Відповідно до статей 7, 15, 55-1, 56 Закону України "Про Національний банк України", статей 15, 19, 26, 66, 81 Закону України "Про платіжні послуги",статті 21 Закону України "Про фінансові послуги та фінансові компанії", з метою встановлення вимог до системи управління надавачів фінансових платіжних послуг Правління Національного банку України постановляє:

1. Затвердити Положення про вимоги до системи управління надавача фінансових платіжних послуг (далі - Положення), що додається.

2. Платіжні установи (крім малих платіжних установ), установи електронних грошей, оператори поштового зв’язку, які мають право надавати фінансові платіжні послуги, філії іноземних платіжних установ та філії іноземних установ електронних грошей (далі - надавачі фінансових платіжних послуг) зобов’язані привести свою діяльність у відповідність до вимог Положення у терміни, установлені в графіку, що додається.

3. Департаменту методології регулювання діяльності небанківських фінансових установ (Сергій Савчук) після офіційного опублікування довести до відома надавачів фінансових платіжних послуг інформацію про прийняття цієї постанови.

4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

1. Це Положення розроблене відповідно до вимог Закону України "Про Національний банк України", Закону України "Про платіжні послуги" (далі - Закон про платіжні послуги), Закону України "Про фінансові послуги та фінансові компанії" (далі - Закон про фінансові послуги) з метою організації та забезпечення належного функціонування системи корпоративного управління, системи внутрішнього контролю та системи управління ризиками (далі - система управління):

1) платіжної установи (крім малої платіжної установи);

2) установи електронних грошей;

3) оператора поштового зв’язку, який має право надавати фінансові платіжні послуги;

4) філії іноземної платіжної установи та філії іноземної установи електронних грошей (далі - філія іноземної платіжної установи).

2. Терміни в цьому Положенні вживаються в такому значенні:

1) агрегування даних щодо ризиків - виявлення, збір та оброблення даних про ризики, включаючи класифікацію, сегментацію, об’єднання чи розподіл даних про ризики, з урахуванням вимог щодо складання звітності про ризики, що дає змогу оцінити діяльність надавача фінансових платіжних послуг з урахуванням ризик-апетиту;

2) бізнес-процес - сукупність взаємопов’язаних або взаємозалежних видів діяльності, спрямованих на створення певного продукту або послуги;

3) високий (помаранчевий) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних, внаслідок чого прогнозується значний вплив на національну безпеку і оборону, соціальну сферу, національну економіку та її окремі галузі, припинення виконання функцій та/або надання послуг критичною інфраструктурою, подія може мати транскордонний вплив;

4) внутрішні документи - документи, затверджені або видані уповноваженим органом управління надавача фінансових платіжних послуг у межах його компетенції з урахуванням вимог законодавства України, включаючи політику за окремими напрямами діяльності, положення, стандарти, інструкції, методики, правила, стратегії, розпорядження, рішення, накази або документи, розроблені в іншій формі;

5) декларація схильності до ризиків - внутрішній документ, який визначає сукупну величину ризик-апетиту, види ризиків, які надавач фінансових платіжних послуг прийматиме або уникатиме з метою виконання свого плану діяльності, та рівень ризик-апетиту щодо кожного з таких ризиків (індивідуальний рівень);

6) допустимий рівень ризику - максимальна величина ризику, яку надавач фінансових платіжних послуг у змозі прийняти за всіма видами ризиків з огляду на здатність адекватно та ефективно управляти ризиками, а також з урахуванням обмежень, установлених законодавством України;

7) інформаційна інфраструктура - програмне забезпечення та/або технічні засоби в інформаційній, інформаційно-комунікаційній та комунікаційній системах, що використовуються надавачем фінансових платіжних послуг для здійснення платіжних операцій;

8) інцидент безпеки - подія або низка пов’язаних подій, що виникли під час надання платіжних послуг / виконання платіжних операцій та не були заплановані надавачем фінансових платіжних послуг, що мали або ймовірно матимуть негативний вплив на конфіденційність, цілісність, доступність інформації та/або безперервність надання платіжних послуг;

9) істотний технічний збій або істотні інші невідворотні обставини - неспроможність надавача фінансових платіжних послуг своєчасно та ефективно надавати фінансові платіжні послуги протягом 24 годин поспіль з моменту настання технічного збою або інших невідворотних обставин, що призвело до порушення надавачем фінансових платіжних послуг вимог законодавства України, включаючи вимогу щодо безперервності надання фінансових платіжних послуг;

10) ключові процеси - дії, операції, завдання, що виконуються структурними підрозділами, окремими працівниками надавача фінансових платіжних послуг, інформаційними системами (включаючи функції, передані на аутсорсинг), що мають безпосередній та істотний вплив на досягнення цілей діяльності надавача фінансових платіжних послуг, та порушення здійснення контрольних заходів щодо таких дій, операцій, завдань може завдати істотних збитків надавачу фінансових платіжних послуг або його користувачам та/або може призвести до порушення вимог законодавства України;

11) комплаєнс-ризик - ризик виникнення збитків та/або санкцій, додаткових втрат або недоотримання запланованих доходів, або втрати репутації внаслідок невиконання надавачем фінансових платіжних послуг вимог законодавства України про діяльність та регулювання діяльності на ринку фінансових послуг, включаючи законодавство України, що регулює діяльність на платіжному ринку, ринкових стандартів, правил добросовісної конкуренції та корпоративної етики, правил платіжних систем, а також внутрішніх документів надавача фінансових платіжних послуг, виникнення конфлікту інтересів або невідповідності діяльності надавача фінансових платіжних послуг таким вимогам;

12) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником / контрагентом узятих на себе зобов’язань відповідно до умов договору;

13) критична або важлива функція - функція, припинення чи переривання якої суттєво погіршить фінансову ефективність надавача фінансових платіжних послуг або надійність, або безперервність надання його послуг;

14) критичний (червоний) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних, внаслідок чого виникають реальні загрози для національної безпеки, обороноздатності, економічної безпеки, зовнішніх відносин, створюється реальна загроза обмеження в наданні основних послуг населенню надавачем фінансових платіжних послуг;

15) культура управління ризиками - дотримання визначених надавачем фінансових платіжних послуг принципів, правил, норм надавача фінансових платіжних послуг, спрямованих на поінформованість усіх працівників надавача фінансових платіжних послуг щодо прийняття ризиків та управління ризиками;

16) ліміти (обмеження) щодо ризиків надавача фінансових платіжних послуг (далі - ліміт ризику) - обмеження (якісні та/або кількісні, єдиним значенням або діапазоном чи межами), установлені для контролю за величиною ризиків, на які наражається надавач фінансових платіжних послуг протягом своєї діяльності, з метою дотримання затвердженого рівня ризик-апетиту;

17) надавачі фінансових платіжних послуг - платіжні установи (крім малих платіжних установ), установи електронних грошей, оператори поштового зв’язку, які мають право надавати фінансові платіжні послуги, філії іноземних платіжних установ;

18) надзвичайний (чорний) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних, внаслідок чого відбувається невідворотний вплив на повноцінне функціонування держави;

19) некритичний (білий) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що не загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, безпеці (захищеності) критичних даних;

20) низький (зелений) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, але не загрожує порушенню конфіденційності, цілісності та доступності критичних даних;

21) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок виникнення під час надання платіжних послуг / виконання платіжних операцій недоліків або помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників надавача фінансових платіжних послуг або інших осіб, збоїв у роботі систем надавача фінансових платіжних послуг або внаслідок впливу зовнішніх факторів;

22) орган управління надавача фінансових платіжних послуг - загальні збори учасників (акціонерів) надавача фінансових платіжних послуг (далі - загальні збори), наглядова рада надавача фінансових платіжних послуг (далі - рада) (у разі її створення), одноосібний / колегіальний виконавчий орган надавача фінансових платіжних послуг (далі - виконавчий орган);

23) передавання ризику - використання надавачем фінансових платіжних послуг ресурсів інших осіб для покриття ризику за винагороду зі збереженням наявного рівня ризику;

24) підрозділ внутрішнього аудиту - постійно діючий підрозділ, створений радою (якщо її немає - загальними зборами) (далі - відповідальний орган), який забезпечує виконання функцій внутрішнього аудиту, визначених законодавством України, або внутрішній аудитор / головний внутрішній аудитор;

25) підрозділ з управління ризиками - постійно діючий підрозділ, створений відповідальним органом, який забезпечує виконання функцій з управління ризиками, визначених законодавством України, або головний ризик-менеджер;

26) підрозділ контролю за дотриманням норм (комплаєнс) - постійно діючий підрозділ, створений відповідальним органом, який забезпечує виконання функцій контролю за дотриманням норм (комплаєнс), визначених законодавством України, або головний комплаєнс-менеджер [особа, на яку покладена функція контролю за дотриманням норм (комплаєнс)] (далі - головний комплаєнс-менеджер);

27) підрозділи контролю - підрозділ з управління ризиками, підрозділ контролю за дотриманням норм (комплаєнс), підрозділ внутрішнього аудиту;

28) пом’якшення або зниження ризиків - комплекс заходів, спрямованих на зменшення ймовірності прояву ризику та/або зменшення впливу ризику на результати діяльності надавача фінансових платіжних послуг;

29) посадові особи надавача фінансових платіжних послуг - одноосібний виконавчий орган або члени колегіального виконавчого органу та члени ради (далі - керівники), ключові особи надавача фінансових платіжних послуг (далі - ключова особа);

30) прийняття ризиків - утримання ризиків на рівні, що перебуває в межах визначеного надавачем фінансових платіжних послуг ризик-апетиту або визначеної схильності до ризиків та не створює загрози для користувачів, акціонерів / учасників надавача фінансових платіжних послуг та його фінансового стану;

31) ризик-апетит, або схильність до ризику, - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначена наперед та в межах допустимого рівня ризику, щодо яких надавач фінансових платіжних послуг прийняв рішення про доцільність / необхідність їх утримання з метою досягнення його стратегічних цілей та виконання плану діяльності;

32) ризик безпеки - ризик виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок виникнення під час надання платіжних послуг / виконання платіжних операцій подій, обставин, факторів, що можуть нести загрозу порушення виконання вимог щодо захисту інформації та персональних даних користувачів, автентифікації, зберігання, захисту, використання інформації, що становить таємницю надавача платіжних послуг;

33) ризик контрагента - імовірність невиконання контрагентом договірних зобов’язань;

34) ризик ліквідності - ризик виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок неспроможності надавача фінансових платіжних послуг забезпечувати фінансування зростання активів та/або виконання своїх зобов’язань у належні строки;

35) ринковий ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок несприятливого впливу факторів ринкового ризику, включаючи курси іноземних валют, процентні ставки та/або інші фактори, на вартість / ціну фінансових інструментів;

36) середній (жовтий) рівень критичності - один із критеріїв істотності операційних інцидентів, кіберінцидентів та інцидентів безпеки, який встановлюється до події, що безпосередньо загрожує здійсненню операційної діяльності надавача фінансових платіжних послуг, сталому функціонуванню інформаційної інфраструктури, що використовується для надання платіжних послуг, внаслідок чого створюються передумови для порушення конфіденційності, цілісності та доступності критичних даних, виникають передумови для порушення безперервності надання платіжних послуг;

37) система внутрішнього контролю - сукупність заходів з внутрішнього аудиту, управління ризиками, комплаєнсу та інших елементів, визначених законодавством України, включаючи це Положення, а також політики, правил і заходів, які забезпечують функціонування, взаємозв’язок та підтримку таких заходів та елементів і спрямовані на досягнення визначених мети, цілей і вимог до діяльності надавача фінансових платіжних послуг та забезпечення безперервності надання платіжних послуг;

38) система стримувань та противаг - розподіл повноважень між органами управління та/або підрозділами надавача фінансових платіжних послуг, який забезпечує взаємну підконтрольність, а також унеможливлює (упереджує) можливість прийняття органами управління надавача фінансових платіжних послуг рішень, що можуть призвести до негативних наслідків у діяльності надавача фінансових платіжних послуг;

39) система управління ризиками - сукупність належним чином задокументованих, затверджених і виданих політики, методик і процедур управління ризиками, розпоряджень, рішень, наказів або документів, розроблених в іншій формі, з урахуванням вимог законодавства України, які визначають порядок дій, спрямованих на здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та мінімізацію (зниження до контрольованого рівня) усіх суттєвих ризиків діяльності надавача фінансових платіжних послуг;

40) стрес-тестування - метод вимірювання (оцінки) потенційного впливу ризику як величини збитків, що можуть стати наслідком шокових змін різних факторів ризику, які відповідають виключним (екстремальним), але ймовірним подіям;

41) уникнення ризику - відмова від здійснення певних операцій або припинення ділових відносин, які наражають надавача фінансових платіжних послуг на ризик.

Термін "ключові особи" уживається в цьому Положенні в значенні, наведеному в Положенні про авторизацію надавачів фінансових послуг та умови здійснення ними діяльності з надання фінансових послуг, затвердженому постановою Правління Національного банку України від 29 грудня 2023 року № 199 (зі змінами).

Термін "кіберризик" уживається в цьому Положенні в значенні, наведеному в абзаці другому частини першої статті 66 Закону про платіжні послуги.

Термін "уповноважена посадова особа Національного банку" уживається в цьому Положенні в значенні, наведеному в Положенні про здійснення Національним банком України безвиїзного нагляду на платіжному ринку за небанківськими надавачами платіжних послуг, надавачами обмежених платіжних послуг, затвердженому постановою Правління Національного банку України від 05 травня 2023 року № 60 (зі змінами) (далі - Положення про здійснення безвиїзного нагляду на платіжному ринку).

Інші терміни в цьому Положенні вживаються у значеннях, наведених у Законі про платіжні послуги, Законі про фінансові послуги, інших законах України та нормативно-правових актах Національного банку України (далі - Національний банк) з питань регулювання діяльності надавачів фінансових платіжних послуг.

3. Це Положення визначає:

1) вимоги до системи управління надавача фінансових платіжних послуг:

системи корпоративного управління відповідно до вимог, встановлених Законом про платіжні послуги та цим Положенням, включаючи вимоги щодо ключових осіб;

системи внутрішнього контролю, що включає систему управління ризиками, контроль за дотриманням норм (комплаєнс) та внутрішній аудит, згідно з вимогами, встановленими Законом про фінансові послуги, Законом про платіжні послуги та цим Положенням;

2) порядок здійснення контролю Національним банком за дотриманням надавачем фінансових платіжних послуг вимог до системи управління, включаючи порядок складання та подання звітів та іншої інформації до Національного банку щодо системи управління надавача фінансових платіжних послуг.

4. Система управління надавача фінансових платіжних послуг повинна відповідати вимогам, визначеним Законом про платіжні послуги, іншими законами України, цим Положенням та іншими нормативно-правовими актами Національного банку.

5. Надавач фінансових платіжних послуг зобов’язаний організувати та постійно забезпечувати ефективність своєї системи управління, належне функціонування системи корпоративного управління, системи внутрішнього контролю та належне управління ризиками з урахуванням особливостей виду діяльності, бізнес-моделі, характеру і видів послуг, які він надає, ризиків, притаманних такій діяльності, а також особливостей, встановлених законами з питань регулювання окремих ринків фінансових послуг, Законом України "Про товариства з обмеженою та додатковою відповідальністю" (далі - Закон про товариства з обмеженою та додатковою відповідальністю), Законом України "Про акціонерні товариства" (далі - Закон про акціонерні товариства), Положенням про порядок здійснення авторизації діяльності надавачів фінансових платіжних послуг та обмежених платіжних послуг, затвердженим постановою Правління Національного банку України від 07 жовтня 2022 року № 217 (зі змінами) (далі - Положення про авторизацію надавачів фінансових платіжних послуг), та цим Положенням.

6. Внутрішні документи надавача фінансових платіжних послуг щодо організації системи управління повинні відповідати вимогам законодавства України, включаючи вимоги цього Положення.

7. Порядок організації роботи виконавчого органу, включаючи чіткий розподіл повноважень між головою і членами колегіального виконавчого органу, а також порядок організації роботи ради та комітетів ради, ключових осіб (або осіб, які виконують такі функції) повинні визначатись у внутрішніх документах, що регламентують діяльність виконавчого органу, ради, комітетів ради та ключових осіб. Надавач фінансових платіжних послуг для забезпечення ефективності своєї системи управління переглядає внутрішні документи щодо потреби внесення змін до них не рідше одного разу на рік.

8. Надавач фінансових платіжних послуг (крім філії іноземної платіжної установи) зобов’язаний створити у своїй структурі окремі підрозділи внутрішнього аудиту, з управління ризиками та контролю за дотриманням норм (комплаєнс) або покласти виконання відповідних функцій на внутрішнього аудитора / головного внутрішнього аудитора, головного ризик-менеджера, головного комплаєнс-менеджера та забезпечити їх належними ресурсами для ефективного та належного виконання їхніх функцій.

9. Внутрішній аудитор / головний внутрішній аудитор, головний ризик-менеджер не мають права обіймати будь-які інші посади та виконувати будь-які інші обов’язки в цьому надавачі фінансових платіжних послуг та/або інших юридичних особах.

10. Вимоги, визначені в пункті 9 глави 2 розділу I цього Положення, не застосовуються до материнських та дочірніх компаній надавача фінансових платіжних послуг, компаній - учасників фінансової групи, до якої належить такий надавач фінансових платіжних послуг, професійних об’єднань на ринку фінансових платіжних послуг, юридичних осіб, кінцевим бенефіціарним власником в яких є кінцевий бенефіціарний власник такого надавача фінансових платіжних послуг.

11. Загальні збори є вищим органом управління надавача фінансових платіжних послуг.

12. До виключної компетенції загальних зборів належить вирішення питань, віднесених Законом про товариства з обмеженою та додатковою відповідальністю або Законом про акціонерні товариства до виключної компетенції загальних зборів такого товариства.

13. До компетенції загальних зборів надавача фінансових платіжних послуг з урахуванням вимог законів України можуть бути віднесені інші питання діяльності, за винятком тих, які законом України або статутом надавача фінансових платіжних послуг віднесені до виключної компетенції ради, інших органів надавача фінансових платіжних послуг.

Загальні збори з урахуванням вимог законів України уповноважені розглядати і приймати рішення з питань, віднесених законом України або статутом надавача фінансових платіжних послуг до виключної компетенції ради, якщо радою прийнято рішення про внесення відповідного питання на розгляд загальних зборів.

14. Загальні збори з урахуванням вимог законів України, включаючи вимоги Закону про товариства з обмеженою та додатковою відповідальністю та Закону про акціонерні товариства:

1) визначають основні напрями діяльності надавача фінансових платіжних послуг;

2) затверджують / приймають рішення про застосування принципів (кодексу) корпоративного управління надавача фінансових платіжних послуг;

3) вирішують питання про обрання та припинення повноважень членів ради;

4) за відсутності ради вирішують питання про призначення та припинення повноважень (звільнення) голови та членів колегіального виконавчого органу, а також ключових осіб;

5) вирішують інші питання, віднесені до компетенції загальних зборів, відповідно до вимог законодавства України.

15. Рада несе відповідальність за забезпечення стратегічного управління надавача фінансових платіжних послуг.

16. Рада в межах своїх повноважень з урахуванням компетенції, визначеної відповідно законом України та статутом, несе відповідальність за:

1) безпеку та фінансову стійкість надавача фінансових платіжних послуг;

2) відповідність діяльності надавача фінансових платіжних послуг законодавству України;

3) упровадження стратегічних цілей надавача фінансових платіжних послуг відповідно до основних напрямів діяльності, визначених загальними зборами, та плану діяльності надавача фінансових платіжних послуг;

4) забезпечення ефективної організації корпоративного управління;

5) функціонування та контроль за ефективністю системи внутрішнього контролю, системи управління ризиками та контролю за дотриманням норм (комплаєнс), системи внутрішнього аудиту надавача фінансових платіжних послуг;

6) призначення голови та членів колегіального виконавчого органу, а також ключових осіб.

17. Рада затверджує організаційну структуру надавача фінансових платіжних послуг, що відповідає його потребам, розміру, особливостям діяльності надавача фінансових платіжних послуг, характеру й обсягам фінансових платіжних та інших послуг, профілю ризику надавача фінансових платіжних послуг, надає змогу раді та виконавчому органу виконувати свої обов’язки належним чином відповідно до вимог законодавства України та сприяє ефективному прийняттю рішень кожним з органів управління і належному управлінню надавачем фінансових платіжних послуг у цілому. Організаційна структура містить у собі визначення персонального розподілу функцій, обов’язків, відповідальності, повноважень членів ради, виконавчого органу, ключових осіб, їх підконтрольності та підзвітності, а також забезпечує наявність системи стримування і противаг.

18. Рада має право внести на розгляд загальних зборів питання, яке законом України або статутом надавача фінансових платіжних послуг віднесене до її виключної компетенції.

19. Рада має право утворювати постійні чи тимчасові комітети з числа осіб, які входять до її складу, для попереднього вивчення і підготовки до розгляду на засіданні питань, що належать до компетенції ради.

20. Рада має право утворити постійно діючі комітети (далі - комітети ради):

1) комітет з питань аудиту (аудиторський комітет) з урахуванням вимог до аудиторського комітету, передбачених Законом України "Про аудит фінансової звітності та аудиторську діяльність";

2) комітет з управління ризиками;

3) комітет з питань винагороди та призначень.

21. Рада в межах компетенції визначає обсяг повноважень комітетів ради, контролює та регулює їхню діяльність.

22. Загальні збори або орган, визначений статутом надавача фінансових платіжних послуг, здійснюють повноваження ради, якщо її не створено.

23. До компетенції виконавчого органу належить вирішення всіх питань, пов’язаних з керівництвом поточною діяльністю надавача фінансових платіжних послуг, крім питань, що належать до виключної компетенції загальних зборів та ради.

Виконавчі або невиконавчі члени (директори) можуть обиратися до складу колегіального виконавчого органу. Невиконавчий член здійснює функції нагляду, управління ризиками та контролю за діяльністю товариства та виконавчих членів колегіального виконавчого органу.

24. Виконавчий орган у межах своїх повноважень відповідає за:

1) безпеку та фінансову стійкість надавача фінансових платіжних послуг;

2) безперервність надання платіжних послуг;

3) відповідність діяльності надавача фінансових платіжних послуг законодавству України;

4) забезпечення поточного управління надавачем фінансових платіжних послуг;

5) виконання рішень загальних зборів та ради;

6) щоденне управління та контроль за операціями надавача фінансових платіжних послуг;

7) реалізацію стратегії надавача фінансових платіжних послуг, плану діяльності надавача фінансових платіжних послуг;

8) відповідність діяльності надавача фінансових платіжних послуг декларації схильності до ризиків.

25. Надавач фінансових платіжних послуг зобов’язаний створити комплексну, адекватну та ефективну систему внутрішнього контролю, що включає систему управління ризиками, контроль за дотриманням норм (комплаєнс) та внутрішній аудит, відповідно до вимог Закону про платіжні послуги, Положення про авторизацію надавачів фінансових платіжних послуг та цього Положення.

26. Система внутрішнього контролю повинна забезпечувати:

1) виконання функцій управління ризиками, контролю за дотриманням норм (комплаєнс) та внутрішнього аудиту з урахуванням розміру надавача фінансових платіжних послуг, складності, обсягів, видів, характеру здійснюваних надавачем фінансових платіжних послуг операцій, організаційної структури та профілю ризику надавача фінансових платіжних послуг;

2) досягнення надавачем фінансових платіжних послуг операційних, інформаційних цілей та комплаєнс-цілей, стратегічних цілей, визначених у його внутрішніх документах та плані діяльності.

27. Операційні цілі діяльності надавача фінансових платіжних послуг передбачають:

1) забезпечення спрямованості процедур контролю на ефективність управління активами, зобов’язаннями та позабалансовими позиціями надавача фінансових платіжних послуг з метою досягнення показників плану діяльності з одночасним уникненням або обмеженням втрат внаслідок впливу негативних внутрішніх та зовнішніх факторів;

2) здійснення систематичного процесу виявлення, вимірювання (оцінювання), моніторингу, контролю, звітування та мінімізації (зниження до контрольованого рівня) усіх видів ризиків у діяльності надавача фінансових платіжних послуг на всіх організаційних рівнях.

28. Інформаційні цілі діяльності надавача фінансових платіжних послуг можуть передбачати:

1) забезпечення цілісності, повноти та достовірності фінансової, управлінської та іншої інформації, що використовується для прийняття управлінських рішень;

2) забезпечення обміну інформацією як за вертикаллю, так і за горизонталлю організаційної структури надавача фінансових платіжних послуг.

29. Інформація, визначена в підпункті 1 пункту 28 глави 6 розділу III цього Положення, охоплює звітність надавача фінансових платіжних послуг з фінансових та нефінансових питань, що подається зовнішнім та внутрішнім користувачам.

30. Комплаєнс-цілі діяльності надавача фінансових платіжних послуг повинні передбачати забезпечення організації діяльності надавача фінансових платіжних послуг та виконання надавачем фінансових платіжних послуг вимог:

1) законодавства України про діяльність та регулювання діяльності на ринку фінансових послуг, включаючи законодавство України, що регулює діяльність на платіжному ринку;

2) ринкових стандартів;

3) правил добросовісної конкуренції та корпоративної етики;

4) правил платіжних систем;

5) щодо врегулювання конфлікту інтересів;

6) внутрішніх документів надавача фінансових платіжних послуг або відповідності діяльності надавача фінансових платіжних послуг таким вимогам.

31. Надавач фінансових платіжних послуг має право у своїх внутрішніх документах визначати додаткові цілі системи внутрішнього контролю.

32. Система внутрішнього контролю надавача фінансових платіжних послуг повинна містити такі компоненти:

1) контрольне середовище, вимоги до якого встановлені в пункті 37 глави 6 розділу III цього Положення;

2) система управління ризиками, вимоги до якої встановлені в пункті 39 глави 6 розділу III та в розділі VI цього Положення;

3) контрольна діяльність, вимоги до якої встановлені в главі 12 розділу III цього Положення;

4) контроль за інформаційними потоками та комунікаціями, вимоги до якого встановлені в главі 13 розділу III цього Положення;

5) моніторинг ефективності системи внутрішнього контролю, вимоги до якого встановлені в главі 14 розділу III цього Положення.

33. Надавач фінансових платіжних послуг визначає у своїх внутрішніх документах опис кожного з компонентів системи внутрішнього контролю, визначених у пункті 32 глави 6 розділу III цього Положення.

34. Надавач фінансових платіжних послуг запроваджує систему внутрішнього контролю шляхом:

1) прийняття внутрішніх документів із дотриманням вимог пунктів 53-57, 59 глави 10 розділу III цього Положення;

2) побудови організаційної структури надавача фінансових платіжних послуг з урахуванням вимог розділу III цього Положення;

3) впровадження компонентів системи внутрішнього контролю, визначених у пункті 32 глави 6 розділу III цього Положення.

35. Надавач фінансових платіжних послуг зобов’язаний після запровадження системи внутрішнього контролю забезпечувати її постійне та ефективне функціонування.

36. Суб’єктами внутрішнього контролю надавача фінансових платіжних послуг є:

1) відповідальний орган;

2) комітети ради;

3) виконавчий орган / невиконавчий член колегіального виконавчого органу;

4) підрозділи, безпосередньо залучені до процесу надання платіжних послуг (бізнес-підрозділи), та підрозділи підтримки діяльності надавача фінансових платіжних послуг;

5) підрозділ з управління ризиками;

6) підрозділ контролю за дотриманням норм (комплаєнс);

7) підрозділ внутрішнього аудиту.

37. Заходами, дотримання яких свідчить про належне впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, є такі:

1) надавачем фінансових платіжних послуг затверджено, доведено до відома всіх працівників відповідно до пункту 58 глави 10 розділу III цього Положення та контролюється дотримання і належне виконання внутрішніх документів, що визначають стандарти етичної поведінки працівників, порядок здійснення внутрішніх та зовнішніх комунікацій;

2) надавачем фінансових платіжних послуг визначено порядок дій та повноваження осіб, відповідальних за здійснення контролю за діяльністю структурних підрозділів / осіб, на яких покладено виконання окремих функцій у системі трьох ліній захисту, щодо належного функціонування системи внутрішнього контролю надавача фінансових платіжних послуг;

3) створено організаційну структуру надавача фінансових платіжних послуг, яка забезпечує побудову системи внутрішнього контролю, у межах якої визначено та розподілено функції, обов’язки, повноваження, відповідальність, визначено підзвітність та підконтрольність суб’єктів внутрішнього контролю, а також забезпечує належний рівень системи стримування і противаг;

4) надавач фінансових платіжних послуг з урахуванням цілей його діяльності забезпечує створення умов, потрібних для залучення компетентних осіб, які володіють необхідним досвідом, професійними навичками та якостями для виконання функцій та обов’язків, забезпечує їх належними ресурсами для ефективного та належного виконання їх функцій та забезпечує навчання таких працівників шляхом опису відповідних процесів у внутрішніх документах та виділення необхідних коштів (за потреби);

5) рада (якщо її не створено - орган, визначений статутом надавача фінансових платіжних послуг) забезпечує функціонування та контроль за ефективністю комплексної та адекватної системи внутрішнього контролю;

6) виконавчий орган у межах своїх повноважень забезпечує виконання рішень ради (якщо її не створено - органу, визначеного статутом надавача фінансових платіжних послуг) щодо забезпечення організації та функціонування системи внутрішнього контролю надавача фінансових платіжних послуг;

7) суб’єкти внутрішнього контролю надавача фінансових платіжних послуг несуть відповідальність за неналежне виконання та/або невиконання ними своїх обов’язків.

38. Надавач фінансових платіжних послуг створює комплексну та адекватну систему управління ризиками як компонент системи внутрішнього контролю, що відповідає вимогам, визначеним у розділі VI цього Положення.

39. Заходами з управління ризиками, дотримання яких свідчить про впровадження та ефективність, комплексність та адекватність функціонування системи управління ризиками як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, є:

1) відповідність затверджених радою стратегії управління ризиками та декларації схильності до ризиків надавача фінансових платіжних послуг його загальним стратегічним цілям розвитку;

2) відповідність профілю ризику надавача фінансових платіжних послуг затвердженому радою рівню ризик-апетиту;

3) повнота та ефективність впровадження внутрішніх документів з питань управління ризиками;

4) створення та дотримання культури управління ризиками, включаючи забезпечення обізнаності та залучення членів ради та членів колегіального виконавчого органу, а також інших працівників надавача фінансових платіжних послуг до управління ризиками, шляхом проведення періодичних засідань ради, комітетів ради за участю головного ризик-менеджера / працівників підрозділу з управління ризиками, документування таких засідань, навчання працівників надавача фінансових платіжних послуг з питань управління ризиками;

5) відповідність внутрішніх документів щодо управління ризиками вимогам цього Положення;

6) наявність у головного ризик-менеджера та головного комплаєнс-менеджера належного статусу та відповідної кваліфікації для виконання покладених на них функцій з управління ризиками, контролю за дотриманням норм (комплаєнс).

40. Надавач фінансових платіжних послуг створює та впроваджує систему внутрішнього контролю, що ґрунтується на розподілі обов’язків між відповідальними за певний процес у межах системи внутрішнього контролю особами та/або структурними підрозділами надавача фінансових платіжних послуг з урахуванням вимог цього Положення.

41. Надавач фінансових платіжних послуг зобов’язаний забезпечити розподіл обов’язків між структурними підрозділами надавача фінансових платіжних послуг, що ґрунтується на системі трьох ліній захисту, яка передбачає, що:

1) до першої лінії захисту належать підрозділи, безпосередньо залучені до процесу надання платіжних послуг (бізнес-підрозділи), підрозділи підтримки діяльності надавача фінансових платіжних послуг, а також працівники цих підрозділів (далі - суб’єкти першої лінії), які ініціюють, здійснюють або відображають господарські операції, приймають ризики в процесі своєї діяльності та відповідають за поточне управління цими ризиками, здійснюють заходи з контролю в межах своєї компетенції;

2) до другої лінії захисту належать структурні підрозділи / особи, на яких покладено виконання функцій з управління ризиками, контролю за дотриманням норм (комплаєнс) (далі - суб’єкти другої лінії), які забезпечують ефективність впроваджених першою лінією захисту заходів із контролю та управління ризиками, їх відповідність вимогам законодавства України та внутрішнім документам надавача фінансових платіжних послуг;

3) до третьої лінії захисту належить структурний підрозділ / окрема посадова особа, визначений / визначена відповідальним органом для проведення внутрішнього аудиту, що здійснює оцінювання ефективності діяльності першої та другої ліній захисту, загальне оцінювання ефективності системи внутрішнього контролю в межах виконання функції внутрішнього аудиту надавача фінансових платіжних послуг (далі - суб’єкти третьої лінії).

42. Відокремлені підрозділи надавача фінансових платіжних послуг залежно від їх розміру, функцій та повноважень, якими вони наділені відповідно до внутрішніх документів надавача фінансових платіжних послуг, можуть бути віднесені надавачем фінансових платіжних послуг до першої лінії захисту та/або мати у своїй структурі розподіл функцій за трьома лініями захисту.

43. Надавач фінансових платіжних послуг зобов’язаний забезпечити розподіл функцій у межах системи трьох ліній захисту з дотриманням обмежень щодо конфлікту інтересів на рівні керівників, підрозділів, працівників першої, другої і третьої ліній захисту, а також незалежність другої та третьої ліній захисту.

44. Рада як суб’єкт внутрішнього контролю відповідно до виключної компетенції:

1) затверджує та контролює реалізацію стратегічних цілей та плану діяльності надавача фінансових платіжних послуг;

2) затверджує організаційну структуру надавача фінансових платіжних послуг, а також структури підрозділів з управління ризиками, контролю за дотриманням норм (комплаєнс), внутрішнього аудиту;

3) затверджує внутрішні документи, віднесені до компетенції ради, включаючи документи, згідно з якими відбувається делегування повноважень ради в процесі здійснення внутрішнього контролю (крім повноважень, що належать до виключної компетенції ради), які передбачають право головного ризик-менеджера та головного комплаєнс-менеджера накладати заборону (вето) на рішення виконавчого органу та встановлення підстав (випадків) такої заборони, а також здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);

4) приймає рішення про обрання та припинення повноважень осіб, які входять до складу виконавчого органу, призначення та припинення повноважень (звільнення) ключових осіб;

5) забезпечує функціонування та контроль за ефективністю комплексної та адекватної системи внутрішнього контролю надавача фінансових платіжних послуг, включаючи розгляд звітів про результати здійснення моніторингу ефективності організації системи внутрішнього контролю, проведеного в межах діяльності другої та третьої ліній захисту, та прийняття за результатами розгляду рішення про здійснення / нездійснення відповідних заходів; розгляд звітів про результати виконання заходів, спрямованих на підвищення ефективності системи внутрішнього контролю, звітів про проведення щорічної самооцінки ефективності діяльності та прийняття рішення про досягнення або недосягнення поставлених у рішенні завдань, а також рішення щодо додаткових заходів у таких випадках.

45. Виконавчий орган як суб’єкт внутрішнього контролю в межах вирішення питань, пов’язаних з управлінням поточною діяльністю надавача фінансових платіжних послуг, крім питань, що належать до виключної компетенції загальних зборів та ради:

1) забезпечує діяльність надавача фінансових платіжних послуг, спрямовану на належне функціонування системи управління надавача фінансових платіжних послуг, безперервність надання платіжних послуг;

2) забезпечує функціонування інформаційних систем, що сприяють функціонуванню системи управління надавача фінансових платіжних послуг та здійснення внутрішнього контролю;

3) забезпечує суб’єктів першої - третьої ліній захисту ресурсами, потрібними для належного виконання повноважень;

4) здійснює поточне управління підпорядкованими суб’єктами системи внутрішнього контролю надавача фінансових платіжних послуг;

5) забезпечує впровадження стратегії та політики управління ризиками (включаючи ліміти ризиків), декларації схильності до ризиків, культури управління ризиками, включаючи дотримання надавачем фінансових платіжних послуг установленого рівня ризик-апетиту та лімітів ризиків;

6) ураховує в процесі прийняття рішень інформацію, отриману в межах системи управління ризиками;

7) забезпечує підготовку та надання раді, комітетам ради пропозицій щодо необхідності внесення змін до внутрішніх документів, затверджених радою;

8) розглядає та оцінює результати здійснення внутрішнього контролю, інформацію про виявлені в системі внутрішнього контролю порушення / недоліки, розробляє заходи щодо оперативного усунення недоліків, урахування рекомендацій та зауважень, наданих підрозділом внутрішнього аудиту, суб’єктами аудиторської діяльності, Національним банком та іншими контролюючими органами щодо функціонування системи управління ризиками;

9) приймає рішення про здійснення заходів щодо усунення / мінімізації порушень / недоліків, виявлених у системі внутрішнього контролю суб’єктами всіх ліній захисту, суб’єктами аудиторської діяльності та/або Національним банком;

10) здійснює поточний контроль за виконанням рішень про застосування заходів щодо усунення / мінімізації порушень / недоліків, виявлених у системі внутрішнього контролю уповноваженими суб’єктами першої - третьої ліній внутрішнього контролю, зовнішніми аудиторами та/або Національним банком.

46. Суб’єкти трьох ліній захисту надавача фінансових платіжних послуг зобов’язані:

1) дотримуватися вимог законодавства України, внутрішніх документів надавача фінансових платіжних послуг, у межах повноважень виконувати рішення про застосування заходів щодо усунення / мінімізації порушень / недоліків, виявлених у системі внутрішнього контролю уповноваженими суб’єктами першої - третьої ліній захисту, суб’єктами аудиторської діяльності та/або Національним банком;

2) діяти в межах своїх повноважень, виконувати покладені на них виконавчим органом, радою обов’язки щодо внутрішнього контролю;

3) проходити навчання, призначене / організоване надавачем фінансових платіжних послуг із метою підвищення рівня кваліфікації у сфері внутрішнього контролю, порядок, умови та періодичність проведення якого визначає надавач фінансових платіжних послуг у своїх внутрішніх документах.

47. Головний комплаєнс-менеджер та головний ризик-менеджер у межах забезпечення виконання своїх функцій зобов’язані бути присутніми на засіданнях виконавчого органу, мають право дорадчого голосу, а також можуть накладати заборону (вето) на рішення виконавчого органу з питань, що стосуються / впливають на:

1) бізнес-модель надавача фінансових платіжних послуг;

2) систему внутрішнього контролю, систему управління ризиками;

3) тарифну політику надавача фінансових платіжних послуг;

4) встановлений ризик-апетит та/або затверджені ліміти ризику;

5) дотримання вимог законодавства України;

6) інші випадки, встановлені у внутрішніх документах надавача фінансових платіжних послуг.

48. Головний комплаєнс-менеджер та головний ризик-менеджер у разі використання дорадчого голосу або накладення заборони (вето) на рішення виконавчого органу невідкладно інформують комітет з управління ризиками (у разі створення) або відповідальний орган про такі рішення.

49. Головний ризик-менеджер у межах забезпечення виконання функції управління ризиками:

1) має право бути присутнім на засіданнях комітетів ради та надавати обов’язкові до розгляду пропозиції та/або зауваження до рішень цих органів, якщо реалізація таких рішень призведе / може призвести до порушення встановленого ризик-апетиту та/або затверджених лімітів ризику;

2) має право накладати заборону (вето) на рішення цих органів з підстав (у випадках), установлених цим Положенням, відповідальним органом, якщо таке право встановлено у внутрішніх документах;

3) невідкладно інформує комітет з управління ризиками або відповідальний орган про такі пропозиції та/або зауваження, заборону (вето) на рішення.

50. Суб’єкти першої лінії захисту в межах компетенції:

1) здійснюють виконання покладених на них обов’язків та повноважень відповідно до внутрішніх документів надавача фінансових платіжних послуг, забезпечують дотримання вимог, визначених внутрішніми документами, законодавством України;

2) регулярно здійснюють заходи з контролю, обов’язок із виконання яких визначено у внутрішніх документах надавача фінансових платіжних послуг, та відповідають за їх належне і своєчасне виконання;

3) здійснюють заходи з виявлення та інформування про ризики, пов’язані з діяльністю суб’єктів першої лінії захисту, відповідно до вимог цього Положення;

4) мають право ініціювати / брати участь у періодичному перегляді / розробленні процесу внутрішнього контролю.

51. Суб’єкти другої лінії захисту в межах повноважень під час виконання функцій із контролю за дотриманням норм (комплаєнс) та функції з управління ризиками надавача фінансових платіжних послуг:

1) надають пропозиції щодо вибору та визначення виконавчим органом видів контрольної діяльності;

2) консультують виконавчий орган з питань розроблення / перегляду внутрішніх документів, які визначають процес здійснення кожного з видів діяльності в межах системи управління, та окремих процедур внутрішнього контролю;

3) забезпечують організацію, здійснюють контроль та моніторинг впровадження внутрішніх документів, включаючи документи з питань культури управління ризиками, та виконання суб’єктами першої лінії захисту покладених на них функцій, включаючи виконання заходів із контролю;

4) здійснюють контроль за виявленням та своєчасним інформуванням про виявлені ризики, пов’язані з їх діяльністю;

5) контролюють дотримання лімітів ризиків та встановленого ризик-апетиту;

6) ураховують під час прийняття рішень інформацію, отриману в межах системи управління ризиками;

7) забезпечують складання та своєчасне подання звітності, підготовка якої належить до компетенції відповідного підрозділу;

8) здійснюють контроль за дотриманням вимог законодавства України про захист прав споживачів фінансових послуг, внутрішніх документів та процесів;

9) здійснюють контрольну діяльність за інформаційними системами і технологіями, надають рекомендації щодо їх вдосконалення, усунення виявлених недоліків у їх роботі виконавчому органу;

10) перевіряють відповідність внутрішніх документів надавача фінансових платіжних послуг законодавству України;

11) перевіряють відповідність здійснюваних суб’єктами першої лінії захисту заходів із контролю внутрішнім документам надавача фінансових платіжних послуг;

12) здійснюють контрольну діяльність з недопущення конфлікту інтересів;

13) відповідають за належне та своєчасне інформування суб’єктів внутрішнього контролю щодо внутрішніх документів та внесених до них змін, які визначають процедури здійснення кожного з видів контрольної діяльності та окремих процедур внутрішнього контролю;

14) складають звіти в межах компетенції щодо реалізації контрольної діяльності / моніторингу, які повинні подаватися для оцінки та розгляду відповідальному органу, виконавчому органу / органу, визначеному статутом / комітетам ради / іншим користувачам, які приймають рішення відповідно до внутрішніх документів з питань системи управління ризиками.

52. Суб’єкти третьої лінії захисту:

1) здійснюють оцінювання ефективності діяльності першої та другої ліній захисту, загальне оцінювання ефективності системи внутрішнього контролю, оцінювання обраних та визначених у внутрішніх документах надавача фінансових платіжних послуг заходів із контролю, а саме: здійснення перевірки щодо того, чи належним чином вони регламентовані, виконуються уповноваженими суб’єктами внутрішнього контролю, відповідають цілям надавача фінансових платіжних послуг, є ефективними та достатніми для їх реалізації, шляхом проведення внутрішнього аудиту, складення звітів та подання їх на розгляд ради та для ознайомлення виконавчому органу;

2) надають пропозиції з питань розроблення / перегляду процесу здійснення заходів із контролю та/або окремих процедур внутрішнього контролю.

53. Надавач фінансових платіжних послуг зобов’язаний визначити у внутрішніх документах письмовий опис процесів, які забезпечують організацію та функціонування системи внутрішнього контролю, включаючи завдання, порядок та етапи здійснення заходів із контролю, відповідальних осіб, а також способи досягнення результатів щодо кожного процесу.

54. Положення про систему внутрішнього контролю надавача фінансових платіжних послуг повинно містити:

1) мету, завдання та принципи побудови системи внутрішнього контролю надавача фінансових платіжних послуг;

2) організаційну структуру системи внутрішнього контролю з урахуванням розподілу функціональних обов’язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;

3) принципи та підходи щодо впровадження компонентів системи внутрішнього контролю у надавачі фінансових платіжних послуг;

4) порядок, види, періодичність підготовки та розгляду звітів;

5) процедуру здійснення відповідних коригувальних заходів щодо виправлення виявлених недоліків.

55. Відповідальний орган або орган, визначений статутом надавача фінансових платіжних послуг, затверджує та регулярно (не рідше одного разу на рік) переглядає положення про систему внутрішнього контролю надавача фінансових платіжних послуг.

56. Відповідальний орган затверджує та регулярно (не рідше одного разу на рік) переглядає внутрішні документи, які передбачають право головного ризик-менеджера та головного комплаєнс-менеджера накладати заборону (вето) на рішення виконавчого органу та встановлення підстав (випадків) такої заборони.

57. Перелік питань щодо внутрішнього контролю, які повинні врегульовуватися у внутрішніх документах надавача фінансових платіжних послуг, зазначено в додатку 1 до цього Положення.

Надавач фінансових платіжних послуг має право об’єднувати окремі внутрішні документи щодо побудови та організації системи внутрішнього контролю в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.

58. Надавач фінансових платіжних послуг зобов’язаний:

1) доводити до відома працівників зміст внутрішніх документів;

2) письмово фіксувати кожен факт ознайомлення працівника з такими документами у спосіб, що дає змогу підтвердити факт такого ознайомлення, включаючи ознайомлення під власноручний підпис або шляхом накладання кваліфікованого електронного підпису (далі - КЕП) працівника та особи, яка забезпечила проведення ознайомлення.

59. Надавач фінансових платіжних послуг визначає у внутрішніх документах процедури та заходи з контролю, які застосовуються підрозділами кожної з трьох ліній захисту, а також порядок та процедури:

1) вертикальної взаємодії, що застосовуються під час здійснення внутрішнього контролю між структурними підрозділами / окремими посадовими особами / суб’єктами різних ліній захисту, органами управління надавача фінансових платіжних послуг;

2) горизонтальної взаємодії, що застосовуються в разі здійснення внутрішнього контролю в межах одного структурного підрозділу / функції та/або між структурними підрозділами / окремими посадовими особами / функціями однієї лінії захисту.

60. Відповідальний орган з метою дотримання керівниками та іншими працівниками надавача фінансових платіжних послуг корпоративних цінностей затверджує та не рідше одного разу на рік переглядає:

1) кодекс поведінки (етики);

2) політику виявлення, запобігання та управління конфліктами інтересів.

Відповідальний орган разом із підрозділом контролю за дотриманням норм (комплаєнс) здійснює контроль за дотриманням документів, визначених у підпунктах 1, 2 пункту 60 глави 11 розділу III цього Положення.

61. Кодекс поведінки (етики) має чітко визначати:

1) загальнообов’язкові норми поведінки для керівників та інших працівників надавача фінансових платіжних послуг, а також відповідальність за порушення цих норм;

2) заборону на здійснення незаконної діяльності:

адміністративні правопорушення відповідно до Кодексу України про адміністративні правопорушення; посадовий злочин, економічний злочин (шахрайство);

порушення санкцій;

легалізація (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення;

неконкурентна практика;

3) заборону на подання недостовірної фінансової та регуляторної звітності;

4) заборону надання послуг чи консультацій користувачам та контрагентам, спрямованих на уникнення ними чи їх контрагентами сплати податків або уникнення виконання встановлених законодавством України або договірними умовами інших зобов’язань;

5) вимоги щодо дотримання культури управління ризиками;

6) порядок дій керівників та інших працівників надавача фінансових платіжних послуг для запобігання завданню шкоди майну надавача фінансових платіжних послуг;

7) заходи із запобігання порушенню прав споживачів;

8) заборону на використання службового становища керівниками та іншими працівниками надавача фінансових платіжних послуг з метою отримання несправедливих персональних переваг або надання таких переваг третім особам;

9) заходи із запобігання корупційним діям та хабарництву;

10) обмеження щодо дарування та отримання подарунків;

11) гарантії рівності відносин між надавачем фінансових платіжних послуг та його користувачами, працівниками, постачальниками та конкурентами, заборону дискримінації;

12) механізм конфіденційного повідомлення про неприйнятну поведінку в надавачі фінансових платіжних послуг / порушення в діяльності надавача фінансових платіжних послуг, який передбачає забезпечення захисту заявників;

13) порядок дослідження випадків неприйнятної поведінки в надавачі фінансових платіжних послуг / порушення в діяльності надавача фінансових платіжних послуг.

62. Кодекс поведінки (етики) може визначати інші вимоги та/або обмеження додатково до встановлених у пункті 61глави 11 розділу III цього Положення.

63. Відповідальний орган, посадові особи зобов’язані вживати заходів для запобігання виникненню конфліктів інтересів у надавачі фінансових платіжних послуг та сприяти їх виявленню та врегулюванню.

64. Політика виявлення, запобігання та управління конфліктами інтересів повинна містити:

1) організаційні механізми, які визначають повноваження та відповідальність осіб, відповідальних за виявлення, запобігання та управління конфліктами інтересів;

2) інформацію про обставини, що свідчать або можуть свідчити про наявність конфлікту інтересів;

3) обов’язки керівників, ключових осіб та працівників надавача фінансових платіжних послуг щодо:

запобігання, виявлення та управління конфліктами інтересів;

оперативного повідомлення про обставини, що можуть спричинити або вже спричинили конфлікт інтересів, і порядок такого повідомлення;

4) процедуру перевірки керівників, ключових осіб надавача фінансових платіжних послуг до початку виконання ними посадових обов’язків для запобігання виникненню конфлікту інтересів під час виконання ними своїх обов’язків;

5) процедуру розгляду керівником отриманої інформації про потенційний або реальний конфлікт інтересів, визначення впливу цього конфлікту інтересів на профіль ризику надавача фінансових платіжних послуг та прийняття рішення про вжиття відповідних заходів;

6) обов’язок керівника щодо утримання від голосування з будь-якого питання, яке може спричинити конфлікт інтересів або зашкодити об’єктивному ставленню чи належному виконанню таким керівником обов’язків перед надавачем фінансових платіжних послуг;

7) порядок відсторонення керівника від голосування або участі іншим чином у прийнятті надавачем фінансових послуг будь-якого рішення, щодо якого в нього є конфлікт інтересів;

8) процедури та заходи з контролю для управління конфліктом інтересів, забезпечення вжиття заходів у разі виникнення конфлікту інтересів, процедури документування випадків виникнення (чи загрози виникнення) та управління конфліктами інтересів, розкриття інформації про конфлікт інтересів членами (або кандидатами в члени) органів управління, іншими працівниками;

9) порядок і періодичність здійснення перевірки потенційних і реальних конфліктів інтересів у надавачі фінансових платіжних послуг, що включає анкетування керівників, ключових осіб та працівників надавача фінансових платіжних послуг та подання керівниками, ключовими особами запевнень щодо відсутності конфлікту інтересів;

10) процедуру врегулювання конфлікту інтересів, включаючи вжиття заходів у разі виявлення порушення вимог порядку запобігання, виявлення та управління конфліктами інтересів у надавачі фінансових платіжних послуг;

11) порядок повідомлення Національного банку про конфлікти інтересів у надавачі фінансових платіжних послуг та заходи, вжиті для врегулювання конфліктів інтересів, якщо такі конфлікти не були врегульовані самостійно надавачем фінансових платіжних послуг.

65. Політика виявлення, запобігання та управління конфліктами інтересів може містити інші обов’язки, процедури додатково до встановлених у пункті 64 глави 11 розділу III цього Положення.

66. Надавач фінансових платіжних послуг здійснює контрольну діяльність у межах системи внутрішнього контролю з метою забезпечення досягнення надавачем фінансових платіжних послуг цілей його діяльності шляхом:

1) запровадження та виконання заходів із контролю щодо всіх процесів та на всіх організаційних рівнях;

2) розгляду звітів, підготовлених за результатами здійснення заходів із контролю.

67. Надавач фінансових платіжних послуг розробляє та контролює виконання внутрішніх документів, що встановлюють:

1) види, періодичність та порядок здійснення заходів із контролю;

2) перелік структурних підрозділів / працівників, відповідальних за проведення заходів із контролю;

3) види, періодичність та порядок підготовки звітності (управлінської, фінансової, регуляторної, податкової, іншої);

4) періодичність та порядок розгляду звітів;

5) перелік осіб / органів управління надавача фінансових платіжних послуг, що уповноважені здійснювати розгляд звітів;

6) процедури здійснення надавачем фінансових платіжних послуг відповідних коригувальних заходів щодо виправлення виявлених недоліків.

68. Надавач фінансових платіжних послуг зобов’язаний:

1) здійснювати заходи з контролю з метою запобігання, виявлення та усунення порушень законодавства України та внутрішніх документів надавача фінансових платіжних послуг;

2) забезпечити розроблення, впровадження та застосування механізмів внутрішнього контролю під час організації внутрішніх процесів, а також у разі залучення третіх осіб до надання та/або рекламування послуг за умови дотримання законодавства України.

69. Критерії, що свідчать про впровадження та здійснення контрольної діяльності як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, уключають:

1) обрання та впровадження заходів із контролю, що забезпечують пом’якшення ризиків діяльності надавача фінансових платіжних послуг до прийнятного рівня;

2) забезпечення рівня контролю за вибором та використанням / застосуванням інформаційних систем та технологій, що використовуються надавачем фінансових платіжних послуг, на рівні, потрібному для забезпечення досягнення цілей його діяльності;

3) визначення заходів із контролю у внутрішніх документах надавача фінансових платіжних послуг, визначення очікуваних результатів та порядку здійснення таких заходів.

70. Надавач фінансових платіжних послуг має враховувати під час розроблення та перегляду заходів із контролю:

1) зміни в ринковому середовищі та законодавстві України, включаючи зміни в законодавстві України про захист прав споживачів фінансових послуг;

2) адекватність установлених заходів із контролю щодо кожного зі суттєвих видів ризиків, визначених у пунктах 127, 128 глави 23 розділу VI цього Положення;

3) ефективність застосованих у минулих періодах окремих видів заходів із контролю;

4) можливість моніторингу здійснення певного виду контролю.

71. Система внутрішнього контролю надавача фінансових платіжних послуг може включати здійснення таких видів заходів із контролю:

1) залежно від моменту здійснення контролю:

попередній - передує виконанню дії або операції;

поточний - здійснюється під час виконання дії або операції;

подальший - здійснюється після виконання дії або операцій та спрямований на виявлення недоліків, виправлення допущених помилок;

2) залежно від призначення контролю:

превентивний - спрямований на попередження порушень та ризиків;

виявляючий - спрямований на виявлення ризиків;

коригуючий - спрямований на уникнення / пом’якшення реалізованих ризиків та їх наслідків у майбутньому;

3) залежно від суб’єкта контролю:

самостійний - здійснюється працівником самостійно;

колективний - здійснюється двома (або більше) працівниками;

колегіальний - здійснюється колегіальним органом;

автоматизований - здійснюється автоматизованою системою;

4) залежно від періодичності здійснення:

функціональний (постійний) - проводиться щоденно;

періодичний - проводиться згідно з установленою у внутрішніх документах періодичністю;

5) залежно від обсягів контролю:

повний - охоплює весь обсяг відповідного процесу надавача фінансових платіжних послуг;

портфельний - проводиться за групами функцій, операцій, договорів;

вибірковий - проводиться за окремими відібраними елементами відповідного процесу надавача фінансових платіжних послуг.

72. Надавач фінансових платіжних послуг забезпечує послідовне поєднання попереднього, поточного і подальшого видів контролю, визначених у підпункті 1 пункту 71 глави 12 розділу III цього Положення, з метою підвищення дієвості та ефективності контролю.

73. Надавач фінансових платіжних послуг обирає та впроваджує заходи з контролю за інформаційними системами та технологіями, що використовуються у надавачі фінансових платіжних послуг, з метою забезпечення безперервності надання платіжних послуг надавачем фінансових платіжних послуг, що визначається у внутрішніх документах.

74. Заходи, зазначені в пункті 73 глави 12 розділу III цього Положення, включають:

1) контроль за збереженням цілісності та доступності інформації, що використовується в діяльності надавача фінансових платіжних послуг, яка зберігається з використанням інформаційних систем і технологій, що має право забезпечуватися шляхом резервування (копіювання) такої інформації / даних, відновлення функцій інформаційних систем і технологій, що були пошкоджені / знищені / втрачені;

2) управління доступами до систем, технологій та/або інформації, що використовуються надавачем фінансових платіжних послуг, а також до інших даних, інформаційних систем (системне програмне забезпечення), мереж, програмних додатків. Ці заходи здійснюються з метою захисту інформаційних систем надавача фінансових платіжних послуг від несанкціонованого використання та зловживань;

3) контроль за інформаційними системами та технологіями під час їх придбання, розроблення або супроводження впроваджується з метою забезпечення відповідних процедур, що регламентують придбання, розроблення та супроводження інформаційних систем і технологічних рішень, вимоги до їх документації, тестування та подальше технічне обслуговування. Ці процедури забезпечують контроль за змінами в інформаційних системах та технологіях і можуть передбачати необхідність авторизації запитів на зміни, узгоджень і результатів тестування.

75. Надавач фінансових платіжних послуг визначає осіб, відповідальних за здійснення заходів із контролю, підготовку та опрацювання звітів про результати здійснення заходів із контролю за горизонтальною та вертикальною взаємодією та з урахуванням принципу недопущення конфлікту інтересів.

76. Надавач фінансових платіжних послуг зобов’язаний у строки, визначені у внутрішніх документах надавача фінансових платіжних послуг, проводити щорічну самостійну оцінку відповідності системи внутрішнього контролю надавача фінансових платіжних послуг (далі - щорічна самооцінка) його цілям, розміру, видам діяльності, вимогам законодавства України, включаючи вимоги цього Положення, з обов’язковим урахуванням результатів здійснення контрольної діяльності та заходів з моніторингу ефективності системи внутрішнього контролю надавача фінансових платіжних послуг.

Результати проведеної щорічної самооцінки повинні викладатися у формі звіту за підписом уповноваженого працівника надавача фінансових платіжних послуг / керівника підрозділу, відповідального за складення такого звіту.

Звіт про результати щорічної самооцінки повинен містити оцінку за кожним компонентом системи внутрішнього контролю, визначеним у пункті 32 глави 6 розділу III цього Положення. Звіт про результати щорічної самооцінки може містити іншу інформацію, обов’язковість включення якої визначено у внутрішньому документі надавача фінансових платіжних послуг.

77. Надавач фінансових платіжних послуг у межах системи внутрішнього контролю визначає у внутрішніх документах порядок здійснення суб’єктами внутрішнього контролю зовнішніх та внутрішніх комунікацій, порядок використання, отримання та надання інформації.

78. Заходами, дотримання яких свідчить про впровадження та ефективне функціонування контролю за інформаційними потоками та комунікаціями як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, є такі:

1) використання у своїй діяльності у визначеному внутрішніми документами порядку інформації, що відповідає принципам, які свідчать про забезпечення якості інформації, визначеним у пункті 79 глави 13 розділу III цього Положення;

2) проведення внутрішніх комунікацій, що потрібні для забезпечення ефективного функціонування системи внутрішнього контролю;

3) проведення зовнішніх комунікацій щодо питань, пов’язаних з ефективним функціонуванням системи внутрішнього контролю.

79. Надавач фінансових платіжних послуг забезпечує якість інформації, що створюється, використовується та отримується надавачем фінансових платіжних послуг під час його діяльності, ґрунтуючись на таких принципах:

1) актуальність, що передбачає забезпечення надавачем фінансових платіжних послуг внесення змін до інформації та повідомлення заінтересованих осіб про такі зміни протягом строку, визначеного законодавством України, нормативно-правовими актами Національного банку, внутрішніми документами надавача фінансових платіжних послуг;

2) коректність, що передбачає забезпечення надавачем фінансових платіжних послуг достовірності та повноти інформації;

3) цілісність, що передбачає обов’язок надавача фінансових платіжних послуг вживати заходів, включаючи використання інформаційних систем і технологій, які спрямовані на захист інформації від викривлення, пошкодження, втрати або знищення;

4) збереження, що передбачає збереження інформації протягом усього строку її використання надавачем фінансових платіжних послуг, але не менше строків, визначених законодавством України та внутрішніми документами надавача фінансових платіжних послуг;

5) доступність, що передбачає визначення надавачем фінансових платіжних послуг у внутрішніх документах переліків інформації, яка є:

загальнодоступною;

з обмеженим доступом - може бути отримана та/або використана суб’єктами внутрішнього контролю виключно в межах їх повноважень;

6) достатність, що передбачає забезпечення надавачем фінансових платіжних послуг рівня деталізації інформації, яка відповідає потребам внутрішніх та зовнішніх користувачів.

80. Надавач фінансових платіжних послуг зобов’язаний визначити у внутрішніх документах порядок проведення перевірки якості інформації, включаючи її відповідність принципам, визначеним у пункті 79 глави 13 розділу III цього Положення, достовірність джерел походження такої інформації.

Перевірка якості інформації має здійснюватися уповноваженими суб’єктами внутрішнього контролю.

81. Надавач фінансових платіжних послуг зобов’язаний забезпечити суб’єктам внутрішнього контролю можливість використовувати інформаційні системи та технології, функціональні можливості яких дають змогу проведення перевірки дотримання принципів якості інформації, визначених у пункті 79 глави 13 розділу III цього Положення.

82. Надавач фінансових платіжних послуг визначає у внутрішніх документах порядок і способи здійснення внутрішніх та зовнішніх комунікацій з урахуванням різних напрямів та учасників комунікацій, характеру комунікацій, питань, щодо яких здійснюються комунікації, та вимог законодавства України.

83. Надавач фінансових платіжних послуг для забезпечення функціонування комплексної, адекватної та ефективної системи внутрішнього контролю зобов’язаний запровадити внутрішню систему повідомлення працівниками (включаючи повідомлення конфіденційно) про виявлені ризики, порушення вимог законодавства України та внутрішніх документів надавача фінансових платіжних послуг. Порядок роботи такої системи повинен бути визначений внутрішніми документами та доведений до відома всіх працівників надавача фінансових платіжних послуг.

84. Надавач фінансових платіжних послуг визначає у внутрішніх документах заходи з контролю під час здійснення зовнішніх комунікацій, включаючи порядок отримання інформації від зовнішніх користувачів, її перевірки та передавання цієї інформації в межах організаційної структури надавача фінансових платіжних послуг.

85. Суб’єкти внутрішнього контролю, уповноважені здійснювати зовнішні комунікації, зобов’язані дотримуватися вимог законодавства України та внутрішніх документів надавача фінансових платіжних послуг щодо нерозголошення інформації з обмеженим доступом.

86. Надавач фінансових платіжних послуг, здійснюючи внутрішні та зовнішні комунікації, зобов’язаний дотримуватися принципів якості інформації, визначених у пункті 79 глави 13 розділу III цього Положення.

87. Надавач фінансових платіжних послуг має право встановити у внутрішніх документах порядок проведення оцінювання якості та ефективності внутрішніх та зовнішніх комунікацій, їх впливу на ефективне функціонування системи внутрішнього контролю та на досягнення цілей його діяльності.

88. Надавач фінансових платіжних послуг здійснює моніторинг ефективності системи внутрішнього контролю відповідно до вимог цього Положення та внутрішніх документів надавача фінансових платіжних послуг з метою:

1) оцінювання якості роботи системи внутрішнього контролю за певний період часу;

2) визначення здатності системи внутрішнього контролю забезпечити досягнення цілей його діяльності, включаючи визначення ймовірності виникнення та оцінку суттєвості потенційно можливих недоліків системи внутрішнього контролю, що можуть спричинити негативний вплив на досягнення цілей;

3) розроблення заходів, спрямованих на мінімізацію негативного впливу, з метою вдосконалення системи внутрішнього контролю.

89. Надавач фінансових платіжних послуг обирає види заходів з моніторингу системи внутрішнього контролю, включаючи моніторинг ефективності процедур із контролю та оцінку ефективності системи внутрішнього контролю, як комбінацію поточних та періодичних заходів з моніторингу з урахуванням установлених цілей діяльності надавача фінансових платіжних послуг, характеру, обсягу та складності його операцій, кількості та складності видів контролю, ймовірності виникнення недоліків, а також кваліфікації та досвіду працівників надавача фінансових платіжних послуг.

90. Надавач фінансових платіжних послуг має право визначати у внутрішніх документах, крім суб’єктів третьої лінії захисту, також інших працівників надавача фінансових платіжних послуг, уповноважених здійснювати моніторинг ефективності внутрішнього контролю.

91. Заходами, дотримання яких свідчить про впровадження та функціонування моніторингу ефективності внутрішнього контролю як компонента системи внутрішнього контролю надавача фінансових платіжних послуг, є такі:

1) визначення у внутрішніх документах порядку здійснення поточних та періодичних перевірок відповідності законодавству України та внутрішнім документам, якості та ефективності системи внутрішнього контролю;

2) забезпечення належного здійснення уповноваженими суб’єктами внутрішнього контролю оцінювання компонентів системи внутрішнього контролю та своєчасного повідомлення керівників надавача фінансових платіжних послуг про виявлені недоліки системи внутрішнього контролю та/або допущені суб’єктами внутрішнього контролю порушення і причини їх вчинення, відповідальних за прийняття рішення про здійснення коригувальних заходів, усунення порушення та/або внесення змін до внутрішніх документів.

92. Суб’єкти третьої лінії захисту (підрозділ внутрішнього аудиту / внутрішній аудитор / головний внутрішній аудитор) зобов’язані здійснювати загальну оцінку ефективності системи внутрішнього контролю в межах виконання функції внутрішнього аудиту надавача фінансових платіжних послуг.

93. Надавач фінансових платіжних послуг здійснює обов’язкові поточні та періодичні заходи з моніторингу ефективності системи внутрішнього контролю.

Поточні заходи з моніторингу здійснюються з метою оперативного виявлення та усунення недоліків системи внутрішнього контролю. Відповідальність за проведення таких заходів можуть нести суб’єкти другої лінії захисту в межах повноважень.

Періодичні заходи з моніторингу / перевірки, включаючи оцінювання ефективності системи внутрішнього контролю, здійснюються суб’єктами третьої лінії захисту з метою виявлення недоліків після встановлення факту події.

94. Суб’єкти третьої лінії захисту (підрозділ внутрішнього аудиту / внутрішній аудитор / головний внутрішній аудитор) зобов’язані за результатами здійснення моніторингу / перевірки ефективності системи внутрішнього контролю складати звіти, що подаються на розгляд ради (якщо її немає, - на розгляд органу згідно з компетенцією, визначеною в статуті надавача фінансових платіжних послуг).

Звіти, що подаються раді або органу, визначеному статутом надавача фінансових платіжних послуг, повинні містити інформацію про виявлені недоліки системи внутрішнього контролю та порушення, аналіз причин їх виникнення, ймовірні наслідки, до яких можуть призвести ці недоліки, рекомендації / пропозиції щодо підвищення ефективності функціонування системи внутрішнього контролю, процес контролю за станом виконання рекомендацій / пропозицій, затверджених раніше.

95. Надавач фінансових платіжних послуг забезпечує подання звітів щодо результатів моніторингу ефективності системи внутрішнього контролю також працівникам, які відповідають за здійснення коригувальних заходів, та керівникам надавача фінансових платіжних послуг у межах визначених повноважень.

96. Надавач фінансових платіжних послуг зобов’язаний забезпечити ефективне виконання функції контролю за дотриманням норм (комплаєнс) у надавачі фінансових платіжних послуг відповідно до вимог цього Положення.

97. Підрозділ контролю за дотриманням норм (комплаєнс) надавача фінансових платіжних послуг забезпечує виконання ключової функції контролю за дотриманням норм (комплаєнс) надавача фінансових платіжних послуг щодо організації забезпечення відповідності діяльності надавача фінансових платіжних послуг вимогам законодавства України, внутрішнім документам надавача фінансових платіжних послуг, стандартам професійних об’єднань, дія яких поширюється на надавача фінансових платіжних послуг, оцінювання можливого впливу будь-яких змін, що вносяться до законодавства, на діяльність надавача фінансових платіжних послуг, а також визначення і оцінювання ризику недотримання норм та інших функцій, визначених цим Положенням.

98. Підрозділ контролю за дотриманням норм (комплаєнс) діє відповідно до вимог цього Положення та на підставі положення, що затверджується відповідальним органом, організаційно не залежить від інших підрозділів надавача фінансових платіжних послуг, не підпорядковується таким підрозділам і підпорядковується головному комплаєнс-менеджеру. Головний комплаєнс-менеджер діє відповідно до вимог цього Положення та на підставі положення, що затверджується відповідальним органом, організаційно не залежить від інших підрозділів надавача фінансових платіжних послуг, не підпорядковується таким підрозділам і підпорядковується відповідальному органу та звітує перед ним (ними).

99. Виконання підрозділом контролю за дотриманням норм (комплаєнс) у надавачі фінансових платіжних послуг функції контролю за дотриманням норм (комплаєнс) у надавачі фінансових платіжних послуг передбачає:

1) організацію контролю за дотриманням надавачем фінансових платіжних послуг норм законодавства України, внутрішніх документів надавача фінансових платіжних послуг і стандартів професійних об’єднань, дія яких поширюється на надавача фінансових платіжних послуг;

2) моніторинг змін у законодавстві України, стандартах професійних об’єднань, дія яких поширюється на надавача фінансових платіжних послуг, оцінку впливу таких змін на процеси та процедури, запроваджені в надавачі фінансових платіжних послуг, а також контроль за імплементацією відповідних змін у внутрішні документи надавача фінансових платіжних послуг;

3) контроль за комплаєнс-ризиком, що виникає у взаємовідносинах надавача фінансових платіжних послуг з користувачами та контрагентами;

4) управління ризиками, пов’язаними з конфліктом інтересів, та в разі виявлення будь-яких фактів, що свідчать про наявність конфлікту інтересів у надавача фінансових платіжних послуг, інформування ради / загальних зборів;

5) організацію контролю за дотриманням надавачем фінансових платіжних послуг норм щодо своєчасності подання та достовірності звітності, включаючи фінансову;

6) організацію контролю за захистом персональних даних відповідно до законодавства України;

7) надання роз’яснень, консультацій керівникам надавача фінансових платіжних послуг на їхні запити з питань контролю за дотриманням норм (комплаєнс);

8) своєчасне виявлення, вимірювання (оцінка), моніторинг, контроль, звітування і надання рекомендацій щодо пом’якшення комплаєнс-ризику;

9) контроль за дотриманням норм щодо визначення переліку пов’язаних осіб надавача фінансових платіжних послуг, підготовку висновків стосовно комплаєнс-ризику для ухвалення рішень щодо операцій з такими особами;

10) контроль за відповідністю процедур притягнення до дисциплінарної відповідальності працівників вимогам законодавства України;

11) підготовку та подання звіту щодо комплаєнс-ризику відповідальному органу або органу, визначеному статутом надавача фінансових платіжних послуг, комітету з управління ризиками з урахуванням вимог цього Положення;

12) розроблення внутрішніх документів з питань дотримання норм (комплаєнс);

13) проведення навчання, регулярних тренінгів для працівників надавача фінансових платіжних послуг, включаючи працівників, які займають посади з високою відповідальністю або залучені до діяльності з високим ризиком, щодо дотримання норм законодавства України, внутрішніх документів та стандартів професійних об’єднань, вимоги яких поширюються на надавача фінансових платіжних послуг, кодексу поведінки (етики);

14) інформування відповідального органу, комітету з управління ризиками та виконавчого органу щодо надмірних комплаєнс-ризиків, надання пропозицій відповідальному органу, комітету з управління ризиками та виконавчому органу щодо заходів пом’якшення впливу комплаєнс-ризиків, а також забезпечення координації роботи з питань управління комплаєнс-ризиками між структурними підрозділами та/або працівниками надавача фінансових платіжних послуг;