НАЦІОНАЛЬНИЙ БАНК УКРАЇНИ
ЛИСТ
08.07.2024 № 25-0007/52018 |
Банкам України
Асоціація "Незалежна асоціація банків України"
Асоціація українських банків
Про організацію корпоративного управління, системи управління ризиками та внутрішнього контролю банку в частині ПВК/ФТ
Національний банк України (далі - Національний банк), керуючись частиною восьмою статті 18 Закону України "Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення" (далі -Закон) та статтею 66 Закону України "Про банки і банківську діяльність", повідомляє таке.
Щороку, ґрунтуючись на положеннях документів Європейського банківського органу щодо організації єдиної процедури та методології процесу наглядових перевірок та оцінки (англійською мовою Supervisory Review and Evaluation Process, SREP ), що регламентують установлення єдиних підходів до оцінки ризиків та управління ризиками в банках, Національний банк здійснює наглядову оцінку банків. Одним із складових елементів цієї оцінки є оцінка рівня організації корпоративного управління та внутрішнього контролю банку, яка здійснюється шляхом аналізу інформації щодо функціонування системи внутрішнього контролю банку та щодо діяльності банку, отриманої, зокрема, за результатами нагляду за банками у сфері протидії відмиванню коштів / фінансуванню тероризму (далі - ПВК/ФТ).
У межах здійснення загальної оцінки за цим напрямом Департамент фінансового моніторингу Національного банку здійснив оцінку заходів банків, спрямованих на виконання ними обов'язків суб'єктів первинного фінансового моніторингу (далі - СПФМ), зокрема таких, що найбільшим чином можуть відображати рівень організації корпоративного управління та внутрішнього контролю банку, у тому числі щодо розподілу функцій і обов'язків між керівниками банку, трьома лініями захисту, з метою дотримання банками вимог законодавства у сфері ПВК/ФТ (далі - оцінка у сфері ПВК/ФТ).
Насамперед акцентуємо, що за результатами здійснення оцінки у сфері ПВК/ФТ станом на 01.01.2023 Національний банк надіслав банкам лист від 06.07.2023 № 25-0007/48533, у якому наведено опис виявлених недоліків та надано рекомендації щодо їх усунення. Також деякі банки додатково отримали листи з деталізованими рекомендаціями Національного банку.
Варто зазначити, що під час здійснення оцінки у сфері ПВК/ФТ станом на
01.01.2024 встановлено, що не всіма банками враховані надані рекомендації або враховані не в повному обсязі. Інформуємо, що такий підхід негативно оцінений Національним банком та вплинув на загальну оцінку окремих банків у сфері ПВК/ФТ, що здійснювалася станом на 01.01.2024.
За результатами аналізу інформації / копій документів, зокрема заповнених анкет, внутрішніх документів з питань ПВК/ФТ, наданих банками(1), з метою оцінки виконання ними обов'язків СПФМ Департамент фінансового моніторингу Національного банку виявив недоліки в організації банками внутрішньобанківської системи ПВК/ФТ, проведенні первинного фінансового моніторингу, забезпеченні функціонування системи управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та/або фінансування розповсюдження зброї масового знищення (далі - ризики ВК/ФТ), організації належного внутрішнього контролю за дотриманням банками вимог законодавства України у сфері ПВК/ФТ.
Звертаємо увагу на основні проблемні питання, які характерні для багатьох банків та потребують усунення шляхом внесення змін до відповідних внутрішніх документів з питань ПВК/ФТ, удосконалення процесів та процедур у сфері ПВК/ФТ.
1. Окремими банками не було враховано взагалі або враховано частково рекомендації Національного банку, надані в листі від 06.07.2023 № 25-0007/48533, у тому числі щодо необхідності:
доопрацювання внутрішніх документів банків з питань ПВК/ФТ (далі -ВДБ);
здійснення внутрішніх аудиторських перевірок з питань дотримання банками вимог законодавства у сфері ПВК/ФТ, у тому числі функціонування систем автоматизації(2) (СА) банків та детального відображення інформації в звітах про результати внутрішнього аудиту з перевірки дотримання банками вимог законодавства у сфері ПВК/ФТ.
За результатами аналізу з'ясовано наявність практики окремих банків здійснювати внутрішні аудиторські перевірки з питань ПВК/ФТ з періодичністю один раз на три-чотири роки. На думку Національного банку, такий підхід до організації внутрішнього контролю є формальним, оскільки зазначена періодичність аудиторської перевірки не забезпечує своєчасності виявлення проблемних питань та недоліків у діяльності банків у сфері ПВК/ФТ. Під час планування періодичності внутрішніх аудиторських перевірок не враховувалися масштаб і обсяги діяльності банку, види продуктів, що надаються клієнтам, у тому числі ті, що несуть потенційний ризик ВК/ФТ. Наголошуємо, що ризик-орієнтований підхід банків до планування внутрішніх аудиторських перевірок з питань ПВК/ФТ має забезпечувати своєчасну оцінку ефективності функціонування внутрішньобанківської системи у сфері ПВК/ФТ;
доопрацювання скорингової ризик-моделі оцінки ризиків ділових відносин з клієнтами з проведенням розрахунку інтегрованого показника (score) на основі питомої ваги притаманних клієнтам критеріїв ризику; інших рекомендацій, наданих у зазначеному листі.
Вищезазначені проблеми підкреслюють недостатність дієвих адекватних заходів контролю з боку керівників банків за належним виконанням рекомендацій, наданих Національним банком.
2. Залишається проблемним питання щодо ВДБ. Порядки / процедури, описані у ВДБ, здебільшого мають декларативний (формальний) характер, оскільки в переважній більшості містять лише дослівно переписані норми вимог Закону та Положення про здійснення банками фінансового моніторингу, затвердженого постановою Правління Національного банку України від 19.05.2020 № 65 (зі змінами) (далі - Положення № 65), зокрема:
1) наявні у ВДБ порядки не містять детального опису здійснення конкретних дій та прийняття рішень у межах здійснення:
посилених заходів належної перевірки клієнтів (далі - ПЗНП), зокрема в разі встановлення клієнту високого рівня ризику;
моніторингу ділових відносин / фінансових операцій клієнтів;
заходів з метою підтвердження / спростування того, що юридична особа (потенційний клієнт або наявний клієнт) є компанією-оболонкою в разі виявлення критеріїв компанії-оболонки (далі - критерії КО).
Так, у ВДБ має бути наявний опис:
переліку посад працівників відповідних підрозділів банку (чіткого розподілу повноважень), які здійснюють заходи з моніторингу ділових відносин / фінансових операцій, приймають рішення про вибір конкретних заходів ПЗНП, заходів у разі виявлення критеріїв КО з визначеного їх переліку, підстави для їх вибору;
документів, у яких працівники банків фіксують інформацію про здійснені заходи та результати таких заходів з моніторингу ділових відносин / фінансових операцій, обрані заходи ПЗНП, заходи в разі виявлення критеріїв КО для конкретного клієнта (доповідна, анкета, окремий звіт / висновок тощо) з обґрунтуванням підстав для їх вибору;
документів / інформації, які мають бути запитані в клієнта в розрізі кожного з можливих заходів ПЗНП / заходів у разі виявлення критеріїв КО;
чітких термінів здійснення моніторингу ділових відносин / фінансових операцій, здійснення кожного з можливих заходів ПЗНП / заходів у разі виявлення критеріїв КО, які забезпечать оперативність отримання банком інформації та здійснення аналізу.
Також майже у всіх банків у ВДБ зазначено про "збільшення частоти та обсягу дій з моніторингу ділових відносин та фінансових операцій клієнта, що здійснюються в процесі таких відносин ". Водночас банки не конкретизують, як саме "збільшується частота", тобто яка періодичність такого моніторингу, від чого вона залежить, у чому саме полягає "збільшення обсягу дій".
Відповідно до абзацу другого частини другої статті 11 Закону банк має визначити обсяг дій при здійсненні кожного із заходів НПК з урахуванням їх ризик-профілю, зокрема рівня ризику, мети ділових відносин,суми здійснюваних операцій, регулярності або тривалості ділових відносин.
Зауважуємо, що ВДБ здебільшого не містять положень, що визначають / конкретизують, який має бути обсяг дій залежно від ризик-профілю клієнта, зокрема рівня ризику,мети ділових відносин, суми здійснюваних операцій, регулярності або тривалості ділових відносин, а також які заходи необхідно обирати під час здійснення ПЗНП залежно від ризиків, притаманних діловим відносинам із клієнтом, які заходи будуть пропорційними таким ризикам та в якому документі (чи в СА) фіксується прийняте уповноваженою особою банку рішення про ПЗНП та перелік обраних заходів для конкретного клієнта.
Водночас з урахуванням вимог пункту 17 частини другої статті 8 Закону під час здійснення НПК банк має здійснити документування заходів, вжитих з метою виконання вимог законодавства у сфері ПВК/ФТ, у такий спосіб, щоб бути здатним довести суб'єкту державного фінансового моніторингу, що рішення, прийняті з метою дотримання вимог законодавства у сфері ПВК/ФТ, зокрема, щодо здійснення НПК (у тому числі ПЗНП) ґрунтуються на змістовних фактах та результатах комплексного і належного аналізу.
Звертаємо увагу на неприпустимість використання банками формальних підходів до моніторингу ділових відносин / фінансових операцій клієнтів, вжиття заходів ПЗНП / заходів у разі виявлення критеріїв КО у вигляді отримання певного пакета окремих документів без проведення їх аналізу або без отримання додаткових відомостей. Наприклад, якщо банк отримав від клієнта договір оренди приміщень / обладнання, необхідного для здійснення господарської діяльності, доцільно отримати підтвердження здійснення сплати орендних платежів відповідно до укладених угод.
Принагідно зазначаємо про недопустимість використання банками підходу до вжиття заходів з метою підтвердження / спростування того, що юридична особа є КО, лише в разі виявлення, наприклад, більше двох критеріїв КО.
Підкреслюємо, що зазначені заходи мають здійснюватися банками навіть за наявності одного критерію КО.
Також наголошуємо на важливості приділення банками достатньої уваги аналізу джерел походження коштів, які надходять клієнту з його власних рахунків, відкритих в інших банках. Оскільки такі надходження можуть свідчити про спробу приховати від банку суть операцій та використовуватися клієнтами для "розриву ланцюга" низки пов'язаних фінансових операцій, які сукупно можуть мати ознаки підозрілих або свідчити про підозрілу діяльність клієнта;
2) у ВДБ банки часто зазначають про виконання певних заходів "із застосуванням ризик-орієнтованого підходу ", водночас у ВДБ немає опису, у чому саме полягає ризик-орієнтованість та як цей підхід у конкретному випадку застосовують банки, який порядок його документування.
Звертаємо увагу банків, що відповідно до пункту 36 розділу IV Положення № 65 банк документує процес застосування ризик-орієнтованого підходу таким чином, щоб бути здатним продемонструвати його суть (зокрема те, у чому полягає різниця в підходах), прийняті банком рішення під час його застосування та обґрунтованість таких рішень.
Таким чином, декларування банками застосування ризик-орієнтованого підходу під час виконання обов'язків СПФМ, певних заходів має супроводжуватись описом різниці в підходах, порядку його застосування працівниками банку та правил документування;
3) ВДБ банків не містять детальних порядків здійснення внутрішнього контролю за виконанням працівниками своїх обов'язків у сфері ПВК/ФТ на різних рівнях.
У пункті 21 Положення № 65 визначено, що рада банку визначає та затверджує загальні принципи банку щодо дотримання вимог законодавства України з питань ПВК/ФТ в окремому внутрішньому документі у вигляді політики (далі - політика банку з питань ПВК/ФТ).
У пункті 22 Положення № 65 визначено, що політика банку з питань ПВК/ФТ доводиться радою банку до відома правління банку та відповідального працівника банку з метою формування чіткого розуміння очікувань ради банку, зокрема щодо функціонування внутрішнього контролю з питань ПВК/ФТ.
Відповідно до пункту 23 Положення № 65 банк, дотримуючись визначеної радою банку політики у сфері ПВК/ФТ, розробляє та затверджує внутрішні документи з метою виконання вимог законодавства України у сфері ПВК/ФТ, які повинні містити дієві ризик-орієнтовані процедури, порядки, достатні для належної організації та функціонування внутрішньобанківської системи ПВК/ФТ та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками ВК/ФТ.
У пункті 24 Положення № 65 зазначено, що внутрішні документи банку з питань ПВК/ФТ розробляються банком з урахуванням вимог законів України, що регулюють питання ПВК/ФТ, Положення № 65, нормативно-правових актів Національного банку, Міністерства фінансів України, прийнятих для виконання та відповідно до цих законів, рекомендацій FATF, Базельського комітету з банківського нагляду, результатів національної оцінки ризиків та ризик-профілю банку, рекомендацій Національного банку та типологічних досліджень спеціально уповноваженого органу (далі - СУО).
Згідно з пунктом 25 Положення № 65 одним із принципів розроблення та реалізації внутрішніх документів банку з питань ПВК/ФТ є наявність належного внутрішнього контролю (за різними видами послуг / продуктів, типами клієнтів, рівнем ризиків клієнтів, сумою фінансових операцій) та визначення працівників банку, які приймають рішення на різних етапах контролю відповідно до їхніх функціональних обов'язків, забезпечуючи принцип "вища посада - більші повноваження та відповідальність".
Відповідно до пункту 6 частини третьої статті 9 Закону до повноважень відповідального працівника належать організація розроблення, подання для затвердження, забезпечення постійного оновлення, а також контроль за виконанням внутрішніх документів з питань фінансового моніторингу.
Частиною четвертою статті 9 Закону визначено, що керівник та інші працівники суб'єкта первинного фінансового моніторингу зобов'язані сприяти виконанню відповідальним працівником своїх функцій.
Таким чином, процедури внутрішнього контролю мають бути розроблені банками щодо всіх процесів первинного фінансового моніторингу, визначених у ВДБ, та передбачати здійснення контрольних заходів за повнотою / своєчасністю / правильністю тощо виконання працівниками банку обов'язків з метою забезпечення виконання банком функцій СПФМ. Наприклад, внутрішні заходи контролю мають охоплювати:
здійснення працівниками всіх заходів НПК,
виявлення та моніторинг притаманності діловим відносинам з клієнтами критеріїв ризику,
виявлення фінансових операцій, які підлягають фінансовому моніторингу, своєчасне і повне надання інформації на запити СУО, Національного банку,
внесення коректної інформації в реєстри повідомлень(3),
виявлення індикаторів підозрілості фінансових операцій,
виконання банком інших обов'язків у сфері ПВК/ФТ.
Для ефективного функціонування системи внутрішнього контролю відповідні порядки / процедури повинні містити інформацію принаймні про:
цілі контролю (дотримання яких вимог перевіряється);
працівників банку (підрозділи), які уповноважені здійснювати такий контроль;
параметри, принципи, способи формування вибірки (вручну чи за допомогою СА) інформації / клієнтів, що будуть об'єктом контролю;
періодичність і терміни здійснення контролю;
дії працівників у разі виявлення проблемних питань чи ознак порушень законодавства у сфері ПВК/ФТ та/або вимог ВДБ під час здійснення контролю;
порядок документування результатів здійснених контрольних заходів та включення такої інформації до звітів керівникам банку.
Наголошуємо, що цитування у ВДБ вимог, зазначених у Положенні № 65 чи Законі, не може вважатися порядком. Відповідно до підпункту 41 пункту 5 розділу І Положення № 65 порядок - чітка послідовність дій певного процесу із зазначенням способів, форм, строків (термінів) ужиття працівниками банку цих дій, визначена у внутрішніх документах банку з питань ПВК/ФТ.
3. Під час оцінки власного ризик-профілю у сфері ПВК/ФТ і ризик-апетиту у сфері ПВК/ФТ банки мають керуватися вимогами Положення № 65. Натомість окремі банки здійснюють вищезазначені оцінки, керуючись Положенням про організацію системи управління ризиками в банках України та банківських групах, затвердженим постановою Правління Національного Банку України від 11.06.2018 № 64. Зазначені нормативні документи по різному визначають підходи до оцінки та пріоритетність, зокрема, що саме є базовим - ризик-апетит, чи ризик-профіль.
Крім того, для максимальної ефективності і своєчасного врахування банками результатів у роботі рекомендуємо завершувати оцінку і погодження власного ризик-профілю у сфері ПВК/ФТ та ризик-апетиту у сфері ПВК/ФТ не пізніше І кварталу поточного року (зокрема у випадках, коли ризик-профіль та ризик-апетит переглядаються один раз на рік). Відстрочення цього процесу може призвести до врахування банком неактуальних даних, що може негативно вплинути на управління ризиками ВК/ФТ.
4. Опис порядку здійснення розрахунку оцінки ризик-профілю банків у сфері ПВК/ФТ не завжди зрозумілий та обґрунтований, не всі банки оцінюють ризики ВК/ФТ всіх своїх продуктів / послуг та не враховують отриманих результатів під час оцінки ризик-профілю у сфері ПВК/ФТ (варто ще раз звернути увагу на лист із рекомендаціями від 06.07.2023 № 25-0007/48533).
Крім того, за результатами аналізу встановлено, що методики оцінки (розрахунку) ризик-профілю банків мають такі недоліки, наприклад:
деякі показники для оцінки ризиків ґрунтуються лише на оцінці динаміки кількості /обсягів /питомої ваги відповідних значень, натомість не враховується фактичне значення станом на звітну дату кількості / обсягів / питомої ваги відповідних показників, що є неврахуванням обсягу / масштабу діяльності банку (наприклад, оцінюється динаміка кількості клієнтів високого рівня ризиків / динаміка обсягів здійснених ними фінансових операцій, натомість не береться до уваги кількість клієнтів високого рівня ризику та обсяг їх фінансових операцій станом на звітну дату, їх питома вага в загальній кількості / обсягах);
ризики, пов'язані з клієнтами, ризики трансакцій оцінюються тільки відповідно до кількості клієнтів, кількості трансакцій, не враховуються обсяги здійснених такими клієнтами операцій за звітний період;
загальна оцінка ризик-профілю банку розраховується як середньоарифметичне значення всіх показників, що у разі наявності в банку значної кількості таких показників, призводить до того, що показники, щодо яких банк визначив наявність високого або підвищеного рівня ризику, не мають суттєвого впливу на загальну оцінку ризику банку (загальна оцінка ризику має низький рівень). Наголошуємо, що за наявності високих / підвищених ризиків за окремими критеріями оцінки ризик-профілю банку (у тому числі ті, які враховують оцінки ризиків продуктів / послуг, що надаються банком) загальний ризик банку вже не може відповідати значенню "низький".
5. Обґрунтування лімітів ризик-апетиту у сфері ПВК/ФТ часто не змістовне і формальне та не відображає причин використання банком саме таких лімітів / обмежень у діяльності та немає опису / пояснення, яким чином вони допомагають банку зменшити ризики ВК/ФТ до прийнятного рівня.
Також під час оцінки ризик-профілю банку, подальшого встановлення ризик-апетиту банки часто не враховують фактору забезпеченості ресурсами (кількість задіяного у процесах фінансового моніторингу персоналу, зокрема достатню укомплектованість підрозділу з питань ПВК/ФТ кваліфікованим персоналом, ефективність виконання покладених обов'язків першою лінією захисту, багатофункціональність і налаштованість СА), що є одним із показників, який відображає здатність банку забезпечити на належному рівні всі передбачені законодавством та ВДБ заходи щодо наявного масиву фінансових операцій, наявної в банку кількості клієнтів та, відповідно, відображає ступінь можливості забезпечення ефективного управління банком ризиками ВК/ФТ. Ризик-апетит банку, по суті, і є тими лімітами / обмеженнями, максимальні пороги якого (наприклад, критично велика кількість клієнтів для банку, у тому числі окремих типів клієнтів, критично великий обсяг і кількість фінансових операцій, включаючи операції окремих типів) означають, що банк вже не в змозі забезпечити своєчасний належний аналіз такої великої кількості клієнтів / масиву їх фінансових операцій, здійснювати належний контроль та відповідно якісно управляти ризиками ВК/ФТ.
Наголошуємо, що банки не повинні використовувати за основу для здійснення розрахунку ризик-апетиту розмір можливих фінансових втрат банку (штрафів за порушення законодавства), а використовувати за базу результати оцінки ризик-профілю банку для подальшого визначення ризик-апетиту.
6. Керівництво банків (рада, правління) не завжди належним чином поінформовані про можливі наслідки порушень законодавства у сфері ПВК/ФТ. Наприклад, така інформація може надаватись у вигляді презентації та містити відомості про:
передбачені суми штрафів за порушення вимог законодавства у сфері ПВК/ФТ;
статистику застосованих Національним банком заходів впливу до банків у вигляді штрафів за останній період.
7. Звіти відповідальних працівників банків для голови правління, наглядової ради банків не завжди містять конкретику, проблемні питання, деталі здійснених заходів, деталі щодо клієнтів чи їх операцій. Рекомендуємо уникати узагальнення інформації для забезпечення належного інформування керівників банку для прийняття ними управлінських рішень, зважених на проблемні питання в частині ПВК/ФТ, та здійснення контролю згідно з повноваженнями.
Наприклад, щомісячні звіти для голови правління з урахуванням вимог, передбачених частиною п'ятою статті 9 Закону, можуть доповнюватись інформацією в окремих додатках у вигляді таблиць, витягів з бази даних, витягів з реєстрів, та, зокрема, містити:
статистику виявлених фінансових операцій, що підлягають фінансовому моніторингу, із зазначенням детальнішої інформації (найменування клієнтів та операцій, суть підозри) про виявлену банком підозрілу діяльність / підозрілі фінансові операції. Додатками можуть бути витяги з відповідних реєстрів;
перелік клієнтів, яким було відмовлено в підтриманні ділових відносин із зазначенням підстав;
інформацію про випадки відмови від проведення фінансових операцій (із додатком з переліком таких операцій і причин відмови).
За наявності значної кількості клієнтів / операцій з підозрами / повідомлень - відповідна інформація може надаватись у згрупованому вигляді із зазначенням основних клієнтів за обсягами підозрілих фінансових операцій та/або ступеня ризиковості;
інформацію про випадки замороження / розмороження активів, пов'язаних з тероризмом та його фінансуванням, розповсюдженням зброї масового знищення та його фінансуванням;
результати здійснених банком заходів для забезпечення внутрішнього контролю за належним виконанням банком функцій СПФМ (наприклад, результати певних вибіркових перевірок із зазначенням виявлених недоліків);
статистику отриманих від Державної служби фінансового моніторингу файлів інформаційного обміну та в додатку може бути таблиця з деталями отриманих файлів, яких клієнтів банку вони стосуються та статусу надання банком відповідей, виконання отриманих рішень;
статистику листування з Національним банком, правоохоронними, державними органами, іншими банками (організаціями) із зазначенням результату опрацювання таких листів;
статистику щодо клієнтів: про кількість нових клієнтів, про переоцінку рівнів ризиків клієнтів, перелік клієнтів високого / неприйнятно високого рівня ризику (або зміни порівняно з попереднім періодом);
статистику встановлення ділових відносин з клієнтами, які (кінцеві бенефіціарні власники яких) є політично значущими особами, членами їх сімей та особами, пов'язаними з політично значущими особами (із додатком, у якому зазначається перелік таких клієнтів та необхідні додаткові відомості);
інформацію про випадки виявлених банком розбіжностей між відомостями про кінцевих бенефіціарних власників клієнтів;
інформацію про проведені у звітному місяці заходи з навчання персоналу банку з питань фінансового моніторингу та їх результати (успішність тестувань, кількість працівників, що пройшли навчання, із зазначенням підрозділів, в яких вони працюють);
інформацію про внесення змін до наявних чи створення нових внутрішніх документів з питань фінансового моніторингу, чинний статус таких документів та підстави для їх оновлення / створення;
перелік вчинених заходів у звітному місяці з метою виконання рекомендацій внутрішнього аудиту, Національного банку (за наявності);
інші питання, які можуть сприяти виконанню головою правління своїх обов'язків щодо забезпечення та контролю належної організації внутрішньобанківської системи ПВК/ФТ та проведення первинного фінансового моніторингу (у межах компетенції).
8. Актуальним питанням залишається недостатня якість внутрішніх перевірок у сфері ПВК/ФТ, проведених підрозділом внутрішнього аудиту банку.
Для підвищення якості внутрішнього контролю за дотриманням банками обов'язків у сфері ПВК/ФТ рекомендуємо банкам під час здійснення внутрішніх аудиторських перевірок приділяти належну увагу питанням дотримання банками вимог законодавства у сфері ПВК/ФТ, у тому числі функціонування систем автоматизації(4) (СА) банків, із детальним відображенням у звітах висновків за результатами проведеного внутрішнього аудиту та наданням дієвих рекомендацій, які б дозволили вирішити виявлені проблемні питання, недоліки в діяльності банків.
Рекомендуємо додатково забезпечити своєчасне інформування / ознайомлення всіх працівників підрозділу внутрішнього аудиту банку зі змінами в законодавстві у сфері ПВК/ФТ, а також проходження ними всіх навчальних заходів і тестувань, які стосуються питань ПВК/ФТ, як внутрішніх, так і зовнішніх.
Звертаємо увагу, що недостатність ефективного внутрішнього контролю з питань фінансового моніторингу, несвоєчасне виявлення внутрішнім аудитом проблем та недоліків у внутрішньобанківській системі ПВК/ФТ та ознак неналежної системи управління ризиками ВК/ФТ є однією з ознак неналежної системи управління ризиками.
З огляду на зазначене, з метою забезпечення належної організації та проведення первинного фінансового моніторингу, функціонування належної системи управління ризиками, застосування в діяльності банків ризик-орієнтованого підходу та вжиття дієвих заходів для мінімізації ризиків ВК/ФТ і належного виконання вимог законодавства у сфері ПВК/ФТ рекомендуємо банкам якнайшвидше переглянути та внести зміни до ВДБ з питань ПВК/ФТ, здійснити переоцінку ризик-профілю, ризик-апетиту та вдосконалити інші процеси з урахуванням вищезазначених рекомендацій.
Також доцільно повторно здійснити ретельний аналіз проблем та недоліків, зазначених у листі від 06.07.2023 № 25-0007/48533, інформація про які для багатьох банків залишається актуальною, та в разі потреби забезпечити їх усунення в напкоротшпп термін.
Банки мають довести зміст цього листа до відома наглядових рад протягом одного місяця з дня отримання.
Інформуємо, що надалі Департамент фінансового моніторингу буде проводити оцінювання у сфері ПВК/ФТ станом на 01.01.2025 у межах оцінки SREP, під час якої буде враховано оперативність та якість виконання банками отриманих рекомендацій.
СЛАВА УКРАЇНІ!
______________________
1. У відповідь на лист від 27.11.2023 № 25-0007/87559. Крім того, враховано інформацію / документи, що надавалися на додаткові окремі запити Національного банку.
2. СА (система автоматизації банку) - комплексна інтегрована система автоматизації процесів фінансового моніторингу, яка може складатися з кількох окремих систем або підсистем, які забезпечують функціонування належної системи управління ризиками ВК/ФТ банку.
3. Реєстр фінансових операцій, реєстр повідомлень про підозрілу фінансову діяльність, реєстр розбіжностей про кінцевих бенефіціарних власників, реєстр відмов та реєстр заморожень / розморожень активів.
4. СА (система автоматизації банку) - комплексна інтегрована система автоматизації процесів фінансового моніторингу, яка може складатися з кількох окремих систем або підсистем, які забезпечують функціонування належної системи управління ризиками ВК/ФТ банку.
Заступник Голови | Дмитро ОЛІЙНИК |
(Текст взято з сайту НБУ http://www.bank.gov.ua/)