5. Функції підрозділів, зазначених у пункті 3 цієї глави, не можуть об'єднуватися.
6. Структурні підрозділи системи внутрішнього контролю, підпорядковуються органу, відповідальному за здійснення нагляду, та звітують перед ним.
7. Професійні учасники повинні здійснювати функції з управління ризиками, комплаєнсу та внутрішнього аудиту самостійно та забезпечувати відповідність належного виконання зазначених функцій.
Професійні учасники можуть передавати окремі завдання або процеси в рамках функцій системи внутрішнього контролю на аутсорсинг тільки у випадках, в порядку та на умовах, визначених нормативно-правовим актом Національної комісії з цінних паперів та фондового ринку.
8. Відомості щодо системи внутрішнього контролю подаються до Національної комісії з цінних паперів та фондового ринку у порядку та строки, визначені нормативно-правовими актами Національної комісії з цінних паперів та фондового ринку з питань ліцензування та провадження ліцензійної діяльності.
2. Організація функціонування підрозділу комплаєнсу
1. Професійний учасник повинен розробити, запровадити, підтримувати адекватні внутрішні документи та процедури, спрямовані на виявлення будь-яких комплаєнс-ризиків в рамках провадження ним професійної діяльності, а також вживати ефективні та адекватні заходи, спрямовані на мінімізацію зазначених ризиків та сприяння здійсненню Національною комісією з цінних паперів та фондового ринку ефективного нагляду за таким учасником. При цьому професійні учасники повинні брати до уваги економічну сутність, обсяг та складність операцій, які ними здійснюються, та перелік послуг, які надаються в рамках такої діяльності.
2. З метою забезпечення виконання вимог, передбачених пунктом 1 цієї глави, професійні учасники повинні створити та підтримувати постійно діючий та ефективний комплаєнс-підрозділ, який діє незалежно від функціональних підрозділів професійного учасника на підставі положення про комплаєнс-підрозділ, затвердженого органом, відповідальним за здійснення нагляду, та виконує наступні функції:
1) в межах повноважень, визначених цим Стандартом та внутрішніми політиками (положеннями) професійного учасника, приймає участь у забезпеченні розробки, запровадження, актуалізації та контролю внутрішніх документів та процедур, що регламентують усі внутрішні процеси, пов'язані з провадженням професійної діяльності та спрямовані на дотримання таким професійним учасником вимог:
законодавства про ринки капіталу та організовані товарні ринки;
стандартів, правил, інших внутрішніх документів саморегулівної організації, членом якої є такий професійний учасник;
правил організованого ринку, учасником якого є такий професійний учасник або на якому його цінні папери допущені до торгів;
бізнес-плану (бізнес-стратегії), ухваленого органом, відповідальним за здійснення нагляду, професійного учасника;
2) здійснює на постійній основі моніторинг та оцінку адекватності та ефективності внутрішніх документів та процедур, запроваджених відповідно до підпункту 1 цього пункту, та заходів, вжитих для усунення недоліків у цих внутрішніх документах та процедурах;
3) надає поради та допомагає органам управління, працівникам професійного учасника дотримуватися вимог, передбачених підпунктом 1 цього пункту;
4) розробляє обов'язкові до розгляду органами управління професійного учасника рекомендації щодо внутрішніх документів та процедур, передбачених підпунктом 1 цього пункту;
5) регулярно, але не рідше ніж одного разу на рік (якщо законодавством та/або внутрішніми документами не встановлений менший інтервал між періодичними звітами), готує та подає органу, відповідальному за здійснення нагляду, звіт про комплаєнс, який містить відомості про виконання обов'язків підрозділу та стан справ з питань комплаєнсу, зокрема, щодо виконання наданих рекомендацій відносно внутрішніх документів та процедур, передбачених підпунктом 1 цього пункту, щодо послуг, видів діяльності, процесів, що піддають професійного учасника значному комплаєнс-ризику та впливають на професійного учасника у разі реалізації цього ризику, а також пропозицій щодо уникнення чи пом'якшення вказаного ризику, щодо випадків порушень вимог законодавства та внутрішніх документів професійного учасника та застосованих до професійного учасника санкцій або інших негативних наслідків у результаті припущених порушень, щодо випадків та причин порушень працівниками професійного учасника наявних внутрішніх кодексів та правил поведінки із запропонуванням заходів щодо запобігання таким подіям надалі, щодо випадків формування недостовірної звітності для регуляторних і контролюючих органів або для її оприлюднення, а також застосованих через це до професійного учасника санкцій, щодо значних змін у законодавстві та їх потенційних наслідків для професійного учасника, щодо випадків конфлікту інтересів, щодо проведених навчань працівників з питань, що належать до функцій підрозділу комплаєнсу, щодо рекомендацій підрозділу стосовно усунення виявлених недоліків та загроз, інші відомості, визначені законодавством або внутрішніми документами професійного учасника;
6) здійснює моніторинг процесу розгляду скарг, які стосуються функціонування такого професійного учасника. Висновки за результатами проведеного моніторингу включаються до звіту про комплаєнс;
7) на основі інформації, отриманої з відкритих джерел, а також інформації, що перебуває у володінні професійного учасника або була повідомлена керівнику комплаєнс-підрозділу працівником або посадовою особою професійного учасника, систематично здійснює перевірку наявності у працівників професійного учасника конфлікту інтересів, за результатами якої повідомляє про випадки наявності такого конфлікту інтересів органи управління професійного учасника та надає рекомендації щодо його врегулювання;
8) розробляє та передає для розгляду визначеному органом, відповідальним за здійснення нагляду, комітету (у разі його створення) та/або для затвердження органу, відповідальному за здійснення нагляду, проєкт політики (положення) про організацію контролю (про комплаєнс) та забезпечує підтримання цієї політики (положення) в актуальному стані. Політика (положення) про організацію контролю (про комплаєнс) розробляється з урахуванням бізнес-плану (бізнес-стратегії) професійного учасника та, зокрема, містить:
організаційну структуру професійного учасника, порядок формування інформаційної бази про чинні внутрішні документи професійного учасника; порядок (програму) здійснення моніторингу змісту зазначених внутрішніх документів на відповідність одне одному, вимогам законодавства та бізнес-плану (бізнес-стратегії) професійного учасника;
порядок звітування у ході виконання працівниками професійного учасника своїх обов'язків, яким, зокрема, визначається перелік та обсяги звітності, яка готується підрозділами або окремими працівниками професійного учасника та доступ до якої необхідний підрозділу комплаєнсу для належного здійснення покладених на цей підрозділ функцій, а також способи отримання доступу підрозділом комплаєнсу до такої звітності;
порядок здійснення комплаєнс-підрозділом контрольних процедур з питань, що віднесені до компетенції цього підрозділу, у тому числі порядок та способи (методи) проведення внутрішніх перевірок;
визначення кола документів, що регламентують внутрішні процеси, пов'язані з провадженням професійної діяльності на ринках капіталу та організованих товарних ринках, які потребують погодження керівником підрозділу комплаєнсу;
інші вимоги, визначені законодавством або внутрішніми документами професійного учасника;
9) забезпечує ознайомлення працівників професійного учасника з внутрішніми документами та процедурами, а також стандартами корпоративного управління, яких вони зобов'язані дотримуватися, та організовує проведення заходів в галузі освіти та підготовки кадрів для забезпечення адекватного розуміння працівниками професійного учасника вимог внутрішніх документів та процедур, затверджених професійним учасником;
10) використовуючи контрольні процедури, передбачені політикою (положенням) про організацію контролю (про комплаєнс), постійно проводить аналіз:
виконання працівниками внутрішніх документів та процедур, затверджених професійним учасником, та випадків перевищення повноважень посадовими особами професійного учасника;
дотримання професійним учасником та його працівниками законів, нормативно-правових актів, рішень органів управління професійного учасника;
11) виявляє недоліки контролю, що здійснюється керівниками структурних підрозділів професійного учасника, за виконанням працівниками, які перебувають у їх підпорядкуванні, вимог внутрішніх документів та процедур, затверджених професійним учасником, визначає заходи, необхідні для усунення цих недоліків, повідомляє про такі недоліки осіб, які здійснюють виконавчі функції, контролює вжиття заходів, необхідних для усунення виявлених недоліків;
12) комплаєнс-підрозділ надає консультації з питань розробки та затвердження політики (положення) з питань винагороди.
Для цілей цього Стандарту керівник комплаєнс-підрозділу належить до керівного складу професійного учасника.
3. З метою дотримання вимог пункту 2 цієї глави комплаєнс-підрозділ повинен провести оцінку ризиків, передбачених пунктом 1 цієї глави, за результатами якої запровадити програму моніторингу відповідності внутрішніх документів та процедур зобов'язанням професійного учасника, взятим в рамках провадження професійної діяльності, та моніторингу виконання працівниками професійного учасника вимог таких внутрішніх документів та процедур.
Програма моніторингу повинна враховувати всі послуги, які надаються професійним учасником, а також відповідну інформацію, зібрану у зв'язку з моніторингом процесу розгляду скарг. Сформована за результатами оцінки комплаєнс-ризиків, програма моніторингу повинна з урахуванням контрольних процедур та методів проведення перевірки, передбачених політикою (положенням) про організацію контролю (про комплаєнс), встановити пріоритети перевірки відповідності внутрішніх документів та процедур для забезпечення належного нагляду за ризиками невиконання професійним учасником своїх зобов'язань, взятих в рамках провадження професійної діяльності, та перевірки виконання працівниками професійного учасника вимог внутрішніх документів та процедур, затверджених професійним учасником.
4. З метою забезпечення належного та незалежного виконання комплаєнс-підрозділом функцій, передбачених пунктами 2 та 3 цієї глави, професійний учасник повинен дотримуватись таких вимог:
1) комплаєнс-підрозділ діє у відповідності до політики (положення) про організацію контролю (про комплаєнс);
2) працівники комплаєнс-підрозділу мають необхідні повноваження, ресурси, рівень кваліфікації для досягнення цілей і завдань, поставлених перед ними, та доступ до усієї необхідної інформації;
3) керівник комплаєнс-підрозділу призначається та звільняється органом, відповідальним за здійснення нагляду, професійного учасника та є підзвітним безпосередньо органу, відповідальному за здійснення нагляду;
4) працівники комплаєнс-підрозділу призначаються та звільняються в порядку, визначеному положенням про підрозділ, органом, відповідальним за здійснення нагляду, або за поданням керівника комплаєнс-підрозділу відповідною особою, яка здійснює виконавчі функції, та з урахуванням вимог чинного законодавства про працю;
5) у порядку, встановленому нормативно-правовими актами Національної комісії з цінних паперів та фондового ринку з питань ліцензування та провадження професійної діяльності, професійний учасник інформує Національну комісію з цінних паперів та фондового ринку про призначення або звільнення керівника комплаєнс-підрозділу та про зміст звіту про комплаєнс;
6) працівники професійного учасника повідомляють керівника комплаєнс-підрозділу про виникнення та про припинення існування у них або членів їх сім'ї особистих інтересів, які конфліктують або можуть у майбутньому конфліктувати з інтересами професійного учасника та суперечити цілям, закріпленим в бізнес-плані (бізнес-стратегії) такого професійного учасника. Для цілей цього пункту термін "члени сім'ї" вживається у значенні, наведеному в Законі України "Про запобігання корупції";
7) внутрішні документи та процедури, передбачені пунктом 1 цієї глави, розробляються комплаєнс-підрозділом із залученням, у разі необхідності, інших підрозділів професійного учасника та затверджуються органом, відповідальним за здійснення нагляду. Внутрішні документи та процедури підлягають щорічному перегляду органом, відповідальним за здійснення нагляду, з урахуванням висновків звіту про комплаєнс та висновків звіту щодо питань внутрішнього аудиту;
8) керівник комплаєнс-підрозділу в кожному конкретному випадку виявлення істотного ризику невиконання професійним учасником своїх зобов'язань, взятих в межах провадження професійної діяльності, подає інформацію безпосередньо органам управління професійного учасника. З цією метою керівник комплаєнс-підрозділу має бути наділеним у статуті правом вимоги щодо скликання засідання органу, відповідального за здійснення нагляду, та правом приймати участь у засіданнях цього органу.
Для цілей цього підпункту до істотних ризиків невиконання професійним учасником своїх зобов'язань щонайменше відносяться:
ризик завдання шкоди інвестору (клієнту) професійного учасника;
ризик застосування Національною комісією з цінних паперів та фондового ринку до професійного учасника фінансових санкцій та нефінансових санкцій у формі зупинення дії або анулювання ліцензії на окремі види професійної діяльності на ринках капіталу та організованих товарних ринках.
Керівник комплаєнс-підрозділу має право бути присутнім на засіданнях виконавчого органу, комітетів та інших колегіальних органів, утворених виконавчим органом, та може накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення вимог законодавства, відповідних стандартів саморегулівних організацій, дія яких поширюється на професійного учасника, конфлікту інтересів, а також в інших випадках, установлених органом, відповідальним за здійснення нагляду, та невідкладно інформує орган, відповідальний за здійснення нагляду, та/або комітет з питань комплаєнсу (відповідальну особу, на яку покладено обов'язок із забезпечення реалізації функції комплаєнсу) про такі рішення;
9) працівники комплаєнс-підрозділу, які виконують в тому ж професійному учаснику іншу роботу, не можуть проводити моніторинг та оцінку адекватності та ефективності, передбачених підпунктом 1 пункту 2 цієї глави, внутрішніх документів, процедур та заходів у відношенні роботи, яку вони виконують поряд із здійсненням функцій комплаєнсу у тому самому професійному учаснику;
10) винагорода працівників комплаєнс-підрозділу не повинна бути пов'язана з результатами діяльності професійного учасника та формується в порядку, що регулюється розділом V цього Стандарту, таким чином, щоб забезпечити їх незалежність та неупередженість рішень;
11) комплаєнс-підрозділ організаційно не залежить від інших функціональних підрозділів професійного учасника;
12) орган, відповідальний за здійснення нагляду, затверджує політику (положення) про організацію контролю (про комплаєнс);
13) працівники комплаєнс-підрозділу повинні володіти спеціальними знаннями відповідно до виду професійної діяльності професійного учасника, а також мати професійний досвід, необхідний для здійснення своїх повноважень.
5. Професійні учасники можуть не виконувати вимоги, передбачені підпунктами 9 та/або 10 пункту 4 цієї глави, якщо до виникнення ситуації, у якій та сама особа виконує у професійному учаснику роботу керівника чи працівника комплаєнс-підрозділу та іншу роботу, та/або до початку виплати винагороди працівникам комплаєнс-підрозділу, пов'язаної з результатами роботи професійного учасника, органом, відповідальним за здійснення нагляду, буде прийняте обґрунтоване рішення, що з огляду на економічну сутність, обсяг та складність операцій, які здійснюються таким професійним учасником, та на перелік послуг, які надаються в рамках такої діяльності, такі вимоги є непропорційними, а функція комплаєнсу може виконуватися ефективно без їх додержання.
На вимогу (запит) Національній комісії з цінних паперів та фондового ринку такий професійний учасник повинен надати копію рішення органу, відповідального за здійснення нагляду, з письмовим обґрунтуванням зазначеного у абзаці першому цього пункту рішення або відповідний витяг з такого рішення.
У разі, якщо за оцінкою органу, відповідального за здійснення нагляду, професійного учасника зазначене у абзацу першому цього пункту рішення перестає відповідати економічній сутності, обсягу та складності операцій, які здійснюються таким професійним учасником, переліку послуг, які надаються в рамках такої діяльності та/або з інших причин створює ризики для ефективного функціонування підсистеми комплаєнсу, професійний учасник зобов'язаний якнайшвидше (в мінімально можливий розумний строк) забезпечити виконання вимог, передбачених підпунктами 9 та/або 10 пункту 4 цієї глави.
Національна комісія з цінних паперів та фондового ринку у разі наявності достатніх підстав, підтверджених відповідними документами, вважати, що підсистема комплаєнсу професійного учасника функціонує неефективно, має право видати розпорядження про усунення порушень законодавства, а саме зобов'язати професійного учасника усунути вказане порушення шляхом приведення функціонування підрозділу з комплаєнсу у відповідність з вимогами, передбаченими підпунктами 9 та/або 10 пункту 4 цієї глави.
3. Організація функціонування підрозділу з управління ризику
1. Професійні учасники повинні визначити схильність до ризиків та прийнятний рівень ризику, розробити, запровадити, підтримувати адекватні внутрішні документи та процедури, спрямовані на управління ризиками, які стосуються діяльності, процесів і систем професійного учасника, а також вживати ефективні заходи, спрямовані на мінімізацію зазначених ризиків з врахуванням схильності до ризиків та прийнятного рівня ризику. При цьому професійні учасники повинні брати до уваги економічну сутність, обсяг та складність операцій, які ними здійснюються, та перелік послуг, які надаються в межах такої діяльності.
2. З метою забезпечення виконання вимог, передбачених пунктом 1 цієї глави, професійні учасники повинні створити та підтримувати постійно діючий та ефективний підрозділ з управління ризиками, який діє незалежно від функціональних підрозділів професійного учасника на підставі положення про підрозділ з управління ризиками, затвердженого органом, відповідальним за здійснення нагляду, та виконує наступні функції:
1) забезпечує розробку та вносить на розгляд комітету з управління ризиками проєкти внутрішніх документів (або змін до них), які регулюють функціонування підсистеми управління ризиками професійного учасника з урахуванням, у тому числі, особливостей здійснюваних ним видів професійної діяльності на ринках капіталу, характеру та обсягів операцій, що здійснюються ним під час провадження такої діяльності, а також ризиків, властивих такій діяльності. До таких внутрішніх документів, зокрема, належать стратегія управління ризиками, політика (положення) про управління ризиками, декларація схильності до ризиків, інші документи, які згідно з законодавством та/або внутрішніми документами професійного учасника стосуються діяльності підсистеми управління ризиками та підлягають затвердженню органом, відповідальним за здійснення нагляду. При здійсненні розробки зазначених внутрішніх документів та змін до них підрозділом з управління ризиками забезпечується проведення обміну інформацією та консультації з особами, які здійснюють виконавчі функції, розглядаються пропозиції, що надавалися з цього приводу виконавчим органом професійного учасника.
Внутрішні документи, які регулюють функціонування підсистеми управління ризиками професійного учасника, встановлюють:
у стратегії управління ризиками - зокрема, основні цілі управління ризиками, перелік суттєвих (істотних) ризиків із зазначенням видів операцій, які генерують ці ризики, принципи та підходи щодо визначення прийнятного співвідношення дохідності та ризиків, загальні принципи управління ризиками. В залежності від виду професійної діяльності на ринках капіталу для професійного учасника щонайменше суттєвими (істотними) можуть вважатись кредитні, операційні, ринкові ризики та ризики ліквідності, інші ризики, визначені законодавством або внутрішніми документами професійного учасника;
( абзац третій підпункту 1 пункту 2 глави 3 розділу III із змінами, внесеними згідно з рішенням Національної комісії з цінних паперів та фондового ринку від 28.03.2023 р. № 365 )
у політиці (положенні) про управління ризиками - зокрема, в розрізі кожного із суттєвих ризиків мету, завдання та принципи управління ризиком, організаційну структуру процесу управління ризиком з урахуванням розподілу функцій учасників процесу, їх повноваження, відповідальність та порядок взаємодії; перелік лімітів для контролю за ризиком та порядок їх установлення за ризиками, що піддаються кількісному вимірюванню; підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ризику; процедури визначення, затвердження та перегляду припущень, що використовуються для вимірювання ризику, підходи щодо проведення стрес-тестування ризику; перелік та зміст форм управлінської звітності щодо ризику, порядок та періодичність/терміни їх надання визначеним у цьому документі учасникам процесу управління ризиками, інші положення згідно з законодавством та рішенням професійного учасника. Політика (положення) про управління ризиками професійного учасника є сукупністю політик (положень) про управління різними групами та видами ризиків, які можуть бути оформлені як один документ або як окремі документи;
у декларації схильності до ризиків - зокрема, сукупний рівень схильності до ризику (ризик-апетиту) та види ризиків, які професійний учасник має намір приймати та утримувати для досягнення цілей бізнес-плану (бізнес-стратегії), максимальний рівень допустимого для професійного учасника ризику, виходячи із розміру наявних ресурсів (капіталу та потреб у ліквідності) та з урахуванням вимог обов'язкових для дотримання нормативів, кількісні та якісні показники схильності до ризику (ризик-апетиту), рівень схильності до ризиків (ризик-апетиту) щодо кожного з видів ризику (індивідуальний рівень), який має стати основою для встановлення лімітів, а також мінімальний перелік кількісних та якісних показників схильності до ризиків (ризик-апетиту) щодо кожного з видів ризику, підходи та перелік припущень, що були використані під час визначення показників схильності до ризиків (ризик-апетиту), види ризиків, яких професійний учасник має уникати, внутрішні та зовнішні чинники та обмеження, що впливають на прийняття професійним учасником ризиків, інші відомості, визначені законодавством або внутрішніми документами професійного учасника.
Стратегія управління ризиками та декларація схильності до ризиків можуть бути складовими частинами політики (положення) управління ризиками, якщо така політики (положення) управління ризиками оформлена як один документ.
Професійні учасники зобов'язані якнайшвидше (в мінімально можливий розумний строк після затвердження) розмістити на своєму вебсайті стратегію управління ризиками або витяг з політики (положення) про управління ризиками в частині стратегії з управління ризиками та своєчасно оновлювати її у разі внесення змін до неї;
2) на виконання політики (положення) про управління ризиками спільно з комплаєнс-підрозділом забезпечує розробку, запровадження та підтримку адекватних внутрішніх документів та процедур управління ризиками, спрямованих на ідентифікацію, аналіз, оцінювання, обробку, моніторинг та перегляд ризиків, які стосуються діяльності, процесів та систем професійного учасника, та вживає ефективних заходів з мінімізації таких ризиків з врахуванням схильності до ризиків та прийнятного рівня ризику;
3) розробляє рекомендації для працівників професійного учасника (в тому числі осіб, які здійснюють виконавчі функції) щодо внутрішніх документів, процедур та заходів, передбачених підпунктом 2 цього пункту, надає поради та методичну допомогу щодо дотримання вимог політики (положення) про управління ризиками;
4) здійснює на постійній основі моніторинг рівня практичного впровадження професійним учасником внутрішніх документів, процедур та заходів, передбачених підпунктом 2 цього пункту;
5) здійснює на постійній основі моніторинг дотримання у поточній діяльності працівниками професійного учасника внутрішніх документів, процедур та заходів, передбачених підпунктом 2 цього пункту;
6) здійснює на постійній основі моніторинг адекватності та ефективності внутрішніх документів та процедур управління ризиками професійного учасника та заходів, здійсненних для усунення недоліків у цих внутрішніх документах та процедурах, а також моніторинг адекватності та ефективності заходів, передбачених підпунктом 2 цього пункту, у тому числі здійснює моніторинг здатності окремих працівників професійного учасника дотримуватися таких заходів або внутрішніх документів та виконувати такі процедури;
7) регулярно, але не рідше ніж одного разу на шість місяців, подає органу, відповідальному за здійснення нагляду, звіт про управління ризиками, у якому містяться відомості про виконання обов'язків підрозділу з управління ризиками, зокрема, щодо виконання наданих рекомендацій щодо внутрішніх документів, процедур та заходів, що спрямовані на управління ризиками професійного учасника, а також інформація про виявлені ризики та рекомендації щодо управління ними, інші відомості, визначені законодавством або внутрішніми документами професійного учасника. При підготовці звіту про управління ризиками підрозділ з управління ризиками може залучати інших працівників професійного учасника, які мають необхідні знання, навички та досвід у сфері управління ризиками;
8) здійснює на постійній основі оцінку та моніторинг ризиків професійного учасника з точки зору негативного впливу на його діяльність (виникнення збитків або додаткових втрат або недоотримання запланованих доходів).
Для цілей цього Стандарту керівник підрозділу з управління ризиками належить до керівного складу професійного учасника.
3. Професійні учасники повинні забезпечити, щоб підрозділом з управління ризиками були визначені, виміряні та оцінені всі істотні ризики та належним чином про них повідомлено органи управління професійного учасника. Професійні учасники повинні забезпечити, щоб керівника підрозділу з управління ризиками було залучено з правом дорадчого голосу до прийняття всіх істотних рішень з управління ризиками і щоб він міг отримати повне уявлення про весь спектр ризиків у діяльності професійного учасника. Для цілей цієї глави істотними є рішення з управління ризиками, визнані такими статутом або політикою (положенням) про управління ризиками професійного учасника.
4. З метою забезпечення належного та незалежного виконання підрозділом з управління ризиками функцій, передбачених пунктами 2 та 3 цієї глави, професійний учасник повинен дотримуватись таких вимог:
1) підрозділ з управління ризиками діє у відповідності до політики (положення) про управління ризиками, затвердженої в порядку, визначеному підпунктом 1 пункту 2 цієї глави;
2) працівники підрозділу з управління ризиками мають необхідні повноваження, ресурси, досвід та доступ до усієї необхідної інформації;
3) керівник підрозділу з управління ризиками призначається та звільняється органом, відповідальним за здійснення нагляду, професійного учасника та є підзвітним безпосередньо органу, відповідальному за здійснення нагляду;
4) працівники підрозділу з управління ризиками призначаються та звільняються в порядку, визначеному положенням про підрозділ, органом, відповідальним за здійснення нагляду, або відповідною особою, яка здійснює виконавчі функції, за поданням керівника підрозділу з управління ризиками та з урахуванням вимог чинного законодавства про працю;
5) у порядку, встановленому нормативно-правовими актами Національної комісії з цінних паперів та фондового ринку з питань ліцензування та провадження професійної діяльності, професійний учасник інформує Національну комісію з цінних паперів та фондового ринку про призначення або звільнення керівника підрозділу з управління ризиками та про зміст звіту про управління ризиками;
6) керівник підрозділу з управління ризиками в кожному конкретному випадку виявлення істотного ризику, що стосується діяльності, процесів та систем професійного учасника, подає інформацію безпосередньо органам управління професійного учасника. З цією метою керівник підрозділу з управління ризиками має бути наділеним у статуті правом вимоги щодо скликання засідання органу, відповідального за здійснення нагляду, та правом приймати участь у засіданнях цього органу. Керівник підрозділу з управління ризиками має право бути присутнім на засіданнях виконавчого органу, комітетів та інших колегіальних органів, утворених виконавчим органом, та може накладати заборону (вето) на рішення цих органів, якщо реалізація таких рішень призведе до порушення встановленої схильності до ризику (ризик-апетиту) та/або затверджених лімітів ризику, а також в інших випадках, установлених органом, відповідальним за здійснення нагляду, та невідкладно інформує орган, відповідальний за здійснення нагляду або комітет з управління ризиками про такі рішення;
7) працівники підрозділу з управління ризиками, які виконують в тому самому професійному учаснику іншу роботу, не можуть визначати, вимірювати та оцінювати ризики у відношенні роботи, яку вони виконують поряд із здійсненням функцій управління ризиками у тому самому професійному учаснику;
8) винагорода працівників підрозділу з управління ризиками не повинна бути пов'язана з результатами діяльності професійного учасника та формується в порядку, що регулюється розділом V цього Стандарту, таким чином, щоб забезпечити їх (його) незалежність та неупередженість рішень;
9) підрозділ з управління ризиками організаційно не залежить від інших функціональних підрозділів професійного учасника;
10) працівники підрозділу з управління ризиками повинні володіти спеціальними знаннями в залежності від виду професійної діяльності професійного учасника, а також мати професійний досвід, необхідний для здійснення своїх повноважень.
5. Професійні учасники можуть не виконувати вимоги, передбачені підпунктами 7 та/або 8 пункту 4 цієї глави, якщо до виникнення ситуації, у якій та сама особа виконує у професійному учаснику роботу керівника чи працівника підрозділу з управління ризиками та іншу роботу, та/або до початку виплати винагороди працівникам підрозділу (ризик-менеджеру), пов'язаної з результатами роботи професійного учасника, органом, відповідальним за здійснення нагляду, буде прийняте обґрунтоване рішення, що з огляду на економічну сутність, обсяг та складність операцій, які здійснюються таким професійним учасником, та на перелік послуг, які надаються в рамках професійної діяльності, такі вимоги є непропорційними, а функція управління ризиками може виконуватися ефективно без їх додержання.
На вимогу (запит) Національній комісії з цінних паперів та фондового ринку такий професійний учасник повинен надати копію рішення органу, відповідального за здійснення нагляду, з письмовим обґрунтуванням зазначеного у абзаці першому цього пункту рішення або відповідний витяг з такого рішення.
У разі, якщо за оцінкою органу, відповідального за здійснення нагляду, професійного учасника зазначене у абзацу першому цього пункту рішення перестає відповідати економічній сутності, обсягу та складності операцій, які здійснюються таким професійним учасником, переліку послуг, які надаються в рамках такої діяльності та/або з інших причин створює ризики для ефективного функціонування підсистеми управління ризиками, професійний учасник зобов'язаний якнайшвидше (в мінімально можливий розумний строк) забезпечити виконання вимог, передбачених підпунктами 7 та/або 8 пункту 4 цієї глави.
Національна комісія з цінних паперів та фондового ринку у разі наявності достатніх підстав, підтверджених відповідними документами, вважати, що підсистема управління ризиками професійного учасника функціонує неефективно, має право видати розпорядження про усунення порушень законодавства, а саме зобов'язати професійного учасника усунути вказане порушення шляхом приведення функціонування підрозділу з управління ризиками у відповідність з вимогами, передбаченими підпунктами 7 та/або 8 пункту 4 цієї глави.
6. Орган, відповідальний за здійснення нагляду, професійного учасника, за необхідності, але не рідше ніж одного разу на рік, переглядає політику (положення) про управління ризиками з метою перевірки врахування у ньому актуальних ризиків, управління якими повинно здійснюватись в рамках діяльності професійного учасника. У випадку, якщо політика (положення) про управління ризиками не враховує актуальні ризики, орган, відповідальний за здійснення нагляду, надає доручення комітету з управління ризиками стосовно надання відповідних пропозицій щодо внесення змін до зазначеної політики (положення) з подальшою передачею таких пропозицій до підрозділу з управління ризиками для розробки проєкту змін до нього.
У разі встановлення підрозділом з управління ризиками у ході моніторингу адекватності та ефективності внутрішніх документів та процедур управління ризиками необхідності внесення змін до політики (положення) про управління ризиками такий підрозділ повинен забезпечити розробку проєкту змін та винести його на розгляд комітету органу, відповідального за здійснення нагляду, з управління ризиками з власної ініціативи.
7. При здійсненні обов'язків, передбачених цією главою, підрозділ з управління ризиками повинен враховувати, що в ході провадження професійної діяльності можуть виникати, зокрема, наступні ризики:
1) кредитний ризик (ризик контрагента) - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів професійного учасника внаслідок того, що контрагент не зможе виконати свої договірні зобов'язання перед таким професійним учасником;
2) ризик концентрації - ризик виникнення збитків або додаткових втрат або недоотримання запланованих доходів через значне інвестування в одну галузь, одну географічну зону, один вид активу, одного контрагента або групу пов'язаних контрагентів;
3) ринкові ризики - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника внаслідок несприятливої зміни ринкової вартості фінансових інструментів у зв'язку з коливаннями цін на чотирьох сегментах фінансового ринку, чутливих до зміни відсоткових ставок: ринку боргових цінних паперів, ринку пайових цінних паперів, валютному ринку і товарному ринку. Ринкові ризики включають:
процентний ризик портфелю професійного учасника, пов'язаний з негативними наслідками коливання процентних ставок на інструменти, що знаходяться в портфелі професійного учасника;
пайовий (фондовий) ризик, пов'язаний з негативними наслідками коливання цін на пайові цінні папери та деривативні фінансові інструменти, базовим активом яких є такі цінні папери, а також інші фінансові інструменти з нефіксованим прибутком;
валютний ризик, пов'язаний з негативними наслідками коливання курсів іноземних валют та золота;
товарний ризик, пов'язаний з негативними наслідками змін ринкової вартості товарів, уключаючи дорогоцінні метали, та коливань цін на деривативні фінансові інструменти, базовим активом яких є товари;
4) операційні ризики - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника внаслідок неадекватних або незадовільно організованих внутрішніх процесів, дій працівників чи функціонування систем такого професійного учасника, а також внаслідок впливу зовнішніх подій (крім стратегічного ризику). Операційні ризики включають:
ризик персоналу, пов'язаний з діями або бездіяльністю працівників професійного учасника, включаючи допущення помилки при проведенні операції, здійснення неправомірних операцій (в тому числі шахрайство), пов'язане з недостатньою кваліфікацією (ризик некомпетентності) або із зловживаннями чи бездіяльністю персоналу, перевищення повноважень, розголошення інсайдерської та/або конфіденційної інформації, зокрема, внаслідок недостатньої мотивації (ризик мотивації);
інформаційний ризик - ймовірність настання несприятливих наслідків, викликані неадекватними або незадовільно організованими внутрішніми процесами інформаційного обміну та зберігання інформації, недосконалою роботою інформаційних технологій, систем та процесів обробки інформації або їх недостатнім захистом, включаючи збій у роботі програмного та/або технічного забезпечення, обладнання, інформаційних систем, засобів комунікації та зв'язку, порушення цілісності даних та носіїв інформації, несанкціонований доступ до інформації сторонніх осіб, загроза доступності інформації та інше, що може призвести до виникнення збитків або додаткових втрат або недоотримання запланованих доходів професійного учасника;
юридичний ризик - ризик, пов'язаний з ймовірністю виникнення збитків або додаткових втрат або недоотримання запланованих доходів професійного учасника внаслідок застосування до нього неочікуваних санкцій за недотримання вимог законодавства через можливість їх неоднозначного тлумачення або унаслідок визнання з тих самих причин недійсними умов договору;
5) стратегічний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника унаслідок неправильних рішень осіб, які здійснюють управлінські функції та/або неадекватного реагування на зміни в бізнес-середовищі;
6) ризики ліквідності - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника внаслідок того, що активи професійного учасника не можуть бути перетворені у ліквідну форму для забезпечення виконання професійним учасником своїх зобов'язань;
7) ризик надмірного левериджу - ризик, що виникає через через зменшення власних коштів професійного учасника, яке відбувається внаслідок визнання отриманих та/або очікуваних збитків відповідно до міжнародних стандартів фінансової звітності;
8) комплаєнс-ризики, до яких також належать:
AML/CFT ризик - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника внаслідок порушення або недотримання вимог законів, нормативно-правових актів, правочинів, прийнятої практики, внутрішніх документів у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення;
ризик зміни законодавства - ризик виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника, обумовлений змінами законодавства. Ризик зміни законодавства входить до зовнішніх ризиків;
9) ризик втрати ділової репутації (ризик репутації) - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у професійного учасника внаслідок виникнення у суспільстві несприятливого сприйняття професійного учасника, зокрема фінансової стійкості, якості послуг, що надаються професійним учасником, або його діяльності в цілому, який може бути наслідком реалізації інших ризиків;
10) ризик банкрутства - ризик неможливості продовження діяльності професійного учасника, який може виникнути при погіршенні фінансового стану професійного учасника, виникненні збитків від його діяльності внаслідок перевищення витрат над доходами;
11) зовнішні ризики:
системний ризик - ймовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів у значної кількості професійних учасників, яка обумовлена неможливістю виконання ними своїх зобов'язань у зв'язку з невиконанням (несвоєчасним виконанням) зобов'язань одним професійним учасником внаслідок реалізації у нього кредитного ризику, ризику ліквідності або іншого ризику. Системний ризик несе загрозу порушення діяльності всієї фінансової системи;
ризик зміни законодавства (належить до комплаєнс-ризиків);
12) залишковий ризик - ризик, що залишається після вжиття професійним учасником передбачених внутрішніми документами заходів з мінімізації кредитного ризику внаслідок того, що такі заходи виявилися менш ефективними ніж очікувалося.
8. Порядок взаємодії підрозділу з управління ризику з іншими підрозділами системи внутрішнього контролю встановлюється внутрішніми документами професійного учасника, затвердженими органом, відповідальним за здійснення нагляду, з урахуванням вимог цього розділу.
4. Організація функціонування підрозділу з внутрішнього аудиту
1. Професійні учасники повинні розробити, запровадити, підтримувати адекватні внутрішні документи та процедури, спрямовані на здійснення внутрішнього аудиту адекватності та ефективності систем професійного учасника, внутрішніх контрольних механізмів та заходів. При цьому професійні учасники повинні брати до уваги економічну сутність, обсяг та складність операцій, які ними здійснюються, та перелік послуг, які надаються в межах такої діяльності.
2. З метою забезпечення виконання вимог, передбачених пунктом 1 цієї глави, професійні учасники повинні створити та підтримувати постійно діючий та ефективний підрозділ з внутрішнього аудиту, який діє незалежно від інших підрозділів професійного учасника на підставі положення про підрозділ внутрішнього аудиту, затвердженого органом, відповідальним за здійснення нагляду, та виконує наступні функції:
1) встановлює, виконує та підтримує в актуальному стані план внутрішнього аудиту з метою здійснення перевірки та оцінювання адекватності та ефективності систем професійного учасника, в тому числі системи внутрішнього контролю в частині підсистем комплаєнсу та управління ризиками та пов'язаних з цими системами механізмів та заходів.
Підрозділ з внутрішнього аудиту перевіряє внутрішні документи та процедури управління ризиками та комплаєнсу на предмет відповідності затвердженим органом, відповідальним за здійснення нагляду, політиці (положенню) про управління ризиками, політиці (положенню) про організацію контролю (про комплаєнс) та бізнес-плану (бізнес-стратегії);
2) надає органу, відповідальному за здійснення нагляду, рекомендації, що базуються на результаті роботи, проведеної відповідно до підпункту 1 цього пункту, та перевіряє дотримання працівниками професійного учасника цих рекомендацій;
3) перевіряє фінансово-господарську діяльність професійного учасника, правильність ведення та достовірність бухгалтерського обліку, фінансової та іншої звітності, що складається та надається професійним учасником, їх повноту та вчасність надання;
4) здійснює виконання інших передбачених законодавством функцій, пов'язаних з наглядом за діяльністю професійного учасника;
5) готує звіт щодо питань внутрішнього аудиту, який повинен обов'язково включати відомості, зокрема, про:
укомплектованість підрозділу внутрішнього аудиту та охарактеризування його незалежності;
проведені протягом звітного періоду аудиторські перевірки;
стан системи корпоративного управління професійного учасника, у тому числі підсистем комплаєнсу та управління ризиками (за підсумками звітного року);
виявлені проблеми, порушення, недоліки, ризики та рекомендації (пропозиції), надані підрозділом внутрішнього аудиту щодо їх усунення;
стан реалізації органами управління та керівниками структурних підрозділів професійного учасника рекомендацій (пропозицій) за результатами внутрішнього аудиту у звітному періоді;
незалежну зовнішню оцінку якості роботи внутрішнього аудиту згідно з вимогами Міжнародних стандартів професійної практики внутрішнього аудиту (якщо вона проводилася зовнішнім оцінювачем протягом звітного періоду).
Звіти з питань внутрішнього аудиту містять і інші відомості, визначені законодавством або внутрішніми документами професійного учасника та надаються комітету з питань аудиту для подальшого затвердження органом, відповідальним за здійснення нагляду, не рідше ніж один раз на півроку (звіт за перше півріччя є проміжним).
Крім того, підрозділ внутрішнього аудиту, не пізніше останнього дня першого місяця року, наступного за звітним, складає звіт про виконання річного плану проведення аудиторських перевірок (аудиту) та подає його на розгляд комітету з питань аудиту для подальшого затвердження органом, відповідальним за здійснення нагляду, професійного учасника. Якщо у строк, визначений в цьому абзаці, підрозділ внутрішнього аудиту за результатами другого півріччя та звітного року забезпечує складення звіту щодо питань внутрішнього аудиту в обсязі, передбаченому у цьому підпункті, то звіт про виконання річного плану проведення аудиторських перевірок є складовою частиною річного звіту щодо питань внутрішнього аудиту та може окремо не подаватися;
( абзац дев'ятий підпункту 5 пункту 2 глави 4 розділу III із змінами, внесеними згідно з рішенням Національної комісії з цінних паперів та фондового ринку від 28.03.2023 р. № 365 )
6) виконує інші функції, віднесені законодавством до функцій внутрішнього аудиту.
Для цілей цього Стандарту керівник підрозділу з внутрішнього аудиту належить до керівного складу професійного учасника.
3. З метою забезпечення належного та незалежного виконання підрозділом з внутрішнього аудиту функцій, передбачених пунктом 2 цієї глави, професійний учасник повинен дотримуватись таких вимог:
1) підрозділ з внутрішнього аудиту діє у відповідності до політики (положення) про внутрішній аудит, затвердженої органом, відповідальним за здійснення нагляду, яка, зокрема, визначає:
цілі та напрями діяльності підрозділу внутрішнього аудиту;
положення про підрозділ внутрішнього аудиту (статус, підпорядкованість, підзвітність, функції та повноваження, організаційна структура підрозділу, кваліфікаційні вимоги до керівника та працівників підрозділу, їх обов'язки та права, відповідальність, порядок призначення та звільнення);
порядок взаємодії, обміну інформацією між підрозділом внутрішнього аудиту та структурними підрозділами, органами управління професійного учасника;
загальні вимоги до ризик-орієнтовного планування аудиторських перевірок та річного плану проведення аудиторських перевірок;
вимоги до оформлення результатів аудиторських перевірок (аудиту);
умови залучення підрозділу внутрішнього аудиту для надання консультативних послуг або виконання інших спеціальних завдань, а також умови залучення підрозділом внутрішнього аудиту спеціалістів професійного учасника для виконання окремих завдань внутрішнього аудиту;
вимоги до взаємодії підрозділу внутрішнього аудиту із зовнішнім аудитором та органами державної влади;
інші функції, пов'язані з виконанням підрозділом внутрішнього аудиту своїх функцій відповідно до законодавства та внутрішніх документів професійного учасника.
Політика (положення) про організацію аудиту розробляється з урахуванням бізнес-плану (бізнес-стратегії), затвердженого органом, відповідальним за здійснення нагляду;
2) працівники підрозділу з внутрішнього аудиту мають необхідні повноваження, ресурси, знання, досвід роботи та доступ до усієї необхідної інформації;
3) керівник підрозділу з внутрішнього аудиту призначається та звільняється органом, відповідальним за здійснення нагляду, професійного учасника та є підзвітним безпосередньо органу, відповідальному за здійснення нагляду;
4) працівники підрозділу з внутрішнього аудиту призначаються та звільняються в порядку, визначеному у положенні про підрозділ, органом, відповідальним за здійснення нагляду, або відповідною особою, яка здійснює виконавчі функції, за поданням керівника підрозділу з внутрішнього аудиту та з урахуванням вимог чинного законодавства про працю;
5) у порядку, встановленому нормативно-правовими актами Національної комісії з цінних паперів та фондового ринку з питань ліцензування та провадження професійної діяльності, професійний учасник інформує Національну комісію з цінних паперів та фондового ринку про призначення або звільнення керівника підрозділу з внутрішнього аудиту та про зміст звіту щодо питань внутрішнього аудиту;
6) керівник підрозділу з внутрішнього аудиту в кожному конкретному випадку виявлення в ході виконання підрозділом внутрішнього аудиту його функцій фактів, що вказують на зниження ефективності систем, механізмів та заходів професійного учасника подає інформацію безпосередньо органам управління професійного учасника. З цією метою керівник підрозділу з внутрішнього аудиту має бути наділений у статуті правом вимоги щодо скликання засідання органу, відповідального за здійснення нагляду, та правом приймати участь у засіданнях цього органу;
7) працівники підрозділу з внутрішнього аудиту не можуть виконувати іншу роботу в професійному учаснику;
8) винагорода працівників підрозділу з внутрішнього аудиту не повинна бути пов'язана з результатами діяльності професійного учасника та формується в порядку, що регулюється розділом V цього Стандарту, таким чином, щоб забезпечити їх (його) незалежність та неупередженість рішень;
9) підрозділ з внутрішнього аудиту організаційно не залежить від інших підрозділів професійного учасника;
10) внутрішня оцінка роботи підрозділу внутрішнього аудиту здійснюється комітетом з питань аудиту та органом, відповідальним за здійснення нагляду, не рідше ніж один раз на рік шляхом розгляду та затвердження органом, відповідальним за здійснення нагляду, звіту про роботу підрозділу внутрішнього аудиту за звітний рік;
( підпункт 10 пункту 3 глави 4 розділу III із змінами, внесеними згідно з рішенням Національної комісії з цінних паперів та фондового ринку від 28.03.2023 р. № 365 )
11) керівник підрозділу внутрішнього аудиту професійного учасника повинен якнайшвидше (в мінімально можливий розумний строк) письмово повідомляти Національну комісію з цінних паперів та фондового ринку про виявлені під час проведення аудиторської перевірки (аудиту) викривлення показників фінансової звітності професійного учасника, порушення та недоліки в роботі професійного учасника, а також будь-які події в діяльності професійного учасника, які можуть негативно вплинути на платоспроможність, безпеку і надійність професійного учасника, якщо виконавчий орган професійного учасника своєчасно не вжив заходів щодо усунення цих порушень та недоліків, а орган, відповідальний за здійснення нагляду, професійного учасника не розглянув звернення керівника підрозділу внутрішнього аудиту щодо бездіяльності виконавчого органу та за результатами розгляду цього звернення не вжив відповідних заходів.
IV. Особи, що забезпечують функціонування системи внутрішнього контролю професійного учасника
1. Загальні вимоги до осіб, що забезпечують функціонування системи внутрішнього контролю професійного учасника
1. Професійний учасник повинен забезпечувати управління ризиками некомпетентності, зокрема, шляхом виконання вимог цього розділу.
2. Голова та члени органу, відповідального за здійснення нагляду, голова та члени колегіального виконавчого органу, особа, яка здійснює повноваження одноосібного виконавчого органу, посадові особи та працівники підрозділів системи внутрішнього контролю професійного учасника, повинні відповідати кваліфікаційним вимогам щодо ділової репутації та професійної придатності, визначеним цим Стандартом.
3. Ділова репутація осіб, зазначених у пункті 2 цієї глави та інших осіб у випадках, визначених законодавством, є сукупністю документально підтвердженої інформації про фізичну особу, яка дає можливість зробити висновок про відповідність її діяльності вимогам законодавства, діловій практиці, професійній етиці, а також про порядність, професійні, управлінські здібності фізичної особи та повинна відповідати таким вимогам:
( абзац перший пункту 3 глави 1 розділу IV із змінами, внесеними згідно з рішенням Національної комісії з цінних паперів та фондового ринку від 28.03.2023 р. № 365 )
1) особу протягом останніх трьох років не було звільнено з роботи (не було припинено її повноваження) на ринках фінансових послуг та/або організованих товарних ринках на вимогу органу державної влади, в тому числі іноземного (за винятком випадків, коли особа була звільнена, були припинені її повноваження та/або особа не вступила на посаду у зв'язку з прийняттям уповноваженим органом державної влади рішення про відмову в погодженні особи на посаду керівника, головного бухгалтера або посадової особи системи внутрішнього контролю);
( підпункт 1 пункту 3 глави 1 розділу IV у редакції рішення Національної комісії з цінних паперів та фондового ринку від 28.03.2023 р. № 365 )
2) особу не було звільнено з роботи (у тому числі з роботи в іноземних юридичних особах) протягом останніх п'яти років за систематичне або одноразове грубе порушення особою своїх посадових обов'язків та/або правил трудового розпорядку, порушення законодавства про протидію корупції, вчинення розкрадання, зловживання владою / службовим становищем або іншого правопорушення (при роботі в юридичних особах - резидентах - звільнення на підставі пунктів 3, 4, 7, 8 частини першої статті 40, пунктів 1, 1-1, 2, 3 частини першої статті 41, абзацу дев'ятого частини першої статті 43-1 та статті 45 Кодексу законів про працю України);