7) здійснює контроль за виконанням та дотриманням внутрішніми аудиторами встановлених у пункті 15 глави 2 розділу I цього Положення принципів організації функції внутрішнього аудиту;
8) здійснює з керівником підрозділу внутрішнього аудиту моніторинг та аналіз чинників, що можуть загрожувати незалежності підрозділу внутрішнього аудиту;
9) обговорює з керівником підрозділу внутрішнього аудиту та правлінням банку актуальність, відповідність та ефективність повноважень і відповідальності суб’єктів функції внутрішнього аудиту;
10) виявляє фактичні чи потенційні загрози незалежності підрозділу внутрішнього аудиту та вживає заходів щодо усунення та/або мінімізації таких загроз;
11) забезпечує разом із правлінням банку незалежність підрозділу внутрішнього аудиту від будь-якого втручання під час планування, визначення обсягу робіт, виконання завдань внутрішнього аудиту та звітування про результати виконання завдань внутрішнього аудиту;
12) співпрацює з правлінням банку для забезпечення підрозділу внутрішнього аудиту необмеженим доступом до даних, записів, інформації, персоналу та майна, потрібних для виконання підрозділом внутрішнього аудиту його повноважень;
13) забезпечує належне реагування в разі отримання від керівника підрозділу внутрішнього аудиту інформації про наявність будь-яких обмежень у діяльності, доступі до інформації, реалізації повноважень або в забезпеченні ресурсами підрозділу внутрішнього аудиту, що може негативно вплинути на здатність підрозділу внутрішнього аудиту ефективно виконувати свої функції;
14) забезпечує (за запитом керівника підрозділу внутрішнього аудиту) підрозділ внутрішнього аудиту ресурсами, необхідними для виконання покладених на нього обов’язків;
15) проводить з керівником підрозділу внутрішнього аудиту зустрічі щодо обговорення поточних питань стосовно внутрішнього аудиту щонайменше раз на півроку (для банку, який визначено Національним банком системно важливим) або щонайменше раз на рік (для банку, який не визначено Національним банком системно важливим);
16) забезпечує оцінку керівником підрозділу внутрішнього аудиту достатності людських та фінансових ресурсів підрозділу внутрішнього аудиту для виконання річного плану внутрішнього аудиту та забезпечення належної якості внутрішнього аудиту, а також упровадження керівником підрозділу внутрішнього аудиту заходів для достатності таких ресурсів, включаючи перегляд річного плану внутрішнього аудиту та коригування бюджету підрозділу внутрішнього аудиту;
17) здійснює оцінку результативності та ефективності діяльності підрозділу внутрішнього аудиту шляхом аналізу результатів зовнішньої / внутрішньої оцінки якості внутрішнього аудиту, інспекційних / виїзних перевірок, здійснених Національним банком, та аналізу інформації, отриманої від Національного банку за результатами безвиїзного нагляду;
18) затверджує плани проведення зовнішньої та внутрішньої оцінки якості внутрішнього аудиту відповідно до вимог цього Положення та внутрішньобанківських документів;
19) здійснює контроль за поданням керівником підрозділу внутрішнього аудиту звіту про зовнішню оцінку якості функції внутрішнього аудиту в порядку, визначеному цим Положенням;
20) затверджує програму забезпечення та підвищення якості внутрішнього аудиту за результатами зовнішньої та внутрішньої оцінки, а також здійснює контроль за їх виконанням;
21) розглядає та затверджує звіт про роботу підрозділу внутрішнього аудиту.
48. Банк забезпечує належний рівень документування обговорень з радою банку та прийнятих рішень із питань внутрішнього аудиту, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк подає таку документацію уповноваженим Національним банком особам на їх вимогу.
49. Рада банку забезпечує незалежну та ефективну діяльність підрозділу внутрішнього аудиту шляхом:
1) підпорядкування підрозділу внутрішнього аудиту керівнику підрозділу внутрішнього аудиту, керівника підрозділу внутрішнього аудиту - раді банку;
2) звітування керівника підрозділу внутрішнього аудиту раді банку;
3) надання керівнику підрозділу внутрішнього аудиту прямої та необмеженої можливості обговорення питань внутрішнього аудиту безпосередньо з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) без потреби (обов’язку) інформування про це правління банку;
4) забезпечення достатньої чисельності працівників підрозділу внутрішнього аудиту та рівня їх кваліфікації для досягнення цілей і завдань функції внутрішнього аудиту;
5) забезпечення безумовного права керівника підрозділу внутрішнього аудиту невідкладно письмово інформувати раду банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення) про обґрунтоване занепокоєння стосовно наявних та/або потенційних проблем (недоліків) у діяльності банку;
6) невідкладного проведення радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) зустрічей із керівником підрозділу внутрішнього аудиту з метою обговорення обґрунтованого занепокоєння стосовно наявних та/або потенційних проблем (недоліків) у діяльності банку;
7) гарантованого необмеженого доступу внутрішніх аудиторів до даних, записів, інформації, персоналу та майна, необхідних для виконання мандата внутрішнього аудиту.
50. Рада банку має право виконувати інші функції щодо внутрішнього аудиту додатково до встановлених у пункті 47 глави 11 розділу I цього Положення, які не суперечать вимогам законодавства України.
51. Рада банку забезпечує проведення зовнішньої оцінки якості функції внутрішнього аудиту не рідше одного разу на п’ять років кваліфікованим незалежним оцінювачем або групою незалежних оцінювачів за умови наявності щонайменше в однієї особи сертифіката "Сертифікований внутрішній аудитор" (англійською мовою Certified Internal Auditor), виданий міжнародним Інститутом внутрішніх аудиторів.
52. Незалежним оцінювачем для проведення зовнішньої оцінки якості внутрішнього аудиту не вважається особа, яка є пов’язаною з банком особою, та/або працівник:
1) банку;
2) пов’язаної з банком особи;
3) материнської компанії та/або іншого учасника банківської групи.
53. Зовнішня оцінка якості функції внутрішнього аудиту здійснюється з метою підтвердження відповідності функції внутрішнього аудиту:
1) Міжнародним стандартам внутрішнього аудиту;
2) Стратегії, статуту внутрішнього аудиту, положенню про підрозділ внутрішнього аудиту, методології внутрішнього аудиту;
3) законодавству України;
4) критеріям та показникам ефективності функції внутрішнього аудиту, а також результатам оцінювання;
5) компетенції, належній професійній ретельності та ефективності, включаючи достатнє використання інструментів і методів, а також зосередженість на постійному професійному розвитку внутрішніх аудиторів;
6) кваліфікації та компетенції внутрішніх аудиторів, визначених цим Положенням та Міжнародними стандартами внутрішнього аудиту;
7) інтегрованості функції внутрішнього аудиту в процеси корпоративного управління, включаючи взаємодію із радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) та правлінням банку, зовнішнім аудитором, що забезпечують незалежність функції внутрішнього аудиту;
8) здатності функції внутрішнього аудиту відповідати очікуванням зацікавлених осіб, включаючи раду та правління банку.
54. Зовнішня оцінка якості функції внутрішнього аудиту банківської групи здійснюється в межах зовнішньої оцінки якості функції внутрішнього аудиту відповідальної особи банківської групи.
55. Зовнішня оцінка якості функції внутрішнього аудиту здійснюється в один із таких способів:
1) залучення кваліфікованого незалежного оцінювача або групи незалежних оцінювачів;
2) самооцінка з подальшою незалежною верифікацією кваліфікованим незалежним оцінювачем або групою незалежних оцінювачів.
56. Зовнішня оцінка якості функції внутрішнього аудиту шляхом самооцінки з подальшою незалежною верифікацією здійснюється щонайменше з дотриманням таких вимог:
1) проведення комплексної та належним чином задокументованої внутрішньої оцінки, подібної до процедури зовнішньої оцінки якості функції внутрішнього аудиту, з метою оцінки відповідності діяльності підрозділу внутрішнього аудиту Міжнародним стандартам внутрішнього аудиту та вимогам цього Положення;
2) підтвердження результатів внутрішньої оцінки кваліфікованим незалежним зовнішнім оцінювачем або групою незалежних оцінювачів;
3) проведення порівняльного аналізу, вивчення передового досвіду та проведення співбесід із такими зацікавленими особами, як члени ради банку, представники правління банку та керівництва бізнес-підрозділів.
57. Незалежна верифікація має підтвердити, що внутрішня оцінка проведена повною мірою та коректно.
58. Керівник підрозділу внутрішнього аудиту здійснює внутрішню оцінку якості функції внутрішнього аудиту на відповідність вимогам Міжнародних стандартів внутрішнього аудиту та цього Положення, а також прогресу в досягненні Стратегії.
Внутрішня оцінка здійснюється не рідше ніж один раз на рік шляхом розгляду та затвердження радою банку звіту про роботу підрозділу внутрішнього аудиту за звітний рік, проведення періодичних самооцінок з урахуванням результатів опитування підрозділів банку щодо дотримання внутрішніми аудиторами принципів організації функції внутрішнього аудиту.
Результати внутрішньої оцінки якості функції внутрішнього аудиту підлягають обов’язковому документальному оформленню, включенню до звіту про роботу підрозділу внутрішнього аудиту за звітний рік, а також ураховуються під час проведення зовнішньої оцінки якості функції внутрішнього аудиту.
12. Функції комітету з питань аудиту (аудиторського комітету) щодо функції внутрішнього аудиту
59. Рада державного банку / банку, який визначений Національним банком системно важливим, зобов’язана утворити постійно діючий комітет з питань аудиту (аудиторський комітет).
Рада банку, який не є державним банком / який не визначений Національним банком системно важливим банком, має право утворювати постійний або тимчасовий комітет з питань аудиту (аудиторський комітет).
60. Рада банку залишається відповідальною за створення незалежної та ефективної функції внутрішнього аудиту та забезпечує контроль за виконанням комітетом з питань аудиту (аудиторським комітетом) його функцій.
61. Комітет з питань аудиту (аудиторський комітет) є консультативно-дорадчим органом, основним завданням якого є розроблення та подання на розгляд ради банку проєктів рішень та інших матеріалів з питань, що належать до завдань та повноважень ради банку щодо функції внутрішнього аудиту.
62. Комітет з питань аудиту (аудиторський комітет) (у разі його створення) з метою забезпечення функціонування незалежної та ефективної функції внутрішнього аудиту щонайменше виконує такі функції:
1) надає рекомендації, консультації, пропозиції раді банку з питань внутрішнього аудиту;
2) розглядає проєкти внутрішньобанківських документів з питань внутрішнього аудиту та надає раді банку рекомендації щодо затвердження Стратегії, статуту внутрішнього аудиту, положення про підрозділ внутрішнього аудиту, річного плану внутрішнього аудиту в банку та бюджету підрозділу внутрішнього аудиту;
3) аналізує діяльність, ресурси та організаційну структуру підрозділу внутрішнього аудиту з метою недопущення будь-яких обмежень для організації роботи підрозділу внутрішнього аудиту;
4) аналізує та обговорює з радою банку звіти підрозділу внутрішнього аудиту за результатами виконаних ним завдань внутрішнього аудиту, а також результати зовнішньої / внутрішньої оцінки якості функції внутрішнього аудиту;
5) надає рекомендації раді банку щодо призначення або звільнення з посади керівника підрозділу внутрішнього аудиту;
6) взаємодіє з керівником та працівниками підрозділу внутрішнього аудиту;
7) здійснює аналіз вжитих правлінням банку заходів з усунення недоліків, спрямованих на реалізацію рекомендацій внутрішніх аудиторів у встановлені строки;
8) надає раді банку пропозиції щодо вжиття заходів з усунення недоліків у діяльності підрозділу внутрішнього аудиту, виявлених Національним банком, та здійснює контроль за своєчасністю та повнотою їх реалізації;
9) забезпечує виконання інших функцій та повноважень щодо функції внутрішнього аудиту, визначених радою банку.
Рада банку сама виконує функції комітету з питань аудиту (аудиторського комітету), якщо комітет з питань аудиту (аудиторський комітет) не було створено.
13. Відповідальність та функції правління банку щодо функції внутрішнього аудиту
63. Правління банку сприяє підрозділу внутрішнього аудиту у виконанні завдань та рішень ради банку щодо внутрішнього аудиту, включаючи виконання Стратегії та статуту внутрішнього аудиту, положення про підрозділ внутрішнього аудиту та річного плану внутрішнього аудиту, процедур та інших заходів для забезпечення ефективності функції внутрішнього аудиту.
Правління банку виконує вимоги щодо забезпечення незалежного виконання внутрішніми аудиторами своїх обов’язків.
64. Правління банку для реалізації своїх завдань щодо внутрішнього аудиту виконує такі функції:
1) бере участь в обговоренні з радою банку щодо визначення мандата функції внутрішнього аудиту та забезпечує підтримку підрозділу внутрішнього аудиту для виконання ним своїх обов’язків;
2) взаємодіє з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) / керівником підрозділу внутрішнього аудиту / керівниками структурних підрозділів банку з метою забезпечення необмеженого доступу підрозділу внутрішнього аудиту до даних, записів, інформації та майна, необхідних для виконання ними своїх обов’язків;
3) уживає заходів для усунення загрози та недопущення порушення незалежності функції внутрішнього аудиту;
4) отримує від ради банку інформацію про результати оцінки діяльності та встановлений розмір винагороди внутрішніх аудиторів;
5) сприяє раді банку в забезпеченні контролю за ефективністю функціонування системи внутрішнього контролю, системи управління ризиками;
6) забезпечує адміністративну підтримку підрозділу внутрішнього аудиту з метою забезпечення достатніх ресурсів (людських, фінансових, технічних, технологічних) підрозділу внутрішнього аудиту для належного виконання ними своїх обов’язків;
7) забезпечує адміністративну підтримку виконання внутрішніми аудиторами покладених на них обов’язків у частині забезпечення організації їх робочого процесу та видання розпорядчих документів;
8) бере участь у межах повноважень, визначених радою банку, у щорічній оцінці діяльності керівника підрозділу внутрішнього аудиту та функціонування підрозділу внутрішнього аудиту;
9) взаємодіє з радою банку та керівником підрозділу внутрішнього аудиту для визначення обсягу та періодичності проведення зовнішньої оцінки якості функції внутрішнього аудиту;
12) співпрацює з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) та керівником підрозділу внутрішнього аудиту щодо розроблення плану заходів за результатами зовнішньої оцінки якості функції внутрішнього аудиту з метою усунення виявлених недоліків та контролю за реалізацією такого плану;
13) забезпечує контроль за виконанням рекомендацій, наданих за результатами виконання завдання внутрішнього аудиту, та несе відповідальність за своєчасне та належне вжиття необхідних заходів.
65. Правління банку має право виконувати інші функції для забезпечення ефективності та незалежності функції внутрішнього аудиту додатково до встановлених у пункті 64 глави 13 розділу I цього Положення, які не суперечать вимогам законодавства України, Міжнародним стандартам внутрішнього аудиту.
14. Підрозділ внутрішнього аудиту
66. Підрозділ внутрішнього аудиту банку функціонально підпорядковується та є підзвітним раді банку.
Правління банку забезпечує адміністративну підтримку виконання підрозділом внутрішнього аудиту його функцій.
67. Підрозділ внутрішнього аудиту банку здійснює свою діяльність відповідно до:
1) вимог законодавства України;
2) Міжнародних стандартів внутрішнього аудиту;
3) статуту внутрішнього аудиту, положення про підрозділ внутрішнього аудиту та інших внутрішньобанківських документів.
68. Підрозділ внутрішнього аудиту з метою забезпечення ефективності функції внутрішнього аудиту банку виконує такі функції:
1) оцінює ефективність організації корпоративного управління, системи внутрішнього контролю, системи управління ризиками та їх відповідність розміру банку, складності, обсягам, видам, характеру здійснюваних банком операцій, організаційній структурі та профілю ризику банку з урахуванням особливостей діяльності банку як системно важливого (за наявності такого статусу);
2) перевіряє та оцінює ефективність процесів, які забезпечують діяльність банку, включаючи процеси, що несуть потенційний ризик та/або виконання яких забезпечується шляхом залучення юридичних та фізичних осіб на договірній основі (аутсорсинг);
3) перевіряє дотримання банком вимог законодавства України у сфері ПВК/ФТ відповідно до вимог Положення № 65 та Положення № 107;
4) перевіряє ефективність процесів управління банком, включаючи процеси оцінки розрахунку пруденційних нормативів та контролю за їх дотриманням, оцінки достатності внутрішнього капіталу та оцінки достатності внутрішньої ліквідності;
5) здійснює оцінку складених банком планів підтримання достатності капіталу та підтримання достатності ліквідності, відновлення діяльності банку, фінансування банку в кризових ситуаціях, забезпечення безперервної діяльності банку щодо їх ефективності, реалістичності та відповідності вимогам нормативно-правових актів Національного банку;
6) перевіряє правильність ведення і достовірність бухгалтерського обліку та фінансової звітності, включаючи достовірність управлінської звітності, правильність складання статистичної звітності банку;
7) перевіряє фінансово-господарську діяльність банку;
8) здійснює незалежну оцінку впровадженої банком системи внутрішнього контролю принаймні щодо своєчасності:
виявлення та аналізу фактів порушень керівниками та іншими працівниками банку вимог законодавства України, стандартів професійної діяльності, внутрішньобанківських документів та договірних зобов’язань, а також заходів, ужитих з метою недопущення виникнення таких порушень;
усунення недоліків та/або порушень, виявлених Національним банком та/або іншими державними органами, які в межах компетенції здійснюють нагляд / контроль за діяльністю банку та/або підрозділом внутрішнього аудиту;
9) здійснює незалежну оцінку надійності, ефективності та цілісності управління інформаційно-комунікаційними технологіями (системами) та процесів управління в банку щодо забезпечення релевантності, точності, повноти, доступності, конфіденційності та комплексності даних;
10) здійснює оцінку процесів / процедур / методик, що застосовуються підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс), комітетами ради банку (у разі їх створення), своєчасності та якості звітів щодо ризиків, що надаються раді та правлінню банку;
11) виявляє та перевіряє випадки перевищення посадовими особами банку своїх повноважень;
12) за відсутності загрози незалежності надає консультації раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення), правлінню банку та структурним підрозділам банку;
13) складає звіти про результати виконання завдання внутрішнього аудиту та надає їх керівникам функціональних напрямів діяльності банку / структурних підрозділів банку для вжиття своєчасних і належних заходів для виконання рекомендацій за результатами виконання завдання внутрішнього аудиту;
14) звітує раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) та інформує правління банку про результати виконання завдання внутрішнього аудиту в структурних підрозділах банку;
15) здійснює моніторинг виконання рекомендацій, наданих за результатами виконання завдань внутрішнього аудиту, та контролює повноту впровадження таких рекомендацій;
16) виконує інші функції, передбачені законодавством України.
69. Керівник підрозділу внутрішнього аудиту підпорядковується раді банку та звітує перед нею, а також несе відповідальність за виконання функцій, покладених на нього та підрозділ внутрішнього аудиту.
70. Керівник підрозділу внутрішнього аудиту виконує такі функції:
1) забезпечує безперервну роботу підрозділу внутрішнього аудиту відповідно до законодавства України, Міжнародних стандартів внутрішнього аудиту, внутрішньобанківських документів з питань внутрішнього аудиту;
2) забезпечує достатність та ефективність використання ресурсів підрозділу внутрішнього аудиту для виконання мандата внутрішнього аудиту, покриття всіх сфер діяльності банку та річного плану внутрішнього аудиту;
3) розробляє, впроваджує та забезпечує актуалізацію (за потреби) внутрішньобанківських документів з питань внутрішнього аудиту з урахуванням мінімального переліку питань, зазначеного в додатку 1 до цього Положення, забезпечує контроль за їх виконанням;
4) розробляє, впроваджує та забезпечує актуалізацію (за потреби) методології внутрішнього аудиту;
5) розробляє, підтримує та впроваджує програму забезпечення і підвищення якості функції внутрішнього аудиту;
6) щорічно звітує раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) щодо незалежності підрозділу внутрішнього аудиту;
7) невідкладно інформує раду банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення) у порядку, визначеному внутрішньобанківськими документами, про випадки порушення незалежності підрозділу внутрішнього аудиту та вжиті заходи щодо усунення або мінімізації впливу таких порушень;
8) надає пропозиції раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) щодо проведення планових аудиторських перевірок, ініціює (за потреби) проведення позапланової аудиторської перевірки, обговорює результати виконання завдань внутрішнього аудиту з радою банку / аудиторським комітетом (у разі його створення), правлінням банку, керівниками структурних підрозділів банку;
9) формує обґрунтовану пропозицію раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) щодо потреби підрозділу внутрішнього аудиту в ресурсах (людських, фінансових, технічних, технологічних) та повідомляє про наявні обмеження в таких ресурсах;
10) висловлює незалежну думку, включаючи думку за результатами опрацювання запитів правління банку, щодо ефективності та адекватності системи внутрішнього контролю, включаючи систему управління ризиками, своєчасності та повноти оцінки ризиків, наявності / відсутності фактів, що можуть свідчити про наявність ознак здійснення банком ризикової діяльності;
11) за сприяння ради та правління банку забезпечує комплектацію підрозділу внутрішнього аудиту висококваліфікованим персоналом з необхідними навичками роботи, що включають здатність ефективно та професійно оцінювати результати діяльності банку, ефективність та адекватність процесів і процедур банку, їх відповідність вимогам законодавства України;
12) визначає порядок та процедури, які застосовуються внутрішніми аудиторами для проведення аудиторської перевірки, відповідно до вимог законодавства України, внутрішньобанківських документів з питань внутрішнього аудиту та стандартів внутрішнього аудиту;
13) складає звіт про виконання річного плану проведення аудиторських перевірок (аудиту) та подає його на розгляд раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) не пізніше останнього місяця I кварталу року, наступного за звітним;
14) письмово інформує раду банку для прийняття нею відповідних рішень або вжиття заходів про виникнення обставин, які перешкоджають працівникам підрозділу внутрішнього аудиту виконувати свої обов’язки, втручання посадових осіб банку в діяльність підрозділу внутрішнього аудиту, виявлення рівня ризику, що є неприйнятним для діяльності банку;
15) здійснює заходи щодо проведення зовнішньої та внутрішньої оцінки якості функції внутрішнього аудиту, а також письмово повідомляє раду банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення), інформує правління банку та Національний банк про результати такої оцінки;
16) розробляє програму безперервної професійної підготовки і навчання внутрішніх аудиторів та контролює її виконання;
17) розробляє та забезпечує функціонування системи моніторингу виконання керівниками структурних підрозділів банку рекомендацій, наданих за результатами виконання завдань внутрішнього аудиту;
18) складає та подає до Національного банку відповідно до вимог цього Положення звіт про роботу підрозділу внутрішнього аудиту та інші документи за результатами виконання завдань внутрішнього аудиту банку;
19) письмово повідомляє Національний банк про виявлені під час проведення аудиторської перевірки викривлення показників фінансової звітності, консолідованої фінансової звітності, порушення та/або недоліки в роботі банку, а також будь-які події в діяльності банку, які за професійним судженням керівника підрозділу внутрішнього аудиту можуть негативно вплинути на платоспроможність, безпеку, надійність та безперервність діяльності банку, якщо правління банку своєчасно не вжило заходів щодо усунення цих порушень та/або недоліків, а рада банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення) не розглянула звернення керівника підрозділу внутрішнього аудиту щодо бездіяльності правління банку та/або за результатами розгляду цього звернення не вжила відповідних заходів, або вжиті заходи не є адекватними для усунення порушень та/або недоліків;
20) забезпечує в межах своїх повноважень на постійній основі співпрацю із зовнішніми аудиторами, Національним банком та державними органами.
71. Керівник підрозділу внутрішнього аудиту має право бути куратором завдання внутрішнього аудиту.
72. Керівник підрозділу внутрішнього аудиту відповідає таким кваліфікаційним вимогам:
1) має вищу освіту, яка забезпечує належне виконання ним посадових обов’язків, досвід роботи у сфері внутрішнього та/або зовнішнього аудиту не менше п’яти років, із яких не менше ніж три роки в банківській системі;
2) дотримується обмежень, визначених у статті 45 Закону України "Про банки і банківську діяльність" щодо зайняття посад в інших банках;
3) іншим кваліфікаційним вимогам, визначеним у Положенні про ліцензування банків, затвердженому постановою Правління Національного банку України від 22 грудня 2018 року № 149 (зі змінами) (далі - Положення № 149).
Професійна придатність керівника підрозділу внутрішнього аудиту банку визначається як сукупність знань, професійного та управлінського досвіду, необхідних для належного виконання своїх посадових обов’язків з урахуванням бізнес-плану та стратегії розвитку банку, усебічне розуміння Міжнародних стандартів внутрішнього аудиту та провідної практики внутрішнього аудиту.
Інші кваліфікаційні вимоги до кандидата на посаду керівника підрозділу внутрішнього аудиту банку, порядок погодження Національним банком його кандидатури та його звільнення [крім випадків звільнення такої особи за власним бажанням, за згодою сторін або у зв’язку із закінченням строку трудового договору (контракту)] установлюються згідно з Положенням № 149.
73. Керівник підрозділу внутрішнього аудиту має право:
1) вимагати позачергового скликання засідання ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення);
2) ініціювати проведення зустрічі з будь-якою посадовою особою банку;
3) ініціювати для виконання завдань внутрішнього аудиту залучення працівників інших структурних підрозділів банку;
4) отримувати письмові пояснення від керівників і працівників банку з питань, що виникають під час виконання завдань внутрішнього аудиту та за результатами їх виконання;
5) брати участь без права голосу в засіданнях ради та/або правління банку, комітетів банку;
6) надсилати до інших організацій та установ або третіх осіб запити щодо отримання необхідних відомостей та документів, пов’язаних з аудиторською перевіркою;
7) необмеженого доступу до даних, записів, інформації, майна, необхідних для виконання мандата внутрішнього аудиту.
74. Працівники підрозділу внутрішнього аудиту мають право:
1) ознайомлюватися з інформацією та документами, включаючи документи, що зберігаються на електронних носіях, будь-якого структурного підрозділу банку, письмовими поясненнями з питань діяльності банку, включаючи всі підрозділи банку незалежно від країни їх місцезнаходження, та афілійованих осіб банку;
2) отримувати письмові пояснення від керівників функціонального напряму діяльності / структурних підрозділів і працівників банку з питань, що виникають під час проведення аудиторської перевірки, та за результатами такої перевірки;
3) доступу до системи автоматизації банківських операцій, а також можливість використовувати:
бази даних та іншу інформацію з первинних документів банку;
програмне забезпечення, яке використовується для автоматизації процесів у діяльності банку, включаючи з питань фінансового моніторингу;
фінансову, статистичну, управлінську та інші види звітності;
інвентаризаційні матеріали банку та документи комісій, створених у банку (за їх наявності);
документи органів управління банку з питань запровадження та функціонування внутрішнього контролю, системи управління ризиками;
інші документи банку, які необхідні для виконання завдань внутрішнього аудиту;
4) доступу до всіх приміщень банку, включаючи ті, що використовуються банком для зберігання документів, готівки та інших цінностей;
5) знімати копії з наданих для перевірки документів (у разі надання їх на паперових носіях), робити копії файлів будь-якої інформації, що зберігається на електронних носіях та є необхідною для виконання завдання внутрішнього аудиту.
II. Завдання внутрішнього аудиту
15. Аудиторська перевірка
75. Підрозділ внутрішнього аудиту здійснює аудиторські перевірки відповідно до річного плану внутрішнього аудиту на звітний рік, який складений на основі результатів комплексної оцінки ризиків, з урахуванням стратегії та бізнес-плану банку та може бути частиною довгострокового плану внутрішнього аудиту щодо внутрішнього аудиту всіх сфер діяльності банку.
76. Підрозділ внутрішнього аудиту на вимогу ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) / правління банку або керівника підрозділу внутрішнього аудиту та за погодженням із радою банку здійснює позапланові перевірки.
77. Підрозділ внутрішнього аудиту здійснює аудиторську перевірку на підставі програми завдання внутрішнього аудиту, під час підготовки якої має враховуватись обсяг завдання внутрішнього аудиту та процедури для його виконання, визначені на підставі ризик-орієнтованого підходу під час підготовки до аудиторської перевірки та/або під час складання річного плану внутрішнього аудиту банку на звітний рік або складання карти ризиків (у разі її складання).
78. Програма завдання внутрішнього аудиту ґрунтується на інформації, отриманій під час планування завдання внутрішнього аудиту, та має щонайменше містити:
1) назву сфери діяльності, що підлягає аудиторській перевірці;
2) підставу проведення аудиторської перевірки;
3) цілі та напрями аудиторської перевірки з урахуванням оцінки ризиків, притаманних сфері діяльності банку, яка підлягає перевірці, та пов’язаним із нею сферам;
4) перелік процесів, які підлягатимуть аудиторській перевірці, із зазначенням орієнтовного часу (днів), що планується витратити на їх перевірку;
5) період, що підлягає аудиторській перевірці;
6) дати початку та закінчення проведення аудиторської перевірки;
7) процедури збору, аналізу, оцінки та документування інформації про об’єкт перевірки, мінімальний обсяг вибірки та види аналітичних процедур, які використовуватимуться під час аудиторської перевірки;
8) перелік внутрішніх аудиторів та інших осіб, які братимуть участь в аудиторській перевірці;
9) розкриття характеру обмежень за їх наявності.
79. Програма завдання внутрішнього аудиту:
1) створюється в письмовій формі;
2) підписується внутрішнім аудитором, якого уповноважено на виконання аудиторської перевірки, або куратором завдання внутрішнього аудиту (у разі його призначення);
3) затверджується керівником підрозділу до початку здійснення аудиторських процедур у межах завдання внутрішнього аудиту.
До програми завдання внутрішнього аудиту можуть уноситися зміни до процесу здійснення внутрішнього аудиту, які мають бути письмово задокументовані та затверджені керівником підрозділу внутрішнього аудиту.
80. Внутрішній аудитор, який безпосередньо виконував перевірку, формує та підписує аудиторський звіт (висновок за результатами виконання завдання внутрішнього аудиту) з урахуванням вимог Міжнародних стандартів внутрішнього аудиту та цього Положення, а також підписує його в куратора завдання внутрішнього аудиту (у разі його призначення) та керівника підрозділу внутрішнього аудиту банку.
81. Процес відстеження підрозділом внутрішнього аудиту результатів виконання завдання внутрішнього аудиту починається після подання керівнику функціонального напряму діяльності / структурного підрозділу банку, діяльність якого перевіряється, аудиторського звіту та закінчується після виконання всіх наданих рекомендацій відповідальними особами за їх виконання.
Відсутність потреби в подальшому відстеженні результатів виконання завдання внутрішнього аудиту встановлюється шляхом підтвердження керівником підрозділу внутрішнього аудиту / куратором завдання внутрішнього аудиту виконання відповідальними керівниками за виконання рекомендацій, що надавалися за результатами аудиторської перевірки.
16. Консультаційні послуги
82. Банк визначає у своїх внутрішньобанківських документах порядок надання консультаційних послуг зацікавленим особам банку.
83. Консультаційні послуги можуть щонайменше включати консультації щодо розроблення і впровадження нових процедур, процесів та/або систем, надання послуг зі спеціальних перевірок за дорученням зацікавлених осіб, проведення навчання, участь у проведенні обговорень щодо системи внутрішнього контролю та управління ризикам.
84. Замовник консультаційних послуг надає керівнику підрозділу внутрішнього аудиту інформацію щодо цілей, потреб та очікувань від результатів таких послуг, включаючи характер та обсяг, строки виконання та отримання їх результатів.
85. Відповідальність за рішення, прийняті на підставі наданих підрозділом внутрішнього аудиту консультаційних послуг, несуть замовники таких послуг.
Документи, інформація та матеріали, що стали відомі внутрішнім аудиторам під час здійснення консультаційних послуг, є конфіденційними. Доступ до таких документів, інформації, матеріалів здійснюється відповідно до вимог внутрішньобанківських документів, розроблених з урахуванням вимог законодавства України.
17. Аутсорсинг завдань та процесів внутрішнього аудиту
86. Банк має право передавати на аутсорсинг окремі завдання та процеси внутрішнього аудиту в разі та з урахуванням особливостей, визначених цим Положенням.
87. Банк має право передавати на аутсорсинг окремі завдання та процеси внутрішнього аудиту виключно щодо:
1) виконання окремих завдань внутрішнього аудиту щодо оцінки надійності, ефективності та цілісності управління інформаційно-комунікаційними технологіями (системами) та процесів управління в банку стосовно забезпечення релевантності, точності, повноти, доступності, конфіденційності та комплексності даних (ІТ-аудит);
2) моніторингу, обслуговування та підтримки інформаційно-технічного забезпечення підрозділу внутрішнього аудиту.
88. Банк приймає рішення щодо передавання окремих завдань та процесів внутрішнього аудиту на аутсорсинг за умови одночасного дотримання таких умов:
1) розроблення внутрішньобанківських документів щодо передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту;
2) обґрунтованої доцільності передавання завдань та процесів внутрішнього аудиту на аутсорсинг;
3) забезпечення збереження та захисту інформації з обмеженим доступом, включаючи банківську та комерційну таємницю, таємницю фінансової послуги, у разі передавання окремих завдань та процесів внутрішнього аудиту на аутсорсинг;
4) належного управління ризиками, пов’язаними з передаванням окремих завдань та процесів внутрішнього аудиту на аутсорсинг та виконанням аутсорсером таких завдань та процесів.
89. Рада банку затверджує внутрішньобанківські документи щодо передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту відповідно до вимог цього Положення та з урахуванням вимог Положення про організацію системи управління ризиками в банках України та банківських групах, затвердженого постановою Правління Національного банку України від 11 червня 2018 року № 64 (зі змінами).
Внутрішньобанківські документи щодо передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту щонайменше мають містити:
1) порядок визначення окремих завдань та процесів внутрішнього аудиту, що можуть передаватися на аутсорсинг;
2) порядок визначення критеріїв прийнятності аутсорсерів;
3) процес передавання окремих завдань та процесів на аутсорсинг, включаючи одностороннє розірвання банком договорів з аутсорсером;
4) процедури управління ризиками, пов’язаними з передаванням окремих завдань та процесів внутрішнього аудиту на аутсорсинг та виконанням аутсорсером таких завдань і процесів, включаючи оцінку фінансового стану аутсорсерів;
5) засади ефективного контролю банком за виконанням завдань і процесів внутрішнього аудиту, переданих на аутсорсинг;
6) вимоги до типового договору аутсорсингу, який щонайменше має містити умови щодо:
предмета договору та переліку завдань та процесів, які передаються на аутсорсинг;
строку дії договору та термінів виконання завдань та процесів, переданих на аутсорсинг;
умов та порядку розірвання банком договору в односторонньому порядку;
забезпечення аутсорсером конфіденційності та захисту інформації;
дій керівника підрозділу внутрішнього аудиту та аутсорсера в разі настання надзвичайних обставин;
забезпечення аутсорсером доступу банку до інформації, обладнання, систем, що використовуються аутсорсером для виконання завдань та процесів, переданих підрозділом внутрішнього аудиту на аутсорсинг, з метою перевірки виконання зобов’язань, визначених у договорі аутсорсингу;
нерозголошення інформації (NDA, англійською мовою Non-disclosure agreement);
7) відповідальність аутсорсера за надання недостовірної інформації.
90. Банк несе відповідальність за ризики, пов’язані з передаванням окремих завдань та процесів внутрішнього аудиту на аутсорсинг та виконанням аутсорсером таких завдань та процесів.
Передавання банком окремих завдань та процесів внутрішнього аудиту на аутсорсинг не повинно погіршувати процес оцінки функції внутрішнього аудиту банку, що здійснюється уповноваженими Національним банком особами.
Передавання банком окремих завдань та процесів внутрішнього аудиту на аутсорсинг не звільняє від відповідальності банк та/або керівника підрозділу внутрішнього аудиту за невиконання ним / ними регуляторних норм.
III. Взаємодія та контроль за діяльністю підрозділу внутрішнього аудиту
18. Взаємодія підрозділу внутрішнього аудиту
91. Керівник підрозділу внутрішнього аудиту забезпечує та підтримує ефективну взаємодію підрозділу внутрішнього аудиту із зацікавленими особами, що передбачає налагодження партнерських відносин, формування довіри та забезпечення можливості отримання зацікавленими особами доданої вартості від результатів діяльності підрозділу внутрішнього аудиту.
92. Керівник підрозділу внутрішнього аудиту банку забезпечує можливість обміну інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку з питань внутрішнього аудиту.
Взаємовідносини та обмін інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку, Національним банком / іншими державними органами, які в межах компетенції здійснюють нагляд / контроль за діяльністю банку, мають відбуватися з дотриманням вимог внутрішньобанківських документів, розроблених відповідно до вимог законодавства України, внутрішньобанківських документів щодо зберігання, захисту, використання та розкриття інформації, що становить банківську, комерційну таємницю та таємницю фінансової послуги.
Банк на вимогу зовнішнього аудитора банку має забезпечити надання йому звітів про проведені Національним банком перевірки банку та звітів зовнішнього та внутрішнього аудиту банку.
19. Контроль за функцією внутрішнього аудиту
93. Уповноваженими Національним банком особами здійснюється оцінка незалежності та ефективності створеної банком функції внутрішнього аудиту шляхом:
1) аналізу діяльності підрозділу внутрішнього аудиту, включаючи результати зовнішньої та внутрішньої оцінки якості функції внутрішнього аудиту;
2) перевірки процесів та інструментів внутрішнього аудиту;
3) проведення зустрічей з внутрішніми аудиторами;
4) оцінки взаємодії ради банку / відповідальної особи банківської групи з керівником підрозділу внутрішнього аудиту та частоти проведення зустрічей, а також контролю за виконанням рекомендацій за результатами внутрішнього аудиту;
5) аналізу внутрішньобанківських документів, включаючи забезпечення незалежності функції внутрішнього аудиту та вимоги до звіту про роботу підрозділу внутрішнього аудиту;
6) аналізу допущених банком порушень, установлених Національним банком за результатами інспекційних / виїзних перевірок та безвиїзного нагляду;
7) аналізу стану виконання рекомендацій, наданих Національним банком за результатами інспекційних / виїзних перевірок та безвиїзного нагляду.
Національний банк під час оцінки SREP враховує недоліки, порушення, виявлені в діяльності підрозділу внутрішнього аудиту, а також стан виконання банком рекомендацій, наданих Національним банком.
94. Банк подає внутрішньобанківські документи з питань внутрішнього аудиту / робочі документи / звіти на запит Національного банку, а також уповноваженим Національним банком особам під час здійснення інспекційної / виїзної перевірки.
95. Банк подає до Національного банку:
1) протягом 10 робочих днів після затвердження в установленому порядку річний план внутрішнього аудиту на наступний звітний рік, але не пізніше останнього робочого дня першого місяця року;
2) протягом 10 робочих днів після затвердження в установленому порядку змін до річного плану внутрішнього аудиту (у разі внесення);
3) два рази на рік протягом 15 днів місяця, наступного за звітним періодом (півроку), звіт про роботу підрозділу внутрішнього аудиту банку згідно з додатком 2 до цього Положення;
4) протягом одного місяця після проведення зовнішньої оцінки якості функції внутрішнього аудиту в установленому порядку звіт про зовнішню оцінку якості функції внутрішнього аудиту, оформлений та підписаний кваліфікованим незалежним оцінювачем або групою незалежних оцінювачів.
96. Внутрішньобанківські документи, визначені цим Положенням, подаються до Національного банку у формі електронного документа, підписаного шляхом накладання кваліфікованого електронного підпису (далі - КЕП) або електронної копії документа, засвідченої КЕП, на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу.
Внутрішньобанківські документи, визначені цим Положенням, подаються до Національного банку в паперовій формі:
1) у разі неможливості їх подання у формі електронного документа на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв’язку, які використовуються Національним банком для електронного документообігу;
2) на окремий запит Національного банку.
Документи на вимогу Національного банку подаються у формі та за форматом, визначеним Національним банком.
97. Електронні копії документів мають створюватись у формі файлів, які містять скановані з паперових носіїв зображення документів.
Сканування з паперових носіїв зображення документів здійснюється з урахуванням таких вимог:
1) документ сканується у файл формату pdf;
2) сканована копія кожного окремого документа зберігається як окремий файл;
3) файл повинен мати коротку назву латинськими літерами, що відображає зміст та реквізити документа;
4) документ, що містить більше однієї сторінки, сканується в один файл;
5) роздільна здатність сканування не нижче, ніж 300 dpi.
Електронні копії документів можуть подаватися на цифрових носіях або надсилатися засобами електронної пошти Національного банку.
98. Звіт про роботу підрозділу внутрішнього аудиту банку має містити щонайменше інформацію щодо перевірки сфери діяльності та процесів, упроваджених структурними підрозділами банку, його комітетами та керівництвом банку для здійснення діяльності банку, які протягом звітного періоду підлягали аудиторській перевірці.
99. Національний банк здійснює контроль за дотриманням банком вимог цього Положення шляхом:
1) проведення інспекційних / виїзних перевірок банку;
2) здійснення безвиїзного банківського нагляду, включаючи здійснення аналізу звіту про роботу підрозділу внутрішнього аудиту банку;
3) підтримання постійного зв’язку з внутрішніми аудиторами для обговорення ризиків банку, застосування банком заходів, спрямованих на зниження ризиків, здійснення постійного моніторингу реагування банку на виявлені проблеми;
4) проведення зустрічей за участю членів ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення), членів правління, інших керівників банку та керівника підрозділу внутрішнього аудиту банку для обговорення ефективності запропонованих банком заходів, які мають бути реалізовані ним з огляду на надані рекомендації та/або висунуті Національним банком вимоги.
100. Національний банк має право ініціювати проведення зустрічі з керівником підрозділу внутрішнього аудиту банку, включаючи того керівника, якого звільнено не за власним бажанням, не за згодою сторін або не у зв’язку із закінченням строку трудового договору (контракту).
101. Національний банк має право висувати банку письмову вимогу, адресовану раді банку, щодо:
1) надання Національному банку інформації з питань, що належать до компетенції підрозділу внутрішнього аудиту, за формою та в установлений ним у письмовому запиті строк;
2) приведення діяльності підрозділу внутрішнього аудиту у відповідність до вимог законодавства України та Міжнародних стандартів внутрішнього аудиту;
3) заміни керівника підрозділу внутрішнього аудиту у зв’язку з невідповідністю його професійної придатності та/або ділової репутації кваліфікаційним вимогам, установленим Національним банком.
102. Національний банк має право рекомендувати банку проведення підрозділом внутрішнього аудиту позачергової аудиторської перевірки з окремих питань діяльності та/або за визначений період діяльності банку, а також рекомендувати внесення змін до річного плану внутрішнього аудиту на звітний рік.
103. Банк на письмову вимогу Національного банку зобов’язаний вжити заходів щодо приведення діяльності підрозділу внутрішнього аудиту у відповідність до вимог законодавства України та письмово поінформувати про це Національний банк у встановлений ним у вимозі строк.
104. Національний банк має право вимагати вжиття банком додаткових заходів, якщо він уважає, що вжиті банком заходи не забезпечили / не забезпечують / не забезпечать надалі незалежну та ефективну функцію внутрішнього аудиту.
( Положення в редакції Постанови Національного банку № 151 від 19.12.2025 )
| Директор Департаменту методології | Н.В. Іваненко |
Додаток 1
до Положення про організацію
внутрішнього аудиту
в банках України
та банківських групах
(пункт 32 глави 9 розділу I)
Мінімальний перелік
питань, що мають бути врегульовані у внутрішньобанківських документах з питань внутрішнього аудиту
( Див. текст )
( Додаток 1 в редакції Постанови Національного банку № 151 від 19.12.2025 )
Додаток 2
до Положення про організацію
внутрішнього аудиту
в банках України
та банківських групах
(підпункт 3 пункту 95 глави 19 розділу III)
Звіт про роботу підрозділу внутрішнього аудиту
( Див. текст )
( Додаток 2 в редакції Постанови Національного банку № 151 від 19.12.2025 )