• Посилання скопійовано
Документ підготовлено в системі iplex

Про затвердження Положення про організацію внутрішнього аудиту в банках України

Національний банк України  | Постанова, Форма типового документа, Звіт, Положення від 10.05.2016 № 311
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
10.05.2016 № 311
Про затвердження Положення про організацію внутрішнього аудиту в банках України
( Із змінами, внесеними згідно з Постановами Національного банку № 105 від 24.10.2017 № 152 від 26.12.2018 № 133 від 03.12.2021 № 151 від 15.07.2022 № 38 від 29.03.2023 № 51 від 18.04.2023 № 4 від 05.01.2024 )( У тексті Положення та додатку до нього слово "Міжнародних" замінено словом "міжнародних" згідно з Постановою Національного банку № 133 від 03.12.2021 )
Відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України", статей 9, 39, 45, 66, 67 Закону України "Про банки і банківську діяльність", з метою забезпечення ефективної роботи підрозділу внутрішнього аудиту банку, підвищення стабільності діяльності банків та захисту інтересів вкладників і кредиторів банків Правління Національного банку України ПОСТАНОВЛЯЄ:
1. Затвердити Положення про організацію внутрішнього аудиту в банках України, що додається.
2. Банкам до 01 липня 2016 року привести внутрішні документи щодо організації внутрішнього аудиту у відповідність до вимог Положення про організацію внутрішнього аудиту в банках України.
3. Визнати такими, що втратили чинність:
постанову Правління Національного банку України від 20 березня 1998 року № 114 "Про затвердження Положення про організацію внутрішнього аудиту в комерційних банках України";
постанову Правління Національного банку України від 15 березня 1999 року № 110 "Про внесення змін до Положення про організацію внутрішнього аудиту в комерційних банках України";
постанову Правління Національного банку України від 03 грудня 2001 року № 494 "Про затвердження Змін до Положення про організацію внутрішнього аудиту в комерційних банках України", зареєстровану в Міністерстві юстиції України 20 грудня 2001 року за № 1055/6246;
пункт 2 постанови Правління Національного банку України від 19 червня 2015 року № 392 "Про внесення змін до деяких нормативно-правових актів Національного банку України";
пункт 1 постанови Правління Національного банку України від 11 серпня 2015 року № 517 "Про внесення змін до деяких нормативно-правових актів Національного банку України".
4. Департаменту методології (Іваненко Н.В.) довести зміст цієї постанови до відома банків України для використання в роботі.
5. Контроль за виконанням цієї постанови покласти на в.о. заступника Голови Національного банку України Рожкову К.В.
6. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

В.о. Голови

Я.В. Смолій
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
10.05.2016 № 311
ПОЛОЖЕННЯ
про організацію внутрішнього аудиту в банках України
I. Загальні положення
1. Це Положення розроблено відповідно до Закону України "Про банки і банківську діяльність" з урахуванням документів Базельського комітету з банківського нагляду з питань внутрішнього аудиту та корпоративного управління, міжнародних стандартів професійної практики внутрішнього аудиту.
2. Це Положення встановлює обов'язкові мінімальні вимоги до організації функції внутрішнього аудиту та ефективної її діяльності в банку/філії іноземного банку/банківській групі на території України (далі - банк).
3. Терміни в цьому Положенні вживаються в такому значенні:
1) аудиторська перевірка (аудит) - комплекс експертно-аналітичних, оціночних, перевірочних та інших форм заходів, спрямованих на забезпечення діяльності банку/банківської групи, пов’язаної з ухваленням їх відповідними органами управлінських рішень та виконанням функцій відповідно до нормативно-правових, розпорядчих, інших актів і внутрішніх документів, з метою проведення незалежної оцінки процесів корпоративного управління, управління ризиками і контролю в банку/банківській групі та надання рекомендацій щодо вдосконалення системи внутрішнього контролю та мінімізації виявлених ризиків;
2) аудиторський комітет - комітет, що створюється радою банку зі складу її членів, з яких хоча б одна особа має практичний досвід у сфері аудиту, фінансової звітності та бухгалтерського обліку, для забезпечення контролю за впровадженням адекватної системи внутрішнього контролю, формуванням політик внутрішнього аудиту, бухгалтерського обліку та фінансової звітності, проведенням зовнішнього аудиту;
3) внутрішній аудит - незалежна, об’єктивна діяльність з надання впевненості та консультаційних послуг щодо оцінки систем та процесів банку, що має приносити користь банку та поліпшувати його діяльність;
4) внутрішній аудитор - особа, яка уповноважена виконувати функції внутрішнього аудиту банку;
5) зовнішній аудитор - незалежна аудиторська фірма, що відповідно до законодавства України, у тому числі нормативно-правових актів Національного банку України (далі - Національний банк), норм і стандартів аудиту, затверджених згідно з міжнародними стандартами аудиту та етики, здійснює перевірку фінансової звітності, консолідованої фінансової звітності, іншої інформації щодо фінансово-господарської діяльності банку;
6) підрозділ внутрішнього аудиту (далі - підрозділ внутрішнього аудиту/підрозділ внутрішнього аудиту банку) - структурний підрозділ банку (відповідальної особи, учасника банківської групи), що забезпечує виконання функцій внутрішнього аудиту;
7) підрозділ, що здійснює внутрішній аудит банківської групи - структурний підрозділ відповідальної особи або учасника банківської групи, що забезпечує виконання функцій внутрішнього аудиту банківської групи;
8) стандарти внутрішнього аудиту - міжнародні стандарти професійної практики внутрішнього аудиту, якими є документи (вимоги), прийняті Радою з міжнародних стандартів внутрішнього аудиту (International Internal Audit Standards Board - IIASB) та схвалені Наглядовою радою професійної практики (International Professional Practices framework oversight council - IPPFOC), що визначають загальні принципи (процедури), яких у своїй діяльності має дотримуватися підрозділ внутрішнього аудиту під час виконання своїх функцій.
Інші терміни, що вживаються в цьому Положенні, застосовуються в значеннях, визначених законодавчими та нормативно-правовими актами України.
( Пункт 3 розділу I в редакції Постанови Національного банку № 133 від 03.12.2021 )
4. Вимоги щодо здійснення аудиторської перевірки (аудиту) дотримання банком вимог законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - легалізація кримінальних доходів/фінансування тероризму), у тому числі щодо достатності вжитих банком заходів з управління ризиками легалізації кримінальних доходів/фінансування тероризму, визначається нормативно-правовим актом Національного банку з питань здійснення банками фінансового моніторингу.
( Пункт 4 розділу I і з змінами, внесеними згідно з Постановою Національного банку № 133 від 03.12.2021 )
II. Організація внутрішнього аудиту в банку/банківській групі
5. Рада банку має забезпечити створення та ефективне функціонування підрозділу внутрішнього аудиту.
Керівник підрозділу внутрішнього аудиту банку підпорядковується та звітує перед радою банку.
( Пункт 5 розділу II доповнено новим абзацом другим згідно з Постановою Національного банку № 133 від 03.12.2021 )
Підрозділ внутрішнього аудиту банку підпорядковується та є підзвітним раді банку.
Підрозділ внутрішнього аудиту банку здійснює свою діяльність відповідно до:
1) вимог законодавства України, у тому числі нормативно-правових актів Національного банку, цього Положення;
2) стандартів внутрішнього аудиту, загальних етичних норм, що прийняті Радою з міжнародних стандартів внутрішнього аудиту та які визначають принципи етики та правила поведінки, яких має дотримуватися внутрішній аудитор під час здійснення своїх функцій (далі - кодекс етики);
( Абзац шостий пункту 5 розділу II із змінами, внесеними згідно з Постановою Національного банку № 133 від 03.12.2021 )
3) положення про внутрішній аудит банку та інших внутрішніх положень, що регламентують діяльність банку.
6. Відповідальна особа банківської групи (далі - відповідальна особа) з урахуванням структури управління банківської групи зобов’язана визначити структуру внутрішнього аудиту банківської групи та забезпечити ефективну роботу внутрішнього аудиту банківської групи відповідно до вимог, установлених цим Положенням, з урахуванням видів діяльності, що здійснюється учасниками банківської групи.
Керівник підрозділу, що здійснює внутрішній аудит банківської групи, підпорядковується та звітує перед радою відповідальної особи, а якщо немає ради - перед виконавчим органом відповідальної особи.
Підрозділ, що здійснює внутрішній аудит банківської групи, підпорядковується та є підзвітним раді відповідальної особи, а якщо немає ради - виконавчому органу відповідальної особи.
Організація та порядок роботи підрозділу внутрішнього аудиту встановлюються централізовано відповідальною особою для учасників групи. Функції внутрішнього аудиту банківської групи (її учасників) може виконувати підрозділ внутрішнього аудиту відповідальної особи або учасника банківської групи, на який покладено виконання таких функцій.
Керівник підрозділу внутрішнього аудиту материнського банку/відповідальної особи банківської групи визначає стратегію та принципи внутрішнього аудиту в банківській групі, процес організації внутрішнього аудиту на рівні материнського банку та дочірніх компаній, забезпечує застосування єдиних методологічних засад, порівнянність результатів і системність під час здійснення внутрішнього аудиту учасників банківської групи.
Підрозділ, що здійснює внутрішній аудит банківської групи, здійснює свою діяльність на підставі положення, що затверджується радою відповідальної особи, а якщо немає ради - виконавчим органом відповідальної особи.
Організація внутрішнього аудиту в банківській групі здійснюється в один із таких способів:
учасник банківської групи створює власний підрозділ внутрішнього аудиту з урахуванням вимог, установлених відповідальною особою, який має також звітувати перед керівником підрозділу внутрішнього аудиту відповідальної особи;або
підрозділ, що здійснює внутрішній аудит банківської групи, безпосередньо здійснює аудиторську перевірку (аудит) учасника банківської групи (якщо такий учасник згідно із законодавством України не зобов’язаний створити власний підрозділ внутрішнього аудиту).
Працівники підрозділу, що здійснює внутрішній аудит банківської групи, мають право на ознайомлення з інформацією/документами учасника банківської групи, необхідною/необхідними для проведення аудиту. У разі залучення для проведення внутрішнього аудиту учасника банківської групи внутрішніх аудиторів підрозділу, що здійснює внутрішній аудит банківської групи, останні мають підписати письмове зобов’язання щодо нерозголошення та невикористання з вигодою для себе чи для третіх осіб інформації, що становить банківську та комерційну таємницю, та щодо її збереження відповідно до вимог законодавства України.
( Пункт 6 розділу II в редакції Постанови Національного банку № 133 від 03.12.2021 )
7. Положення про внутрішній аудит банку складається та переглядається (у разі потреби) керівником підрозділу внутрішнього аудиту банку.
Положення про внутрішній аудит банку затверджується радою банку.
Положення про внутрішній аудит банку, серед іншого, має містити:
1) цілі та напрями діяльності підрозділу внутрішнього аудиту;
2) статус підрозділу внутрішнього аудиту та підпорядкування його керівника;
( Підпункт 2 пункту 7 розділу II в редакції Постанови Національного банку № 133 від 03.12.2021 )
3) функції та повноваження підрозділу внутрішнього аудиту;
4) організаційну структуру підрозділу внутрішнього аудиту, кваліфікаційні вимоги до його працівників (внутрішніх аудиторів);
5) підзвітність керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;
6) порядок призначення та звільнення керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;
7) права та обов'язки керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;
8) обов'язки щодо дотримання внутрішніми аудиторами банку законодавства України, у тому числі нормативно-правових актів Національного банку, принципів діяльності підрозділу внутрішнього аудиту, що встановлені в цьому Положенні, кодексу етики та стандартів внутрішнього аудиту;
9) відповідальність керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;
10) вимоги до програми забезпечення та підвищення якості внутрішнього аудиту банку та періодичного звітування щодо її виконання раді (аудиторському комітету в разі його створення) та правлінню банку;
11) загальні вимоги до ризик-орієнтовного планування аудиторських перевірок (аудиту) та річного плану проведення аудиторських перевірок (аудиту);
12) порядок взаємодії, обміну інформацією між підрозділом внутрішнього аудиту та структурними підрозділами банку, органами управління банку;
13) умови залучення підрозділу внутрішнього аудиту для надання консультативних послуг з визначенням характеру таких послуг або виконання інших спеціальних завдань, а також умови залучення підрозділом внутрішнього аудиту спеціалістів банку для виконання окремих завдань внутрішнього аудиту;
14) вимоги до оформлення результатів аудиторських перевірок (аудиту);
15) вимоги до проведення ротації внутрішніх аудиторів;
16) право керівника підрозділу внутрішнього аудиту банку на скликання позачергового засідання ради банку;
17) вимоги до взаємодії підрозділу внутрішнього аудиту із зовнішнім аудитором та органами державної влади й управління, у тому числі Національним банком, які в межах компетенції здійснюють нагляд за діяльністю банку;
18) порядок доведення результатів аудиторських перевірок до ради банку, у тому числі до її аудиторського комітету (у разі його створення), та правління банку;
19) інші повноваження, пов'язані з виконанням підрозділом внутрішнього аудиту банку своїх функцій відповідно до законодавства України та стандартів внутрішнього аудиту.
8. Положення про внутрішній аудит банку має надавати підрозділу внутрішнього аудиту банку повноваження під час виконання своїх функцій ініціювати спілкування з керівниками та з будь-якими працівниками банку, підрозділами банку, у тому числі відокремленими, що забезпечують надання банківських та інших фінансових послуг (далі - структурні підрозділи), незалежно від країни їх місцезнаходження, та мати доступ до будь-яких документів та інформації банку, його афілійованих осіб, архівів, даних, у тому числі електронних баз даних у режимі перегляду, і об'єктів банку, у тому числі до управлінської інформації, документів з прийняття рішень органами управління банку.
9. Банк доводить зміст положення про внутрішній аудит банку до відома усіх керівників і працівників банку, а також має забезпечити можливість ознайомлення з ним усіх зацікавлених осіб банку.
10. Організаційна структура підрозділу внутрішнього аудиту банку затверджується радою банку за поданням керівника підрозділу внутрішнього аудиту банку з огляду на розмір банку (обсяг активів, кількість структурних підрозділів банку, рівень програмного забезпечення, яке підтримує діяльність банку, у тому числі операційний день банку, тощо), види його діяльності, рівень ризиків, на які може наражатися банк у процесі своєї діяльності.
( Абзац перший пункту 10 розділу II із змінами, внесеними згідно з Постановою Національного банку № 133 від 03.12.2021 )
Умови оплати праці керівника та працівників підрозділу внутрішнього аудиту банку затверджуються радою банку відповідно до політики банку та внутрішніх положень щодо оплати праці та мають формуватися таким чином, щоб не створювати конфлікту інтересів, не ставити під загрозу незалежність та об'єктивність діяльності підрозділу внутрішнього аудиту банку, а також сприяти комплектуванню підрозділу внутрішнього аудиту банку професійно придатними та кваліфікованими працівниками.
11. Керівник підрозділу внутрішнього аудиту банку повинен мати вищу освіту, досвід роботи у сфері аудиторської діяльності не менше п’яти років, із яких не менше ніж три роки в банківській системі, дотримуватись обмежень, визначених у статті 45 Закону України "Про банки і банківську діяльність" щодо зайняття посад в інших банках, та відповідати іншим кваліфікаційним вимогам до професійної придатності та ділової репутації.
( Абзац перший пункту 11 розділу II із змінами, внесеними згідно з Постановою Національного банку № 4 від 05.01.2024 )
Професійна придатність керівника підрозділу внутрішнього аудиту банку визначається як сукупність знань, професійного та управлінського досвіду, необхідних для належного виконання своїх посадових обов’язків з урахуванням бізнес-плану та стратегії розвитку банку.
Інші кваліфікаційні вимоги до кандидата на посаду керівника підрозділу внутрішнього аудиту банку, порядок погодження Національним банком його кандидатури та його звільнення [крім випадків звільнення такої особи за власним бажанням, за згодою сторін або у зв’язку із закінченням строку трудового договору (контракту)] установлюються нормативно-правовим актом Національного банку, що визначає порядок реєстрації та ліцензування банків.
( Пункт 11 розділу II в редакції Постанов Національного банку № 152 від 26.12.2018, № 133 від 03.12.2021 )
12. Підрозділ внутрішнього аудиту банку має здійснювати свою діяльність, зокрема, з дотриманням таких принципів:
1) незалежність - це свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом внутрішнього аудиту банку своїх функцій. Для досягнення рівня незалежності, необхідного для ефективного виконання підрозділом внутрішнього аудиту банку своїх функцій, керівник підрозділу внутрішнього аудиту банку повинен мати пряму та необмежену можливість звернення до ради та правління банку.
Незалежність передбачає також відсутність випадків, коли винагорода внутрішніх аудиторів, у тому числі керівника підрозділу внутрішнього аудиту банку, пов'язана з фінансовими результатами структурних підрозділів, у яких проводиться аудиторська перевірка (аудит).
Загрози незалежності мають контролюватися на рівні кожного внутрішнього аудитора, завдання, а також на функціональному та організаційному рівнях.
Працівники підрозділу внутрішнього аудиту банку не повинні входити (функціонально) до складу інших структурних підрозділів банку;
2) об'єктивність і неупередженість - дотримання неупередженої позиції, що дозволяє внутрішнім аудиторам виконувати завдання та функції в такий спосіб, який вони вважають прийнятним для роботи і який не допускає жодних компромісів щодо її якості або впливу інших осіб. Неупередженість вимагає, щоб підрозділ внутрішнього аудиту банку не був задіяний у процесі надання банківських та інших фінансових послуг, здійснення іншої діяльності банку, які підлягають внутрішньому аудиту, або у визначенні чи реалізації заходів із створення в банку адекватної системи внутрішнього контролю.
Керівник підрозділу внутрішнього аудиту банку має забезпечити відсутність втрати об'єктивності, у тому числі шляхом проведення періодичної ротації внутрішніх аудиторів, яка не повинна позначатися на якості проведення аудиту.
Об'єктивність уважається обмеженою, якщо внутрішній аудитор перевіряє ту діяльність, за яку він відповідав протягом останнього року;
3) професійна компетентність - наявність у керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку достатніх знань, навичок і досвіду, необхідних для проведення аудиту всіх сфер діяльності банку, ризиків, які притаманні діяльності банку. Керівник підрозділу внутрішнього аудиту банку відповідає за наявність у внутрішніх аудиторів достатньої кваліфікації та навичок. Навички повинні включати здатність проведення аудиторських перевірок різноманітної складності, які необхідно виконувати в результаті впровадження в банках нових продуктів та процесів, сприяючи їх удосконаленню.
Професійна компетентність залежить від здатності внутрішніх аудиторів збирати і розуміти інформацію, вивчати та оцінювати аудиторські докази, кваліфіковано та конструктивно спілкуватись із працівниками банку. Ці якості повинні поєднуватися з відповідними методологіями, інструментарієм та знаннями методів аудиторської перевірки (аудиту);
4) належна професійна ретельність - уміння внутрішнього аудитора під час виконання завдань внутрішнього аудиту проявляти старанність, сумлінність та застосовувати професійні навички, стандарти внутрішнього аудиту. Внутрішній аудитор повинен бути особливо уважним щодо оцінки ефективності процесів управління значними ризиками, які можуть вплинути на діяльність банку.
Внутрішній аудитор повинен проявляти належну професійну ретельність з огляду на:
досягнення цілей завдання;
складність, суттєвість або значущість питань, до яких застосовуються аудиторські процедури;
імовірність значних недоліків та порушень, шахрайства або невідповідності діяльності банку вимогам законодавства України.
Керівник та працівники підрозділу внутрішнього аудиту банку повинні демонструвати професійну компетентність та належну ретельність;
5) професійна етика - дотримання внутрішніми аудиторами кодексу етики банку (у разі його прийняття), принципів міжнародного кодексу етики, а також недопущення розголошення та використання з вигодою для себе чи для третіх осіб інформації про діяльність банку, яка становить банківську та комерційну таємницю.
Керівник підрозділу внутрішнього аудиту та внутрішні аудитори банку зобов'язані уникати конфлікту інтересів.
13. Підрозділ внутрішнього аудиту банку здійснює аудиторські перевірки (аудит) відповідно до річного плану проведення аудиторських перевірок (аудиту) банку на звітний рік, який може бути частиною довгострокового плану аудиту.
Річний план (зміни до плану) проведення аудиторських перевірок (аудиту) банку складається керівником підрозділу внутрішнього аудиту на основі ризик-орієнтованого підходу та з урахуванням пропозицій і завдань, отриманих від ради або правління банку, і, за потреби, може переглядатися (принаймні один раз на рік або частіше) для забезпечення оцінки тих сфер діяльності банку, де містяться значні ризики.
Керівник підрозділу внутрішнього аудиту банку подає річний план (зміни до плану) проведення аудиторських перевірок (аудиту) банку на затвердження раді банку.
14. Підрозділ внутрішнього аудиту банку здійснює аудиторські перевірки (аудит) на основі результатів комплексної оцінки ризиків та річного плану проведення аудиторських перевірок (аудиту) банку з урахуванням політик, процесів та управлінських рішень, які запроваджуються банком на виконання встановлених принципів діяльності, спеціальних вимог Національного банку, органів державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку, а також принципів внутрішнього аудиту, які включають методологію аудиту та заходи із забезпечення якості внутрішнього аудиту материнської компанії (у разі потреби).
15. Рада та правління банку/рада (у разі наявності) та виконавчий орган відповідальної особи мають забезпечити підрозділ внутрішнього аудиту усіма необхідними фінансовими та іншими ресурсами для виконання поставлених перед цим підрозділом завдань.
III. Функції підрозділу внутрішнього аудиту
16. Підрозділ внутрішнього аудиту здійснює такі функції:
1) перевіряє та оцінює процеси, які забезпечують діяльність банку, у тому числі ті, що несуть потенційний ризик та виконання яких забезпечується шляхом залучення юридичних та фізичних осіб на договірній основі (аутсорсинг);
2) оцінює ефективність та адекватність організації корпоративного управління в банку, системи внутрішнього контролю, процесів управління банком, їх відповідність розміру банку, складності, обсягам, видам, характеру здійснюваних банком операцій, організаційній структурі та профілю ризику банку, з урахуванням особливостей діяльності банку як системно важливого (за наявності такого статусу) та/або діяльності банківської групи, до складу якої входить банк, організації внутрішньої системи запобігання та протидії легалізації кримінальних доходів/фінансуванню тероризму, системи управління ризиками легалізації кримінальних доходів/фінансування тероризму;
( Підпункт 2 пункту 16 розділу III в редакції Постанови Національного банку № 133 від 03.12.2021; із змінами, внесеними згідно з Постановою Національного банку № 38 від 29.03.2023 )
3) перевіряє процеси управління банком, процес оцінки достатності капіталу, достатності ліквідності, засобів забезпечення збереження активів з урахуванням ризиків банку;
( Підпункт 3 пункту 16 розділу III в редакції Постанови Національного банку № 133 від 03.12.2021 )
4) перевіряє правильність ведення та достовірність бухгалтерського обліку, інформації, фінансової та іншої звітності, що складається банком, їх повноту та вчасність надання, у тому числі до Національного банку, органів державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку;
5) здійснює незалежну оцінку впровадженої керівництвом банку системи контролю, зокрема щодо:
дотримання керівниками та працівниками банку, що забезпечують надання банківських та інших фінансових послуг, вимог законодавства України, у тому числі нормативно-правових актів Національного банку, та внутрішніх положень банку, виконання професійних обов'язків і правил, що встановлені Статутом банку та внутрішніми документами банку, у тому числі з питань комплаєнсу та управління ризиками;
виявлення та аналізу фактів порушень працівниками банку вимог чинного законодавства України, стандартів професійної діяльності, внутрішніх положень, які регулюють діяльність банку;
своєчасності усунення недоліків, виявлених Національним банком та іншими органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку;
6) незалежно оцінює надійність, ефективність та цілісність управління інформаційними системами та процесами банку (у тому числі релевантність, точність, повноту, доступність, конфіденційність та комплексність даних);
7) перевіряє фінансово-господарську діяльність банку;
8) здійснює оцінку ефективності та достатності складеного банком плану відновлення його діяльності (у разі його складання);
9) оцінює діяльність підрозділів з управління ризиками та комплаєнс-ризику, комітетів, що створені банком (далі - профільні комітети) та якість звітів про ризики, що надаються раді та правлінню банку;
10) виявляє та перевіряє випадки перевищення повноважень посадовими особами банку, а також виникнення конфлікту інтересів у банку;
11) надає в межах банку та за відсутності загрози незалежності консультаційні послуги, виконує інші функції, пов'язані зі здійсненням нагляду за діяльністю банку;
12) інші функції, передбачені законодавством України.
IV. Права та обов'язки керівника підрозділу внутрішнього аудиту банку та внутрішніх аудиторів
17. Керівник підрозділу внутрішнього аудиту банку має право, зокрема:
1) надавати пропозиції раді банку (аудиторському комітету в разі його створення) щодо проведення планової аудиторської перевірки (аудиту), ініціювати (за потреби) проведення позапланової аудиторської перевірки (аудиту), обговорювати результати перевірок та висновки з радою, правлінням банку, керівниками структурних підрозділів банку;
2) вимагати позачергового скликання засідання ради банку (аудиторського комітету в разі його створення);
3) ініціювати проведення зустрічі із будь-якою посадовою особою банку;
4) ініціювати для проведення внутрішнього аудиту залучення працівників інших структурних підрозділів банку;
5) отримувати письмові пояснення від керівників і працівників банку з питань, що виникають під час проведення внутрішнього аудиту та за його результатами;
6) надавати на розгляд та затвердження радою (аудиторським комітетом у разі його створення) банку розрахунок потреби в ресурсах підрозділу внутрішнього аудиту, повідомляти про наявні обмеження;
7) надсилати до інших організацій та установ або третіх осіб запити щодо отримання потрібних відомостей та документів, пов'язаних з аудиторською перевіркою (аудитом);
8) висловлювати свою думку, у тому числі на запит правління банку, з питань, пов'язаних з ризиковою діяльністю та засобами внутрішнього контролю банку;
9) брати участь без права голосу в засіданнях ради та/або правління, профільних комітетів банку.
18. Внутрішні аудитори мають право, зокрема:
1) на ознайомлення з інформацією та документами, у тому числі тими, що зберігаються на електронних носіях, будь-якого підрозділу банку, письмовими поясненнями з питань діяльності банку, уключаючи всі підрозділи банку незалежно від країни їх місцезнаходження, та афілійованих осіб банку;
2) отримувати письмові пояснення від керівників і працівників банку з питань, що виникають під час проведення аудиторської перевірки (аудиту) та за її (його) результатами;
3) доступу до системи автоматизації банківських операцій, а також використовувати:
бази даних та іншу інформацію з первинних документів банку;
програмне забезпечення, яке використовується для автоматизації процесів у діяльності банку, у тому числі з питань фінансового моніторингу;
фінансову, статистичну, управлінську та інші види звітності;
інвентаризаційні матеріали банку та документи комісій, створених у банку (за їх наявності);
документи органів управління банку, у тому числі з питань запровадження та функціонування систем управління ризиками та внутрішнього контролю;
інші документи банку, які необхідні для проведення аудиторських перевірок (аудиту);
4) доступу до всіх приміщень банку, у тому числі тих, що використовуються банком для зберігання документів, готівки та інших цінностей;
5) знімати копії з наданих для перевірки документів (у разі надання їх на паперових носіях), робити копії файлів будь-якої інформації, що зберігається на електронних носіях та є необхідною для проведення аудиторської перевірки (аудиту).
( Підпункт 5 пункту 18 розділу IV із змінами, внесеними згідно з Постановою Національного банку № 151 від 15.07.2022 )
19. Керівник підрозділу внутрішнього аудиту банку, зокрема, зобов'язаний:
1) демонструвати менеджерські та лідерські якості, а також мати достатній кваліфікаційний рівень знань і навичок, постійно їх удосконалювати;
2) складати плани підрозділу внутрішнього аудиту банку та забезпечувати їх виконання;
3) забезпечувати безперервну роботу підрозділу внутрішнього аудиту банку відповідно до положення про внутрішній аудит банку, стандартів внутрішнього аудиту та принципів діяльності, визначених у пункті 12 розділу II цього Положення;
( Підпункт 3 пункту 19 розділу IV із змінами, внесеними згідно з Постановою Національного банку № 152 від 26.12.2018 )
4) забезпечувати відповідність, достатність та ефективність використання ресурсів підрозділу внутрішнього аудиту для виконання річного плану проведення аудиторської перевірки (аудиту) банку;
5) забезпечувати комплектацію підрозділу внутрішнього аудиту висококваліфікованим персоналом з необхідними навичками роботи, що включають здатність ефективно та професійно оцінювати результати діяльності банку, здійснювати вплив на найвищому рівні управління банком;
6) визначати політики та аудиторські процедури, які застосовуються внутрішніми аудиторами для проведення аудиторської перевірки (аудиту), відповідно до вимог внутрішніх документів банку з питань проведення аудиторської перевірки (аудиту) та стандартів внутрішнього аудиту;
7) складати звіт про виконання річного плану проведення аудиторських перевірок (аудиту) та подавати його на затвердження раді та аудиторському комітету банку (у разі його створення) не пізніше останнього дня першого місяця року, наступного за звітним, із наданням підтвердження щодо організаційної незалежності підрозділу внутрішнього аудиту банку;
8) забезпечувати подання керівникам структурних підрозділів [учасників процесів, які підлягали аудиторській перевірці (аудиту)], правлінню та раді банку (аудиторському комітету в разі його створення) звітів за результатами проведення аудиторських перевірок (аудиту) для прийняття ними відповідних організаційних (коригувальних) заходів;
9) подавати раді банку (аудиторському комітету в разі його створення) не рідше ніж один раз на півроку інформацію (звіт) про стан реалізації, у тому числі невжиття, правлінням та керівниками підрозділів банку рекомендацій (пропозицій) із усунення порушень і недоліків у діяльності банку, виявлених за результатами аудиту;
10) у випадку виникнення обставин, які перешкоджають внутрішнім аудиторам банку виконувати свої обов'язки, втручання посадових осіб банку в діяльність підрозділу внутрішнього аудиту банку, виявлення рівня ризику, що є неприйнятним для діяльності банку, письмово проінформувати про це раду банку для прийняття нею відповідних рішень або вжиття заходів;
11) розробити та підтримувати програму забезпечення та підвищення якості внутрішнього аудиту банку з урахуванням вимог стандартів внутрішнього аудиту, забезпечити періодичне звітування раді та правлінню банку про її виконання;
12) забезпечувати безперервну професійну підготовку та навчання внутрішніх аудиторів;
13) розробити та підтримувати систему моніторингу виконання керівниками банку рекомендацій (пропозицій), наданих за результатами аудиторських перевірок (аудиту), уникати конфлікту інтересів;
14) складати і подавати до Національного банку відповідно до вимог цього Положення звіт про роботу підрозділу внутрішнього аудиту та інші документи за результатами внутрішнього аудиту банку;
15) письмово повідомляти Національний банк про виявлені під час проведення аудиторської перевірки (аудиту) викривлення показників фінансової звітності банку, порушення та недоліки в роботі банку, а також будь-які події в діяльності банку, які можуть негативно вплинути на платоспроможність, безпеку і надійність банку/учасника банківської групи, якщо правління банку своєчасно не вжило заходів щодо усунення цих порушень та недоліків, а рада банку не розглянула звернення керівника підрозділу внутрішнього аудиту щодо бездіяльності правління банку та за результатами розгляду цього звернення не вжила відповідних заходів;
16) забезпечувати здійснення періодичних перевірок дотримання банком вимог законодавства у сфері запобігання легалізації кримінальних доходів/фінансування тероризму (у тому числі щодо достатності вжитих банком заходів з управління ризиками легалізації кримінальних доходів/фінансування тероризму);
17) забезпечити в межах своїх повноважень на постійній основі співпрацю із зовнішніми аудиторами, органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку, у тому числі з Національним банком.
20. Внутрішні аудитори банку, зокрема, зобов'язані:
1) дотримуватись вимог законодавства України, у тому числі цього Положення та вимог положення про внутрішній аудит банку, стандартів внутрішнього аудиту, принципів діяльності, визначених у пункті 12 розділу II цього Положення;
( Підпункт 1 пункту 20 розділу IV із змінами, внесеними згідно з Постановою Національного банку № 152 від 26.12.2018 )
2) надавати пропозиції щодо підвищення ефективності роботи системи управління ризиками, у тому числі її відповідності видам і обсягам здійснюваних банком операцій, та системи внутрішнього контролю;
3) перевіряти ефективність застосованих банком заходів щодо виправлення виявлених порушень та недоліків підрозділом внутрішнього аудиту банку;
4) здійснювати незалежну оцінку створеної керівництвом банку системи внутрішнього контролю за дотриманням працівниками банку нормативно-правових актів Національного банку, внутрішніх положень банку щодо порядку надання банківських та інших фінансових послуг, внутрішніх документів банку з питань фінансового моніторингу, ефективності дій менеджменту, видів діяльності банку, у тому числі тих, виконання яких забезпечується ним шляхом залучення юридичних і фізичних осіб на договірній основі (аутсорсинг), а також здійснення іншої діяльності, передбаченої статутом банку;
5) ініціювати подання раді банку, правлінню банку, керівникам структурних підрозділів, що перевіряються, звітів за результатами проведення аудиторських перевірок (аудиту), у тому числі щодо забезпечення виконання банком вимог законодавства України у сфері запобігання легалізації кримінальних доходів/фінансуванню тероризму;
6) ініціювати надання рекомендацій керівникам структурних підрозділів щодо вжиття заходів для уникнення та недопущення дій, результатом яких може стати порушення банком вимог законодавства України, та здійснювати моніторинг повноти та своєчасності впровадження рекомендацій, що були надані за результатами попередніх аудиторських перевірок (аудиту);
7) виявляти за результатами аудиту сфери потенційних збитків для банку, сприятливі умови для шахрайства, зловживань і незаконного присвоєння коштів банку та повідомляти про це в установленому порядку раду та правління банку;
8) забезпечувати схоронність і своєчасність повернення одержаних від керівників або структурних підрозділів банку документів на всіх носіях;
9) не брати участі в створенні та організації, у тому числі разом із структурними підрозділами банку, будь-яких заходів та процесів, що забезпечують діяльність банку або сприймаються як такі, що впливають на неупередженість та об'єктивність внутрішніх аудиторів, розробленні внутрішніх документів банку (крім випадків надання внутрішніми аудиторами консультаційних послуг, які передбачені функцією внутрішнього аудиту), не візувати таких документів;
10) не розголошувати та не використовувати конфіденційну інформацію, яка стала відома їм під час виконання своїх функцій, на свою користь чи на користь третіх осіб;
11) удосконалювати свої знання, навички та інші вміння шляхом постійного професійного розвитку.
V. Організація проведення аудиторських перевірок (аудиту)
21. Аудиторська перевірка (аудит) в банку здійснюється згідно з річним планом проведення аудиторських перевірок (аудиту).
Позапланові аудиторські перевірки (аудит) можуть здійснюватися на вимогу ради банку (аудиторського комітету в разі його створення) та/або за погодженою з радою банку ініціативою правління або керівника підрозділу внутрішнього аудиту банку.
22. Аудиторська перевірка (аудит), незалежно від тематики перевірки, має передбачати перевірку та оцінку таких сфер (процесів) діяльності банку [у разі притаманності цим сферам (процесам)], зокрема:
1) ефективності роботи систем управління ризиками та внутрішнього контролю, корпоративного управління щодо поточних та потенційно можливих ризиків банку в майбутньому;
2) надійності, ефективності та цілісності систем та процесів управління інформацією (у тому числі повноти та якості даних, уключаючи дані, що надаються Національному банку);
( Підпункт 2 пункту 22 розділу V із змінами, внесеними згідно з Постановою Національного банку № 38 від 29.03.2023 )
3) дотримання банком вимог законодавства, у тому числі законодавства у сфері запобігання легалізації кримінальних доходів/фінансуванню тероризму, рекомендацій Національного банку, внутрішніх положень, правил та кодексів поведінки, що застосовуються до працівників банку.
23. Аудиторська перевірка (аудит) здійснюється на підставі програми аудиторської перевірки (аудиту), під час підготовки якої має враховуватись, зокрема, таке:
1) обсяг програми аудиторської перевірки (аудиту) та аудиторських процедур має бути достатнім для досягнення цілей завдання;
2) обсяг та вид проведення аудиторських процедур визначається на основі результатів оцінки ризиків, проведеної під час підготовки до аудиторської перевірки (аудиту) та/або під час складання річного плану проведення аудиторських перевірок (аудиту) банку на звітний рік або складання карти ризиків (за наявності).
24. Програма аудиторської перевірки (аудиту) має містити:
1) назву об'єкта (сфери діяльності) аудиторської перевірки (аудиту);
2) підставу проведення аудиторської перевірки (аудиту);
3) цілі та напрями аудиторської перевірки (аудиту) з урахуванням оцінки ризиків, пов'язаних з об'єктом перевірки;
4) перелік процесів, які будуть підлягати аудиторській перевірці (аудиту), із зазначенням орієнтовного часу (днів), що планується витратити на їх перевірку;
5) період, що підлягає аудиторській перевірці (аудиту);
6) дату початку та закінчення проведення аудиторської перевірки (аудиту);
7) процедури збору, аналізу, оцінки та документування інформації про об'єкт перевірки, мінімальний обсяг вибірки та види аналітичних процедур, які будуть використані під час аудиторської перевірки (аудиту);
8) перелік внутрішніх аудиторів та інших осіб, які братимуть участь в аудиторській перевірці (аудиті);
9) розкриття характеру обмеження(ень) у разі його (їх) наявності, організаційної незалежності та індивідуальної об'єктивності.
Програма аудиторської перевірки (аудиту) складається в письмовому вигляді, підписується керівником перевірки та затверджується керівником підрозділу внутрішнього аудиту банку до початку проведення аудиторської перевірки (аудиту).
У процесі здійснення аудиту до програми можуть уноситися зміни, які мають бути письмово задокументовані та затверджені у встановленому порядку.
25. Аудиторський звіт про результати проведення аудиторської перевірки (аудиту) складається з урахуванням вимог стандартів внутрішнього аудиту, підписується внутрішнім аудитором, який безпосередньо виконував перевірку, керівником перевірки та керівником підрозділу внутрішнього аудиту банку.
26. Процес моніторингу/відстеження підрозділом внутрішнього аудиту банку результатів аудиторських перевірок (аудиту) починається після надання об'єкту аудиту аудиторського звіту та закінчується після виконання ним усіх наданих рекомендацій (пропозицій).
Відсутність подальшого моніторингу/відстеження результатів аудиторських перевірок (аудиту) встановлюється шляхом підтвердження керівником підрозділу внутрішнього аудиту банку/керівником перевірки виконання об'єктом аудиту всіх та в повній мірі рекомендацій (пропозицій), що надавалися за результатами аудиту.
27. Звіт про аудиторську перевірку (аудит) надається керівникам структурних підрозділів [учасникам процесів, які підлягали перевірці (аудиту)], правлінню банку, раді банку та аудиторському комітету (у разі його створення) для вжиття своєчасних і належних організаційних (коригувальних) заходів.
VI. Взаємовідносини між зовнішнім і внутрішнім аудитором
28. Керівник підрозділу внутрішнього аудиту банку має забезпечити можливість обміну інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку з питань проведення внутрішнього аудиту, у тому числі порядку застосування відповідних процедур аудиту.
29. Взаємовідносини та обмін інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку, органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банків, мають відбуватися з дотриманням вимог законодавства України та внутрішніх документів банку щодо зберігання, захисту, використання та розкриття інформації, що становить банківську та комерційну таємницю.
30. Рада банку має забезпечити надання підрозділу внутрішнього аудиту банку плану та програми перевірки річної фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності банку, що здійснюється зовнішнім аудитором банку.
31. Керівники банку на вимогу зовнішнього аудитора банку мають забезпечити надання йому звітів про проведені Національним банком перевірки банку та звіти зовнішнього та внутрішнього аудиту банку.
VII. Контроль за діяльністю підрозділу внутрішнього аудиту банку
32. Рада банку в межах своїх наглядових обов'язків (або аудиторський комітет у разі його створення) повинна (повинен):
1) здійснювати нагляд за діяльністю підрозділу внутрішнього аудиту банку та забезпечити оцінку ефективності та якості роботи цього підрозділу шляхом проведення внутрішньої та зовнішньої оцінок.
Внутрішня оцінка має проводитися не рідше ніж один раз на рік шляхом розгляду та затвердження звіту про роботу підрозділу внутрішнього аудиту банку за звітний рік, проведення періодичних самооцінок, оцінки роботи підрозділу материнською компанією (у разі наявності) або оцінок, що надаються іншими кваліфікованими працівниками банку, які володіють достатніми знаннями у сфері внутрішнього аудиту та залучаються у разі потреби для такої оцінки.
Зовнішня оцінка має проводитися не рідше ніж один раз на п'ять років кваліфікованим незалежним експертом (групою експертів), який(і) не є працівником(ами) банку;
2) забезпечити контроль за проведенням внутрішньої та зовнішньої оцінки функції внутрішнього аудиту, розробити та застосовувати власні методики для внутрішньої оцінки якості роботи підрозділу внутрішнього аудиту банку, що включатимуть проведення періодичних внутрішніх оцінок, що здійснюються відповідно до вимог програми забезпечення та підвищення якості внутрішнього аудиту;
3) забезпечити своєчасність реагування керівників банку на рекомендації (пропозиції) підрозділу внутрішнього аудиту банку;
4) забезпечити контроль [у тому числі шляхом проведення повторних аудиторських перевірок (аудиту) та моніторингу виконання заходів] за прийняттям правлінням банку заходів з усунення виявлених підрозділом внутрішнього аудиту банку порушень і недоліків у діяльності банку;
5) забезпечити контроль за своєчасним інформуванням правлінням та керівниками структурних підрозділів банку підрозділу внутрішнього аудиту банку про значні зміни у стратегії, методах та процедурах управління ризиками банку, запровадження нових продуктів і змін в операційній діяльності банку на ранньому етапі їх застосування. Інформувати керівника підрозділу внутрішнього аудиту банку про ініціювання службових розслідувань та їх результати, надавати інформацію щодо результатів перевірок органів контролю банку;
6) здійснювати контроль за діяльністю правління банку щодо своєчасного забезпечення підрозділу внутрішнього аудиту банку достатніми ресурсами для виконання річного плану проведення аудиторських перевірок (аудиту).
33. Рада банку (або аудиторський комітет у разі його створення) не повинна (не повинен) уважати роботу підрозділу внутрішнього аудиту банку задовільною виключно на тій підставі, що Національний банк не виявив недоліків у діяльності підрозділу внутрішнього аудиту банку.
Перевірка, що здійснюється Національним банком, не замінює необхідності оцінювання радою банку [аудиторським комітетом (у разі його створення) або залученим зовнішнім оцінювачем] діяльності підрозділу внутрішнього аудиту банку.
34. Банк зобов'язаний подавати до Національного банку:
1) протягом десяти робочих днів після затвердження в установленому порядку план проведення аудиторських перевірок (аудиту) на наступний звітний рік, але не пізніше останнього робочого дня першого місяця року;
2) протягом десяти робочих днів після затвердження в установленому порядку зміни до річного плану проведення аудиторських перевірок (аудиту) (у разі їх унесення);
3) два рази на рік протягом 15 днів місяця, наступного за звітним періодом (півроку), звіт про роботу підрозділу внутрішнього аудиту банку згідно з додатком до цього Положення.
( Абзац п'ятий пункту 34 розділу VII виключено на підставі Постанови Національного банку № 151 від 15.07.2022 )
34-1. Документи, передбачені цим Положенням, подаються до Національного банку в один із таких способів:
1) на паперових носіях з одночасним поданням електронних копій цих документів без накладання кваліфікованого електронного підпису (далі - електронні копії документів, КЕП відповідно);