Відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України" , статті 67 Закону України "Про банки і банківську діяльність" , з метою зменшення ризиків, на які наражаються банки під час своєї діяльності, підвищення ефективності та стабільності діяльності банків, забезпечення захисту інтересів вкладників і кредиторів Правління Національного банку України

1. Затвердити Положення про організацію внутрішнього контролю в банках України (далі - Положення), що додається.

2. Банкам до 01 липня 2015 року привести внутрішні документи щодо організації системи внутрішнього контролю у відповідність до вимог Положення.

3. Департаменту нормативно-методологічного забезпечення банківського регулювання та нагляду (Іваненко Н.В.) довести зміст цієї постанови до відома структурних підрозділів центрального апарату, територіальних управлінь Національного банку України, а також банків України для використання в роботі.

4. Контроль за виконанням цієї постанови покласти на першого заступника Голови Національного банку України Писарука О.В.

5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування, крім пункту 1, який набирає чинності з 10 січня 2015 року.

1. Це Положення розроблене відповідно до Закону України "Про банки і банківську діяльність" з урахуванням документа Базельського комітету з банківського нагляду "Опорні положення оцінки систем внутрішнього контролю" та загальноприйнятих у міжнародній практиці принципів і стандартів, з метою підвищення рівня організації внутрішнього контролю в банках України та ефективності функціонування системи внутрішнього контролю, для забезпечення стабільності і безпечності діяльності банків та захисту інтересів вкладників і кредиторів.

2. Це Положення встановлює обов'язкові мінімальні вимоги щодо організації внутрішнього контролю в банку.

Банк може встановлювати інші додаткові вимоги до системи внутрішнього контролю, адекватні особливостям його діяльності, характеру та обсягам банківських, фінансових послуг та інших видів діяльності банку (далі - операції банку).

1. У цьому Положенні терміни вживаються в такому значенні:

внутрішні документи банку - положення, інструкції, методики, правила, розпорядження, рішення, накази, посадові інструкції, опис процедур та операційних процесів, інші документи, що регламентують діяльність банку, у тому числі порядок здійснення внутрішнього контролю в банку;

внутрішній контроль - заходи (процедури) банку, спрямовані на забезпечення ефективності та результативності здійснення операцій банку, ефективності управління активами і пасивами, ризиками, забезпечення повноти, своєчасності та достовірності ведення бухгалтерського обліку та складання і надання фінансової, статистичної, управлінської, податкової та іншої звітності, запобігання шахрайству, комплаєнс тощо;

інформаційна безпека - багаторівневий комплекс організаційних заходів банку, програмних і технічних засобів, що забезпечують захист інформації від випадкових і навмисних загроз, у результаті реалізації яких можливе порушення сервісів безпеки: доступності, цілісності, конфіденційності та спостережності;

комплаєнс - дотримання банком законодавчих актів, ринкових стандартів, а також стандартів та внутрішніх документів банку, у тому числі процедур;

комплаєнс-ризик - ризик юридичних санкцій, фінансових збитків або втрати репутації внаслідок невиконання банком законодавчих актів, ринкових стандартів, а також стандартів та внутрішніх документів банку, у тому числі процедур;

ризик - ймовірність того, що події, очікувані або неочікувані, матимуть негативний вплив на капітал та/або надходження банку. Основні види ризиків визначені нормативно-правовими актами Національного банку України;

система внутрішнього контролю - сукупність процедур, форм, способів і напрямів контролю, що забезпечує порядок здійснення і досягнення цілей внутрішнього контролю в банку;

управління ризиками - систематичний процес виявлення, ідентифікації, оцінки, моніторингу та контролю ризиків.

2. Інші терміни, що вживаються в цьому Положенні, застосовуються в значеннях, визначених законодавчими та нормативно-правовими актами України.

1. Банк має запровадити ефективну систему внутрішнього контролю з метою досягнення таких цілей:

1) ефективність проведення операцій банку, захист від потенційних помилок, порушень, втрат, збитків у діяльності банку;

2) ефективність управління ризиками;

3) адекватність, усебічність, повнота, надійність, доступність, своєчасність подання інформації користувачам для прийняття відповідних рішень, у тому числі подання фінансової, статистичної, управлінської, податкової та іншої звітності;

4) повнота, своєчасність та достовірність відображення в бухгалтерському обліку операцій банку;

5) комплаєнс;

6) ефективність управління персоналом;

7) недопущення використання послуг банку в протиправних цілях, виявлення і запобігання проведенню фінансових операцій, пов'язаних з легалізацією (відмиванням) доходів, одержаних злочинним шляхом, або фінансуванню тероризму.

2. Банк забезпечує функціонування системи внутрішнього контролю шляхом:

1) контролю керівництва банку за дотриманням законодавства України та внутрішніх процедур банку;

2) розподілу обов'язків під час здійснення діяльності банку;

3) контролю за функціонуванням системи управління ризиками;

4) контролю за інформаційною безпекою та обміном інформацією;

5) упровадження процедур внутрішнього контролю;

6) проведення моніторингу системи внутрішнього контролю;

7) упровадження процедур внутрішнього аудиту.

3. Банк під час організації системи внутрішнього контролю має враховувати:

1) розмір банку (обсяг загальних активів, коштів юридичних та фізичних осіб тощо);

2) види та обсяг операцій банку;

3) ризики, що виникають під час діяльності банку;

4) рівень централізації управління та діяльності банку;

5) рівень упровадження інформаційних технологій та сферу їх використання.

4. Суб'єктами системи внутрішнього контролю банку є:

1) рада банку;

2) правління банку;

3) підрозділ внутрішнього аудиту;

4) головний бухгалтер і його заступники;

5) керівники і головні бухгалтери відокремлених підрозділів;

6) підрозділ з управління ризиками;

7) підрозділ, що забезпечує комплаєнс;

8) керівники підрозділів і працівники, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішніми документами банку.

5. Банк має розробити внутрішні документи з питань організації системи внутрішнього контролю, які підлягають затвердженню радою банку.

6. Мінімальний перелік внутрішніх документів щодо організаційної структури банку та опису процесів його діяльності і вимоги до їх змісту зазначені в розділі IV цього Положення.

7. Організація системи внутрішнього контролю має відповідати таким принципам:

1) дієвість та ефективність - організація постійного процесу внутрішнього контролю, інтегрованого в поточну діяльність банку та зрозумілого на всіх рівнях персоналу банку;

2) розподіл обов'язків - забезпечення уникнення ситуації, за якої одна особа здійснює повний контроль над функцією чи видом діяльності банку (відокремлення функції контролю від здійснення операцій банку);

3) усебічність - охоплення всіх видів діяльності банку та всіх його підрозділів;

4) своєчасність - створення системи внутрішнього контролю, яка надає можливість отримати інформацію про загрозу виникнення втрат банку раніше, ніж такі втрати будуть понесені;

5) незалежність - відокремлення функції оцінки ефективності системи внутрішнього контролю від функцій її організації і здійснення;

6) конфіденційність - недопущення розголошення інформації особам, у яких немає повноваження щодо її отримання.

8. Функціонування системи внутрішнього контролю має забезпечувати:

1) чіткий розподіл обов'язків, повноважень та відповідальності між органами управління банку, між його структурними підрозділами, між працівниками банку з метою уникнення їх дублювання;

2) подвійний контроль, який полягає в дотриманні правила "двох рук" під час здійснення операцій банку та відповідно до якого здійснення та облік операцій не може належати до повноважень однієї особи. За наявності відповідного програмного забезпечення з належними рівнями контролю окремі операції банку можуть виконуватися від їх ініціювання до відображення в обліку та/або звітності однією особою за умови здійснення подальшого контролю за цими операціями;

3) проведення ретельного та всебічного аналізу операцій банку до початку, а також після їх здійснення з метою запобігання несанкціонованим операціям або таким, що проводяться з порушенням вимог відповідного технологічного процесу;

4) організацію операційної діяльності банку та облік операцій відповідно до нормативно-правових актів Національного банку України;

5) виконання вимог щодо організації захисту інформації в програмно-технічних комплексах згідно з нормативно-правовими актами Національного банку України;

6) упровадження та функціонування системи управління інформаційною безпекою відповідно до стандартів Національного банку України з питань інформаційної безпеки;

7) захист від навмисних і ненавмисних дій персоналу;

8) підвищення кваліфікаційного рівня персоналу.

9. Система внутрішнього контролю має охоплювати всі етапи його діяльності та включати:

1) попередній контроль, який проводиться до фактичного здійснення операцій банку та забезпечується в таких частинах:

підбору персоналу - шляхом ретельного аналізу ділових і професійних якостей кандидатів на вакантні посади, підвищення професійного рівня і кваліфікації працівників;

залучення і розміщення грошових коштів - шляхом попереднього аналізу ризиковості та ефективності операцій банку, визначення оптимальних засобів і методів для їх виконання з метою уникнення або мінімізації можливих втрат та ризиків;

матеріальних ресурсів - шляхом аналізу якості та рівня забезпеченості банку необхідними технічними засобами, обладнанням, системами автоматизації банківської діяльності з використанням сучасних інформаційних технологій, що відповідають обсягу та складності здійснюваних ним операцій;

вибору постачальників товарів, робіт та послуг - шляхом ретельного аналізу ділової репутації та рівня професіоналізму працівників, дотримання принципу диверсифікації під час вибору постачальників та недопущення концентрації обсягів замовлень на адресу одного постачальника;

розроблення та запровадження нових продуктів - шляхом попереднього аналізу ризиковості та ефективності продукту/послуги, що планується запровадити;

2) поточний контроль, який проводиться під час здійснення операцій банку і включає контроль за дотриманням законодавчих актів та внутрішніх документів банку щодо здійснення цих операцій, порядку прийняття рішень про їх здійснення, контроль за повним, своєчасним і достовірним відображенням операцій у бухгалтерському обліку та звітності, контроль за збереженням майна банку;

3) подальший контроль, який проводиться після здійснення операцій банку та полягає в перевірці обґрунтованості і правильності здійснення операцій, відповідності документів установленим формам і вимогам щодо їх оформлення, відповідності виконуваних працівниками обов'язків їх посадовим інструкціям, виявленні причин порушень і недоліків та визначенні заходів щодо їх усунення, контролі за виконанням планових показників діяльності, визначених у стратегії розвитку банку, його бізнес-планах та бюджеті, перевірці повноти і достовірності даних фінансової, статистичної, управлінської, податкової та іншої звітності, сформованої банком.

1. Внутрішні документи банку щодо організаційної структури, зокрема, мають містити:

1) організаційну структуру банку;

2) персональний розподіл функцій і повноважень членів правління банку;

3) розподіл обов'язків між підрозділами та працівниками банку;

4) порядок і терміни зберігання (архівації) документів;

5) документи, розроблення яких передбачено стандартами Національного банку України з управління інформаційною безпекою в банківській системі України, уключаючи порядок захисту від несанкціонованого доступу і розповсюдження конфіденційної інформації, а також від використання конфіденційної інформації в особистих цілях, плану відновлення діяльності банку.

2. Внутрішні документи банку щодо опису процесів діяльності мають містити детальний опис усіх операцій банку і управлінських процедур, здійснюваних банком, наведених у схематичному та/або текстовому вигляді, та, зокрема, визначати:

1) послідовність здійснення описуваних процесів діяльності банку, зв'язок між окремими процесами;

2) строки поетапного здійснення процесів діяльності банку;

3) кінцеві результати процесів діяльності банку (документи, операції, певні види інформації тощо);

4) основні критерії щодо визначення переліку процесів банку відповідно до напрямів діяльності, наприклад, процесів управління (корпоративне управління, стратегічний менеджмент тощо), основних процесів [кредитні, вкладні (депозитні) операції, корпоративні фінанси, управління рахунками тощо], забезпечувальних процесів (кадрові, фінансові, матеріальні, інформаційні ресурси, бухгалтерський облік тощо);

5) принципи побудови описів процесів, наприклад, забезпечення інтеграції і узгодження дій керівництва, результативності і ефективності діяльності банку, підвищення рівня мотивації працівників, поліпшення якості і прогнозованості результатів роботи тощо;

6) підходи до вибору методики опису процесів, наприклад, вибір виду опису (графічний у вигляді схем та/або текстовий), можливість вибору застосування одночасно обох видів чи визначення лише одного виду опису процесів;

7) етапи реалізації процесів банків, наприклад, розроблення опису процесу (визначення споживачів кожного процесу, ідентифікація їх вимог та повнота зазначення таких вимог у процесі, установлення взаємодії цього процесу з рештою процесів банків, установлення повноважень і відповідальності за управління процесом, визначення ресурсного забезпечення процесу, результати процесу); підтримання процесу в актуальному стані; умови удосконалення процесів тощо.

3. Внутрішні документи банку щодо управління персоналом, зокрема, мають містити:

1) порядок прийняття на роботу, переведення/переміщення, суміщення посад, призначення тимчасово виконуючих обов'язки працівників, оформлення відряджень, звільнення працівників;

2) порядок оплати праці, заохочення та застосування дисциплінарного стягнення до працівників;

3) порядок оцінки якості виконання працівниками покладених на них обов'язків;

4) порядок навчання персоналу, підвищення кваліфікації працівників;

5) порядок просування по службі, формування кадрового резерву;

6) порядок надання відпусток;

7) правила корпоративної етики, культури, комунікації, ділової репутації працівників, вимоги до поведінки на робочому місці і поза ним;

8) порядок інформування працівників банку про ризики, пов'язані з виконанням ними своїх службових обов'язків, їх ролі в системі внутрішнього контролю банку;

9) правила внутрішнього розпорядку, режиму роботи, табельного обліку використання робочого часу;

10) порядок формування штатного розпису;

11) порядок поширення персональних даних працівників;

12) порядок організації охорони праці;

13) порядок ведення кадрової документації (уніфікованих форм кадрових документів, особових справ, трудових книжок тощо).

4. Внутрішні документи банку щодо проведення кредитних операцій, зокрема, мають містити:

1) опис цільових ринків банку, кредитних продуктів;

2) основні критерії, яким повинні відповідати клієнти банку для отримання кредитів;

3) порядок та умови оплати за користування кредитом, визначення сукупної вартості кредитів і справедливої вартості кредитних операцій;

4) порядок прийняття рішень про надання кредитів;

5) склад і кількість членів кредитного комітету, їх повноваження і обов'язки;

6) порядок оформлення договірних відносин, визначення осіб, які мають право підписувати від імені банку кредитні договори, договори застави, гарантії, поруки тощо;

7) перелік документів та інформації щодо порядку формування та умов зберігання кредитної справи;

8) опис операційних процесів та підпроцесів надання і супроводження кредитів;

9) порядок забезпечення кредитів, який, зокрема, уключає:

прийнятні види забезпечення;

установлені коефіцієнти співвідношення забезпечення до розміру кредиту в розрізі видів кредитних продуктів і типів забезпечення;

вимоги до документального оформлення забезпечення (нотаріальне засвідчення договорів, страхування предмета застави на користь банку, реєстрація забезпечення в державних реєстрах тощо);

моніторинг застави та періодичність здійснення переоцінки забезпечення;

вимоги до працівників банку, які здійснюють оцінку застави, порядок роботи з незалежними оцінювачами;

10) інформацію про моніторинг кредитів, його напрями:

оцінка фінансового стану позичальників (поручителів, гарантів) з визначенням відповідних термінів її здійснення та переліку документів, на підставі яких вона здійснюватиметься;

виконання позичальниками (поручителями, гарантами) зобов'язань за укладеними договорами;

цільове використання кредитів, реалізація бізнес-планів щодо використання кредитних коштів;

11) механізм повернення кредитів;

12) порядок роботи з проблемною заборгованістю;

13) опис форми (бюлетень, довідка, повідомлення тощо) надання споживачу достовірної інформації про умови кредитування та орієнтовну сукупну вартість споживчого кредиту, оформлену відповідно до вимог законодавства України;

14) опис процедур щодо роботи з позичальниками, які потрапили / можуть потрапити в скрутне фінансове становище;

15) порядок класифікації кредитів і формування резервів за кредитними операціями банку;

16) порядок обмеження з концентрації кредитів, принципи диверсифікації кредитного портфеля;

17) підстави надання незабезпечених кредитів;

18) принципи і обмеження щодо кредитування осіб, пов'язаних з банком;

19) порядок управління якістю кредитного портфеля, кредитним ризиком, у тому числі з урахуванням стрес-сценаріїв;

20) порядок дій банку щодо передавання інформації, що містить банківську таємницю, третім особам, у тому числі особам, з якими укладено договори про отримання послуг щодо повернення боржниками простроченої (проблемної) заборгованості за отриманими ними кредитами;

21) опис форм звітів про кредитні операції і періодичність подання їх органам управління банку.

5. Внутрішні документи банку щодо інвестиційної діяльності, зокрема, мають містити:

1) опис цілей інвестиційної діяльності, порядок прийняття рішень про здійснення інвестицій;

2) принципи диверсифікації інвестицій за типами інвестиційних інструментів, емітентами цінних паперів, галузями економіки, країнами;

3) умови та підстави віднесення цінного папера до відповідного портфеля з урахуванням наміру його придбання і можливості утримання;

4) порядок комплексного аналізу фінансового стану емітента, визначення класу емітента, ризику цінного папера;

5) опис обраних банком методів визначення справедливої вартості відповідних цінних паперів, методів розрахунку суми очікуваного відшкодування за цінними паперами в портфелях банку на продаж і до погашення, у тому числі критерії оцінки майбутніх грошових потоків;

6) визначення джерел інформації щодо обігу відповідного цінного папера на фондовому ринку, рейтингових агентств, які мають бути незалежними від банку та не мати з банком конфлікту інтересів;

7) опис інвестиційних обмежень залежно від рейтингової оцінки емітента або цінних паперів емітента;

8) розрахунок прибутковості інвестицій, резервів під операції з цінними паперами;

9) стратегію здійснення операцій з похідними фінансовими інструментами;

10) порядок і критерії оцінки зменшення корисності за інвестиціями в асоційовані та дочірні компанії;

11) установлені ліміти за операціями, що укладаються працівниками, які мають право на укладення інвестиційних угод;

12) порядок управління якістю інвестиційного портфеля, у тому числі з урахуванням стрес-сценаріїв;

13) опис операційних процесів та підпроцесів здійснення інвестиційної діяльності;

14) опис форм звітів про інвестиційну діяльність і періодичність подання їх органам управління банку.

6. Внутрішні документи банку щодо управління ліквідністю, зокрема, мають містити:

1) склад, порядок призначення, повноваження та обов'язки членів комітету з управління активами і пасивами банку;

2) порядок щоденного управління ліквідністю банку;

3) вимоги до диверсифікації активів і пасивів банку за видами валют, сумами і строками погашення;

4) ліміти невідповідностей між строками погашення активів і пасивів, прогнози грошових потоків;

5) визначення розмірів процентних ставок за активами і пасивами банку, обмеження розміру процентних ставок, ураховуючи ризик зміни процентних ставок;

6) порядок визначення рівня процентної маржі;

7) принципи координації робіт підрозділів, які можуть своїми діями впливати на рівень ліквідності банку;

8) оцінку доступності ринку, ринкові прогнози та варіанти фінансування;

9) аналіз стану ліквідності та управління ризиком ліквідності, у тому числі з урахуванням стрес-сценаріїв;

10) антикризові плани та плани дій щодо підтримання ліквідності на випадок непередбачених обставин;

11) опис форм звітів щодо управління ліквідністю і періодичність подання їх органам управління банку.

7. Внутрішні документи банку щодо проведення вкладних (депозитних) операцій, зокрема, мають містити:

1) порядок залучення грошових коштів і банківських металів на поточні та вкладні (депозитні) рахунки клієнтів;

2) принципи диверсифікації депозитного портфеля;

3) умови про види та строки вкладів (депозитів);

4) порядок визначення розміру процентних ставок, умови нарахування та сплати процентів, визначення справедливої вартості вкладних (депозитних) операцій;

5) порядок договірного регулювання вкладних (депозитних) операцій, визначення осіб, які уповноважені підписувати договори банківського вкладу (депозиту) від імені банку;

6) порядок повернення банком вкладів (депозитів);

7) порядок випуску, розміщення і погашення ощадних (депозитних) сертифікатів, порядок обліку, зберігання та знищення бланків ощадних (депозитних) сертифікатів;

8) порядок оприлюднення банком у загальнодоступному для клієнтів місці інформації для вкладників - фізичних осіб та вимоги до змісту розкриття інформації про захист прав споживачів;