікуваних надходженнях та вибутті грошових коштів;
4) моніторинг ліквідних активів страховика, включаючи кількісну оцінку потенційних витрат, що виникають у результаті реалізації активів;
5) визначення та вартість альтернативних інструментів фінансування;
6) розгляд впливу очікуваного нового напряму діяльності страховика на стан ліквідності.
234. Управління ризиками страховика за напрямом управління ризиком концентрації додатково до положень, визначених у главах 27, 28 розділу VII цього Положення, повинно передбачати заходи, яких повинен вживати страховик для визначення джерел ризику концентрації з метою забезпечення того, щоб концентрація ризиків залишалася в межах встановлених страховиком лімітів ризиків.
235. Управління ризиками страховика за напрямом управління операційним ризиком, включаючи юридичні ризики, ризики інформаційних систем та інформаційної безпеки страховика, додатково до положень, визначених у главах 27, 28 розділу VII цього Положення, повинно передбачати:
1) заходи, яких повинен вживати страховик для розподілу чітких обов’язків щодо регулярного виявлення, документування та моніторингу відповідних ризиків, пов’язаних з операційним ризиком;
2) ідентифікацію операційних ризиків, яким піддається страховик або може піддаватися, їх аналіз та оцінку використовуваних інструментів, методів управління операційними ризиками;
3) процедури збору та моніторингу подій операційного ризику;
4) заходи і внутрішні процеси управління операційними ризиками, включаючи застосування інформаційних систем страховика;
5) ліміти ризику щодо основних сфер операційного ризику страховика.
236. Страховик має право використовувати такий додатковий інструмент, як реєстр зовнішніх подій операційного ризику, що може формуватися на основі інформації з відкритих джерел, спеціалізованих баз даних або в межах обміну інформацією між страховиками, та аналіз накопиченої в ньому інформації та інші інструменти.
237. Страховик з метою управління операційним ризиком повинен розробити і проаналізувати набір сценаріїв операційного ризику на основі таких підходів:
1) збій ключового процесу, персоналу або системи;
2) виникнення зовнішніх подій.
238. Управління ризиками страховика за напрямом перестрахування та інших інструментів зниження ризику додатково до положень, визначених у главах 27, 28 розділу VII цього Положення, повинно передбачати:
1) заходи, яких повинен вжити страховик для забезпечення вибору перестрахування або інших інструментів зниження ризику;
2) заходи, яких повинен вжити страховик для оцінки того, які інструменти зниження ризику є прийнятними відповідно до характеру ризиків і можливостей страховика управляти та контролювати ризики, пов’язані з цими інструментами;
3) вимірювання (оцінку) страховиком кредитного ризику, пов’язаного з інструментами зниження ризику;
4) визначення рівня передачі ризику, що відповідає визначеним страховиком лімітам ризиків, і який вид угод про перестрахування є найбільш прийнятним з огляду на профіль ризику страховика;
5) принципи відбору контрагентів зі зниження ризику та процедури оцінки та моніторингу кредитоспроможності та диверсифікації контрагентів з перестрахування;
6) процедури оцінки ефективності передачі ризику в перестрахування та врахування ризику, який бере на себе страховик, без урахування перестрахування;
7) процедури управління ліквідністю для вирішення будь-яких часових розбіжностей між страховими виплатами за заявленими вимогами та отриманням відшкодування від перестраховиків.
239. Управління стратегічними та репутаційними ризиками страховика, які не включаються до операційного ризику, повинно передбачати управління, контроль та звітування про:
1) рівень фактичного та потенційного стратегічного та репутаційного ризику і взаємозв’язок між цими ризиками та іншими ризиками страховика;
2) ключові аспекти, що впливають на репутацію страховика, враховуючи очікування зацікавлених сторін і чутливість ринку.
240. Управління кредитним ризиком страховика повинно передбачати управління, контроль та звітування додатково до положень, визначених у главах 27, 28 розділу VII цього Положення, про ризик дефолту контрагента.
Управління кредитним ризиком страховика може передбачати інші заходи, крім визначених у абзаці першому пункту 240 глави 30 розділу VII цього Положення, які не суперечать вимогам цього Положення.
31. Вимірювання ризиків
241. Страховик для вимірювання (оцінки) ризиків повинен використовувати дані, що є достовірними, повними, точними та відповідними вимогам, установленим нормативно-правовим актом Національного банку, що визначає порядок формування страховиками технічних резервів щодо вимог до достатності та якості даних.
242. Страховик повинен оцінювати ризики як якісно, так і, де це доречно та можливо, кількісно.
243. Страховик для вимірювання (оцінки) ризиків має право визначати моделі та інструменти.
Страховик під час обрання моделей та інструментів вимірювання (оцінки) ризиків враховує таке:
1) особливості своєї діяльності, характер, обсяг операцій, профіль ризику;
2) потреби страховика для здійснення своєї діяльності;
3) досвід та кваліфікацію осіб, які здійснюватимуть вимірювання (оцінку) ризиків за допомогою таких моделей та інструментів вимірювання (оцінки).
244. Страховик забезпечує своєчасну актуалізацію даних, що використовуються для розрахунку величини ризиків, та здійснює перевірку їх достовірності, повноти, точності та відповідності, а також здійснює перегляд ефективності застосовуваних ним моделей та інструментів оцінки ризиків.
245. Страховик з метою вимірювання (оцінки) ризиків та визначення своєї спроможності протистояти факторам ризиків, на які такий страховик наражається під час своєї діяльності або які можуть виникнути в майбутньому, має право здійснювати стрес-тестування та самостійно встановлювати їх наповнення, перелік ризиків, за якими здійснює стрес-тестування, методи, порядок та частоту їх проведення.
32. Інформування та звітування з питань управління ризиками
246. Страховик з метою виявлення, вимірювання (оцінки) ризиків і інформування про ризики, на які наражається страховик, моніторингу та аналізу ефективності системи управління ризиками:
1) забезпечує агрегування даних щодо ризиків страховика, оперативне та коректне вимірювання (оцінку) ризиків;
2) розробляє процедури обробки та агрегування даних щодо ризиків, формування звітності, політику конфіденційності та збереження такої інформації, а також доступу до неї.
247. Звітність про ризики страховика повинна містити актуальну інформацію про ризики, своєчасно надаватися раді, комітетам, правлінню/дирекції та іншим користувачам, які приймають рішення, та забезпечувати повне розуміння ними ситуації щодо рівня ризиків страховика для прийняття своєчасних та адекватних управлінських рішень.
248. Уповноважені підрозділи/працівники страховика складають звітність про ризики, яка повинна бути:
1) точною, вивіреною та достовірно відображати рівень прийнятого страховиком ризику;
2) комплексною - охоплювати всі види ризиків страховика, визначені політикою управління ризиками страховика;
3) чіткою та інформативною - надавати чітку та однозначну інформацію, бути достатньо вичерпною для прийняття своєчасних та адекватних управлінських рішень;
4) періодичною та поширеною серед користувачів звітності про ризики із забезпеченням конфіденційності.
249. Рада страховика, комітети ради, правління/дирекція встановлюють періодичність складання та подання звітності про ризики як у звичайних умовах, так і в стресових ситуаціях. Періодичність подання звітності про ризики повинна бути не меншою, ніж:
1) один раз на квартал для узагальнених звітів про ризики;
2) один раз на рік для детальних звітів про ризики.
250. Страховик в узагальненому звіті про ризики повинен розкривати інформацію в розрізі кожного виду ризику, визначеного відповідно до пунктів 194, 195 глави 27 розділу VII цього Положення, та обов’язково включати інформацію про:
1) узагальнені дані подій за видами ризиків, аналізу їх динаміки;
2) зміни до профілю ризиків страховика, що відбулися;
3) дотримання встановленого ризик-апетиту та значень лімітів ризику;
4) виявлені нові ризики та результати їх вимірювання (оцінки);
5) результати вимірювання (оцінки) ризиків за новими продуктами, значними змінами в діяльності страховика;
6) пропозиції щодо застосування інструментів та методів для управління ризиками;
7) дотримання вимог внутрішніх документів з управління ризиками, включаючи інформацію щодо авторизованих перевищень і порушень лімітів ризиків.
251. Страховик в детальному звіті (звітах) про ризики повинен розкривати інформацію в розрізі кожного виду ризику, визначеного відповідно до пунктів 194, 195 глави 27 розділу VII цього Положення, та крім інформації, зазначеної в пункті 250 глави 32 розділу VII цього Положення, повинен обов’язково включати таку інформацію:
1) результати оцінки профілю ризиків, які повинні містити опис видів ризиків, на які наражався страховик протягом звітного періоду, та видів ризиків, що очікуються протягом періоду бізнес-планування страховика, спосіб управління ризиками та якісну і кількісну інформацію за результатами вимірювання (оцінки) ризиків за кожним видом ризику;
2) результати здійснення стрес-тестування, методів і припущень, що були використані для стрес-тестування, аналізу чутливості до ризиків, якщо такі тестування/аналіз здійснювалися;
3) опис заходів, що використовуються для вимірювання (оцінки) ризиків, включаючи будь-які суттєві зміни протягом звітного періоду;
4) опис методів та інструментів, що використовуються для управління ризиками, та процесів моніторингу ефективності таких методів та інструментів, а також інформацію про методи та інструменти, що страховик розглядає для використання з метою управління ризиками протягом періоду бізнес-планування страховика, а також обґрунтування та вплив таких методів та інструментів зниження ризиків;
5) огляд значних подій за видами ризиків, результатів дослідження їх причин і заходів щодо запобігання таким подіям у майбутньому;
6) про суттєву концентрацію ризиків протягом звітного періоду та суттєву концентрацію ризиків, що очікуються протягом періоду бізнес-планування страховика;
7) опис відповідності інвестицій страховика вимогам до інвестиційної діяльності страховика, встановленим законодавством України;
8) висновки та пропозиції до внесення змін до системи управління ризиками страховика.
252. Страховик повинен мати технічні можливості для формування іншої звітності про ризики, крім регулярної звітності, визначеної в пункті 249 глави 32 розділу VII цього Положення:
1) під час стресових ситуацій;
2) у разі зміни потреб щодо необхідної управлінської інформації;
3) у разі отримання запитів Національного банку або інших регуляторних чи контролюючих органів.
253. Підрозділ з управління ризиками в разі значного підвищення ризику (наближення фактичних показників ризику до встановлених значень лімітів ризику, ризик-апетиту або потенційного їх порушення, або суттєвої зміни профілю ризиків страховика) не пізніше наступного робочого дня інформує про це раду страховика, комітет з управління ризиками, правління/дирекцію страховика з метою прийняття своєчасних та адекватних управлінських рішень у межах процедури ескалації ризиків.
VIII. Порядок звітування та контролю Національного банку за дотриманням страховиком вимог до системи управління
33. Порядок подання звітів та інших документів до Національного банку щодо виконання окремих ключових функцій страховика
254. Страховик зобов’язаний подавати до Національного банку два рази на рік упродовж 10 днів із дня затвердження радою страховика:
( Абзац перший пункту 254 глави 33 розділу VIII в редакції Постанови Національного банку № 77 від 28.06.2024 )
1) звіт про діяльність підрозділу внутрішнього аудиту страховика, складений відповідно до пункту 186 або 186- 1 глави 26 розділу VI цього Положення;
( Абзац другий пункту 254 глави 33 розділу VIII в редакції Постанови Національного банку № 77 від 28.06.2024 )
2) інші документи за результатами внутрішнього аудиту, включаючи інформацію про виявлені під час проведення внутрішньої аудиторської перевірки страховика викривлення показників фінансової звітності страховика, порушення та недоліки і будь-які події в діяльності та роботі страховика, які можуть негативно вплинути на платоспроможність страховика.
255. Головний внутрішній аудитор зобов’язаний протягом двох робочих днів з дня виявлення подавати до Національного банку письмове повідомлення про виявлені під час проведення внутрішньої аудиторської перевірки факти, визначені в підпункті 10 пункту 180 глави 24 розділу VI цього Положення, якщо правління/дирекція страховика своєчасно не вжило/вжила заходів щодо усунення цих порушень та недоліків, а рада страховика не розглянула звернення головного внутрішнього аудитора щодо бездіяльності правління/дирекції страховика та за результатами розгляду цього звернення не вжила відповідних заходів.
256. Відповідальний актуарій зобов’язаний подавати до Національного банку:
1) річний актуарний звіт не пізніше 31 березня року, наступного за звітним;
2) проміжний (квартальний) актуарний звіт - станом на звітну дату (31 березня, 30 червня, 30 вересня) за вимогою Національного банку.
Проміжний (квартальний) актуарний звіт має бути складений не пізніше останнього дня місяця, наступного за звітною датою.
257. Відповідальний актуарій зобов’язаний упакувати в контейнер-архів формату ZIP з розміром до 8 МБ електронну копію актуарного звіту страховика у форматі pdf, засвідчену КЕП відповідального актуарія, та надіслати разом із супровідним листом на офіційну електронну поштову скриньку Національного банку. Контейнер-архів, обсяг якого перевищує 8 МБ, упаковується в багатотомний контейнер-архів.
Кожна частина архіву надсилається з окремим електронним повідомленням, у якому в рядку "Тема" в дужках зазначаються порядковий номер частини та через скісну риску "/" - загальна кількість частин.
258. Страховик/головний внутрішній аудитор/відповідальний актуарій подає документи, зазначені в пунктах 254-256 глави 33 розділу VIII цього Положення, до Національного банку в один із таких способів:
1) на паперових носіях з одночасним поданням електронних копій цих документів без накладання КЕП (далі - електронні копії документів);
2) у формі електронного документа, підписаного шляхом накладання КЕП, або електронної копії документа, засвідченої відповідно керівником страховика/головним внутрішнім аудитором/відповідальним актуарієм КЕП, - на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу.
Документи на вимогу Національного банку також подаються в електронній формі у форматі, визначеному Національним банком.
259. Страховик/відповідальний актуарій несе відповідальність за повноту та достовірність даних, що містяться в поданих до Національного банку документах.
260. Документи, що подаються до Національного банку відповідно до цього Положення, мають викладатися українською мовою, не містити виправлень і неточностей, а також розбіжностей між відомостями, викладеними у них.
34. Порядок здійснення Національним банком контролю за дотриманням вимог до системи управління страховика
261. Національний банк здійснює контроль відповідно до вимог Закону про страхування та інших законів у порядку, визначеному нормативно-правовими актами Національного банку з питань здійснення виїзного та безвиїзного нагляду, за дотриманням страховиком, ключовими особами страховика та/або особами, на яких покладено виконання ключових функцій у страховику, вимог цього Положення, а також визначає наявність у ради страховика та правління/дирекції страховика колективної придатності та здійснює оцінку забезпечення ними ефективного управління та контролю за діяльністю страховика.
262. Національний банк має право письмово вимагати від страховика, ключових осіб страховика та/або осіб, на яких покладено виконання ключових функцій у страховику, з наведенням обґрунтування такої вимоги додаткову інформацію, документи та звіти, визначені цим Положенням, а також письмові пояснення щодо системи управління страховика.
263. Національний банк застосовує коригувальні заходи в разі виявлення у діяльності страховика та інших об’єктів нагляду, на яких поширюються вимоги цього Положення, ознак, що свідчать про потенційне порушення вимог законодавства України, та заходи впливу в разі порушення вимог цього Положення в порядку, визначеному Законом про страхування та нормативно-правовим актом із питань застосування Національним банком України коригувальних заходів, заходів раннього втручання, заходів впливу у сфері державного регулювання діяльності на ринках небанківських фінансових послуг.
Додаток 1
до Положення про вимоги до
системи управління
страховика
(пункт 94 глави 11 розділу III)
ПЕРЕЛІК
питань щодо внутрішнього контролю, які мають бути врегульовані у внутрішніх документах страховика
1. Організаційна структура страховика, завдання, функції, повноваження органів управління та структурних підрозділів страховика, включаючи повноваження щодо здійснення внутрішнього контролю.
2. Порядок розподілу та делегування повноважень у страховику.
3. Перелік та опис ключових процесів, щодо яких здійснються внутрішній контроль, включаючи заходи та форми такого контролю.
4. Облікова політика страховика.
5. Правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності страховика, здійснення планування ефективного використання фінансових ресурсів з метою досягнення цілей діяльності страховика.
6. Перелік функцій, що не має права виконувати один працівник страховика та які потребують додаткового рівня контролю.
7. Регламенти/порядки складання звітності (фінансової, регуляторної, управлінської, податкової).
8. Правила підготовки, погодження та укладання страховиком договорів.
9. Кодекс поведінки (етики).
10. Порядок здійснення радою страховика, правлінням/дирекцією та працівниками страховика внутрішніх і зовнішніх комунікацій, включаючи обмін інформацією/документами.
11. Правила/порядок здійснення документообігу, включаючи порядок формування та зберігання документів, що утворюються в діяльності страховика.
12. Правила ведення архівів документації страховика, включаючи електронні документи.
13. Перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту персональних даних працівників і клієнтів страховика.
14. Порядок надання, використання, контролю та скасування доступу працівників страховика до інформаційних систем, включаючи віддалений доступ.
15. Порядок проведення резервування (копіювання) та архівування даних в інформаційних системах.
16. Порядок захисту інформації в інформаційних системах.
17. Процес подальшого контролю за якістю даних в інформаційних системах.
18. Правила використання працівниками страховика корпоративної електронної пошти.
19. Порядок реєстрації, зберігання інформації про інциденти інформаційної безпеки, управління інцидентами безпеки інформації.
20. Порядок реєстрації, розгляду та опрацювання звернень до страховика громадян, юридичних осіб, органів державної влади України та місцевого самоврядування.
21. Положення (політика) про систему внутрішнього контролю.
22. Види, періодичність та порядок здійснення заходів із контролю, структурні підрозділи/працівники, відповідальні за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та особи, уповноважені здійснювати розгляд звітів, процедури здійснення коригувальних заходів.
23. Порядок передавання страховиком окремих функцій та/або окремих завдань/процесів у межах цих функцій на аутсорсинг, включаючи перелік та опис способів здійснення моніторингу та контролю за здійсненням таких функцій та/або окремих завдань/процесів.
24. Перелік та опис способів здійснення моніторингу та контролю за діяльністю відокремлених підрозділів, страхових посередників (за наявності/у разі залучення).
25. Порядок залучення/призначення/звільнення/припинення повноважень осіб, на яких покладено виконання функцій другої та третьої ліній захисту.
26. Порядок підбору, найму, навчання, оцінки працівників страховика.
27. Політика та порядки мотивації, винагороди працівників страховика, включаючи програми мотивації/винагороди окремих категорій працівників страховика.
28. Порядок здійснення моніторингу як компонента системи внутрішнього контролю та визначення осіб, відповідальних за його проведення.
29. Порядок здійснення внутрішнього контролю за дотриманням законодавства України про захист прав споживачів фінансових послуг, внутрішніх документів та процесів страховика.
30. Положення про внутрішній аудит страховика.
31. Порядок та процедури внутрішнього аудиту страховика [складання плану (зміни до плану) проведення внутрішніх аудиторських перевірок страховика, оформлення результатів та документування, програми забезпечення та підвищення якості внутрішнього аудиту].
32. Стратегія управління ризиками страховика.
33. Декларація схильності до ризиків страховика.
34. Політика управління ризиками, включаючи ліміти ризиків страховика.
35. Політика виявлення, запобігання та управління конфліктами інтересів у страховику.
Додаток 2
до Положення про вимоги до
системи управління
страховика
(пункт 186 глави 26 розділу VI)
Звіт
про діяльність підрозділу внутрішнього аудиту страховика
________________________________________________
(повне найменування страховика в родовому відмінку, код за Єдиним
державним реєстром підприємств та організацій України, місцезнаходження)
на "_______" _____________________ 20_______ року
Головний внутрішній аудитор страховика | Особистий підпис | Власне ім’я ПРІЗВИЩЕ |
"_____" _______________ 20_____ року
( Додаток 2 із змінами, внесеними згідно з Постановою Національного банку № 77 від 28.06.2024 )