Відповідно до статей 7, 15, 55-1, 56 Закону України "Про Національний банк України", статей 14, 18, 21, 24, 41, 44 Закону України "Про фінансові послуги та фінансові компанії", статті 28 Закону України "Про страхування", статті 25 Закону України "Про кредитні спілки", з метою встановлення вимог до системи корпоративного управління та системи внутрішнього контролю фінансових компаній, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, та приведення деяких нормативно-правових актів Національного банку України у відповідність до вимог законодавства України Правління Національного банку України постановляє:

1. Затвердити Положення про вимоги до системи корпоративного управління та системи внутрішнього контролю фінансової компанії (далі - Положення), що додається.

2. Затвердити Зміни до:

1) Положення про регулювання діяльності фінансових компаній, які мають право здійснювати діяльність з надання гарантій, затвердженого постановою Правління Національного банку України від 27 грудня 2023 року № 191, що додаються;

2) Положення про вимоги до системи управління страховика, затвердженого постановою Правління Національного банку України від 27 грудня 2023 року № 194 (зі змінами), що додаються;

3) Положення про вимоги до системи управління кредитною спілкою, затвердженого постановою Правління Національного банку України від 02 лютого 2024 року № 15 (зі змінами), що додаються.

3. Фінансовим компаніям привести свою діяльність у відповідність до вимог Положення у строк до 30 квітня 2025 року.

4. Департаменту методології регулювання діяльності небанківських фінансових установ (Сергій Савчук) довести до відома фінансових компаній, страховиків, кредитних спілок інформацію про прийняття цієї постанови.

5. Постанова набирає чинності з 01 січня 2025 року.

1. Це Положення розроблено відповідно до Законів України "Про Національний банк України", "Про фінансові послуги та фінансові компанії" (далі - Закон про фінансові послуги), з метою забезпечення фінансової стійкості фінансових компаній, що мають право здійснювати діяльність із надання одного або кількох із таких видів фінансових послуг: надання коштів та банківських металів у кредит, фінансового лізингу, факторингу, надання гарантій (далі - фінансова компанія).

2. Це Положення встановлює вимоги до системи корпоративного управління та системи внутрішнього контролю фінансової компанії.

3. Терміни в цьому Положенні вживаються в такому значенні:

1) бізнес-процес - сукупність взаємопов’язаних або взаємозалежних видів діяльності, спрямованих на створення певного продукту або послуги;

2) валютний ризик - ризик, пов’язаний з чутливістю вартості активів та зобов’язань фінансової компанії до зміни рівня або коливання курсів валют;

3) виконавчий орган фінансової компанії - колегіальний або одноосібний виконавчий орган фінансової компанії;

4) вимірювання (оцінка) ризиків - процес порівняння результатів аналізу ризиків з установленим у документах із планування діяльності та/або в документі / документах з організації системи внутрішнього контролю рівнем схильності до ризиків та прийнятним рівнем ризику з метою прийняття рішень щодо застосування методів управління ризиками;

5) відповідальний орган фінансової компанії - наглядова рада фінансової компанії (за наявності), загальні збори учасників (акціонерів) фінансової компанії;

6) відповідальний працівник - працівник фінансової компанії, на якого покладено виконання окремих функцій у межах забезпечення функціонування системи внутрішнього контролю;

7) внутрішні документи - документи, затверджені органом управління фінансової компанії в межах його компетенції, включаючи політику за окремими напрямами діяльності, положення, інструкції, методики, правила, стратегії, розпорядження, рішення, накази або документи, розроблені в іншій формі, з урахуванням вимог законодавства України;

8) декларація схильності до ризиків - внутрішній документ, який визначає сукупну величину ризик-апетиту, види ризиків, які фінансова компанія прийматиме або уникатиме з метою досягнення своїх цілей, та рівень ризик-апетиту щодо кожного з таких ризиків (індивідуальний рівень);

9) документи з планування діяльності - план діяльності або документи, що містять загальний опис бачення започаткування, організації та подальшого розвитку бізнесу фінансової компанії;

10) допустимий рівень ризику - максимальна величина ризику, яку фінансова компанія в змозі прийняти за всіма видами ризиків з огляду на здатність адекватно та ефективно управляти ризиками, а також з урахуванням обмежень, установлених законодавством України;

11) ключові особи - особи, які відповідальні за виконання ключових функцій у фінансовій компанії, та які виконують ключові функції у фінансовій компанії:

внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);

головний комплаєнс-менеджер [керівник структурного підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу];

головний ризик-менеджер (керівник підрозділу з управління ризиками або особа, на яку покладена функція такого підрозділу);

12) комплаєнс-ризик - ризик виникнення збитків та/або санкцій, додаткових втрат або недоотримання запланованих доходів або втрати репутації внаслідок невідповідності діяльності фінансової компанії вимогам законодавства України та/або іншим вимогам (правилам, стандартам, принципам) щодо здійснення такої діяльності, яких зобов’язана дотримуватися або прийняла рішення дотримуватися фінансова компанія, правил добросовісної конкуренції, кодексу поведінки (етики), запобіганню конфліктам інтересів, а також внутрішніх документів фінансової компанії / внутрішньогрупових документів фінансової компанії;

13) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником / контрагентом узятих на себе зобов’язань відповідно до умов договору;

14) культура управління ризиками - дотримання визначених фінансовою компанією принципів, правил, норм фінансової компанії, спрямованих на поінформованість усіх працівників фінансової компанії щодо прийняття ризиків та управління ризиками;

15) ліміт ризику - обмеження, установлені фінансовою компанією для контролю за величиною ризиків, на які наражається фінансова компанія у своїй діяльності;

16) моніторинг ризику - процес систематичного нагляду за ризиками, за системою і процесом контролю та управління ризиками з метою виявлення відхилень від їх прийнятного рівня та/чи ефективності управління ризиками;

17) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок недоліків чи помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників фінансової компанії або інших осіб, збоїв у роботі систем фінансової компанії або внаслідок впливу зовнішніх негативних факторів;

18) орган управління фінансової компанії - відповідальний орган фінансової компанії та/або виконавчий орган фінансової компанії;

19) передавання ризику - передавання фінансовою компанією своєї відповідальності за ризик третім особам за винагороду зі збереженням наявного рівня ризику;

20) підрозділ контролю - підрозділ / особа, який / яка здійснює об’єктивну та незалежну оцінку діяльності фінансової компанії, забезпечує достовірність звітування [підрозділ з управління ризиками (особа, на яку покладена функція такого підрозділу), підрозділ з контролю за дотриманням норм (комплаєнс) (особа, на яку покладена функція такого підрозділу), внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту)];

21) ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання доходів, або невиконання стороною договірних зобов’язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;

22) ризик-апетит - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначених наперед та в межах допустимого рівня ризику, щодо яких наявне рішення про доцільність / необхідність їх утримання з метою виконання цілей, установлених документами з планування діяльності фінансової компанії;

23) ризик ліквідності - імовірність виникнення збитків або додаткових втрат унаслідок неспроможності забезпечувати виконання своїх зобов’язань у належні строки через брак достатнього обсягу ліквідних активів;

24) система стримувань та противаг - розподіл повноважень між відповідальним органом та виконавчим органом фінансової компанії та/або підрозділами фінансової компанії, який забезпечує підконтрольність, а також унеможливлює (упереджує) можливість прийняття органом управління фінансової компанії рішень, що можуть призвести до негативних наслідків у її діяльності;

25) служба внутрішнього аудиту - внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);

26) технічний збій або інші невідворотні обставини - неспроможність фінансової компанії своєчасно та ефективно надавати фінансові послуги протягом 12 годин поспіль з моменту настання технічного збою або інших невідворотних обставин, що призвело до порушення фінансовою компанією вимог законодавства України [крім випадків настання технічного збою або інших невідворотних обставин, порядок повідомлення про настання яких, установлені Положенням про порядок повідомлення надавачами фінансових або супровідних послуг про настання технічного збою або інших невідворотних обставин, затвердженим постановою Правління Національного банку України від 14 березня 2024 року № 29 (далі - Постанова № 29)].

Інші терміни в цьому Положенні вживаються в значеннях, наведених у Законі про фінансові послуги та інших законодавчих актах України з питань регулювання ринків фінансових послуг.

4. Системи корпоративного управління та внутрішнього контролю фінансової компанії повинні відповідати вимогам, визначеним Законом про фінансові послуги, іншими законами України, цим Положенням та іншими нормативно-правовими актами Національного банку (далі - законодавство України). Фінансова компанія зобов’язана організувати та постійно забезпечувати належне функціонування систем корпоративного управління і внутрішнього контролю з урахуванням особливостей виду діяльності, характеру і видів послуг, які вона надає, ризиків, притаманних такій діяльності, а також особливостей, установлених Законами України "Про товариства з обмеженою та додатковою відповідальністю", "Про акціонерні товариства", "Про господарські товариства", іншими законами з питань регулювання діяльності господарських товариств та юридичних осіб інших організаційно-правових форм, відповідно до того, у якій організаційно-правовій формі вона створена.

5. Фінансова компанія в документах з планування діяльності та/або в документі / документах з організації системи внутрішнього контролю має право встановити спрямування на сталий розвиток та забезпечення підтримки належних знань керівників фінансової компанії з екологічних, соціальних і управлінських питань.

Фінансова компанія має право включати оцінку впливу екологічних, соціальних та управлінських факторів на довгострокову стійкість, шляхів мінімізації негативного впливу цих ризиків на діяльність фінансової компанії в загальну систему управління ризиками.

6. Фінансова компанія зобов’язана організувати та постійно забезпечувати систему корпоративного управління, яка відповідає встановленим законодавством України вимогам, з метою забезпечення фінансової стійкості, шляхом прийняття органом управління фінансової компанії узгоджених рішень, підвищення відповідальності, уникнення конфлікту інтересів, забезпечення розкриття інформації, її прозорості та дотримання фінансовою компанією вимог законодавства України.

7. Фінансова компанія організовує та забезпечує функціонування системи корпоративного управління з урахуванням особливостей виду своєї діяльності, характеру і переліку послуг, які вона надає, ризиків, притаманних такій діяльності, особливостей, установлених у пункті 4 глави 2 розділу I цього Положення.

Фінансова компанія, у статутному капіталі якої 50 і більше відсотків акцій (часток) належать державі, організовує та забезпечує функціонування системи корпоративного управління з урахуванням вимог цього Положення, Цивільного кодексу України, Законів України "Про управління об’єктами державної власності", "Про Кабінет Міністрів України", "Про санкції", " Про аудит фінансової звітності та аудиторську діяльність", а також особливостей, установлених у пункті 4 глави 2 розділу I цього Положення.

8. Фінансова компанія організовує систему корпоративного управління, що забезпечує відносини між учасниками, органами управління фінансової компанії та іншими заінтересованими особами, визначає спосіб розподілу повноважень і відповідальності між органами управління, а також порядок і способи прийняття ними рішень, що має унеможливлювати (запобігати) прийняття ними рішень, які можуть призвести до негативних наслідків у її діяльності, що забезпечується шляхом:

1) чіткого, узгодженого, виконуваного, актуального та задокументованого розподілу обов’язків, функцій, повноважень та відповідальності між учасниками, органами управління фінансової компанії та іншими заінтересованими особами в системі корпоративного управління. Такий розподіл уключає обов’язки, функції та повноваження органу управління, комітетів (включаючи ті, утворення яких є обов’язковим згідно із законодавством України), ключових осіб, осіб, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі корпоративного управління та структурних / відокремлених підрозділів фінансової компанії, підрозділів контролю, та забезпечує підконтрольність:

внутрішнього аудитора / головного внутрішнього аудитора (штатного працівника, на якого покладена функція проведення внутрішнього аудиту, керівника структурного підрозділу, відповідального за проведення внутрішнього аудиту) відповідальному органу фінансової компанії;

головного комплаєнс-менеджера [керівника підрозділу контролю за дотриманням норм (комплаєнс) або особи, на яку покладена функція такого підрозділу] відповідальному органу фінансової компанії;

головного ризик-менеджера (керівника підрозділу з управління ризиками або особи, на яку покладено функцію такого підрозділу) відповідальному органу фінансової компанії;

2) визначення правил та процедур прийняття рішень включно з делегуванням повноважень;

3) виконання функції ключовими особами, які мають можливість приділяти достатньо часу та достатню кваліфікацію для виконання покладених на них обов’язків, а також у яких відсутній конфлікт інтересів, пов’язаний з виконанням таких обов’язків.

9. Фінансова компанія, яка входить до визнаної Національним банком фінансової групи, до учасників якої законодавством України встановлені вимоги, відмінні від визначених цим Положенням, керується вимогами до системи корпоративного управління фінансової групи, що не суперечать вимогам цього Положення.

Орган управління та ключові особи фінансової компанії, яка є відповідальною особою небанківської фінансової групи, зобов’язані забезпечувати запровадження комплексної, адекватної, ефективної системи корпоративного управління небанківської фінансової групи відповідно до функцій, обов’язків та повноважень органу управління та ключових осіб фінансової компанії, визначених цим Положенням та Положенням про порядок нагляду на консолідованій основі за небанківськими фінансовими групами, затвердженим постановою Правління Національного банку України від 29 грудня 2023 року № 202 (зі змінами).

10. Внутрішні документи фінансової компанії щодо системи корпоративного управління мають відповідати вимогам законодавства України.

11. Фінансова компанія має право об’єднувати окремі внутрішні документи щодо системи корпоративного управління в один або кілька документів з дотриманням вимог законодавства України. Внутрішнім документом / внутрішніми документами щодо системи корпоративного управління фінансової компанії має бути визначено:

1) порядок утворення, регламент діяльності та межі відповідальності органу управління фінансової компанії;

2) розподіл обов’язків, функцій, повноважень та відповідальності між членами органу управління фінансової компанії з урахуванням запобігання конфлікту інтересів;

3) порядок утворення, функціонування та повноваження комітетів (за наявності), створених органом управління фінансової компанії;

4) організаційну структуру, що забезпечує ефективне функціонування системи корпоративного управління фінансової компанії;

5) порядок з урегулювання питань, пов’язаних із керівництвом поточною діяльністю фінансової компанії;

6) порядок виконання заходів за результатами контрольної діяльності в межах системи внутрішнього контролю.

Розпорядчим актом Президента України / органу державної влади / органу влади Автономної Республіки Крим або органу місцевого самоврядування, відповідно до якого створена фінансова установа, у статутному капіталі якої 50 і більше відсотків акцій (часток) належать державі, може бути розширено перелік інформації, що підлягає визначенню у внутрішньому документі / внутрішніх документах фінансової компанії - юридичної особи публічного права щодо системи корпоративного управління.

Фінансова компанія має право самостійно розширити перелік інформації, що підлягає врегулюванню у внутрішньому документі / внутрішніх документах фінансової компанії щодо системи корпоративного управління, що не суперечить вимогам цього Положення.

12. Фінансова компанія зобов’язана організувати комплексну, адекватну та ефективну систему внутрішнього контролю шляхом запровадження заходів із внутрішнього аудиту, управління ризиками, контролю за дотриманням норм (комплаєнс) та інших елементів, а також політики, правил і заходів, які забезпечують функціонування, взаємозв’язок та підтримку таких заходів та елементів і спрямовані на досягнення визначеної мети (місії), цілей, завдань, планів і вимог до діяльності фінансової компанії, установлених документами з планування діяльності фінансової компанії.

Фінансова компанія, яка входить до визнаної Національним банком фінансової групи, до учасників якої законодавством України встановлені вимоги, відмінні від визначених цим Положенням, керується вимогами до організації системи внутрішнього контролю фінансової групи, що не суперечать вимогам цього Положення.

Розпорядчим актом Президента України / органу державної влади / органу влади Автономної Республіки Крим або органу місцевого самоврядування, відповідно до якого створена фінансова установа, у статутному капіталі якої 50 і більше відсотків акцій (часток) належать державі, може бути встановлено додаткові до визначених цим Положенням вимоги до організації системи внутрішнього контролю фінансової компанії - юридичної особи публічного права.

Фінансова компанія має право самостійно встановити додаткові до визначених цим Положенням вимоги до організації системи внутрішнього контролю фінансової компанії.

13. Система внутрішнього контролю фінансової компанії має забезпечувати:

1) виконання функцій управління ризиками, контролю за дотриманням норм (комплаєнс) та внутрішнього аудиту з урахуванням особливостей, установлених у пункті 4 глави 2 розділу I цього Положення;

2) досягнення операційних, інформаційних, комплаєнс-цілей діяльності фінансової компанії, визначених в її внутрішньому документі / внутрішніх документах, включаючи документи з планування діяльності фінансової компанії.

14. Операційні цілі діяльності фінансової компанії мають передбачати:

1) забезпечення спрямованості процедур контролю на ефективність управління активами, зобов’язаннями та позабалансовими позиціями фінансової компанії з метою досягнення фінансовою компанією цілей, установлених документами з планування діяльності, уникаючи або обмежуючи втрати внаслідок впливу негативних внутрішніх та зовнішніх факторів;

2) здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом’якшення ризиків фінансової компанії на всіх її організаційних рівнях.

15. Інформаційні цілі діяльності фінансової компанії мають передбачати:

1) забезпечення цілісності, повноти та достовірності фінансової, управлінської та іншої інформації, що використовується для ухвалення управлінських рішень;

2) створення інформаційних потоків як за вертикаллю, так і за горизонталлю організаційної структури фінансової компанії.

16. Комплаєнс-цілі діяльності фінансової компанії мають передбачати забезпечення організації діяльності фінансової компанії з метою виявлення та запобігання ризикам, які можуть виникати під час здійснення зазначеною особою діяльності, передбаченої законом, унаслідок невідповідності такої діяльності вимогам законодавства України та/або іншим вимогам (правилам, стандартам, принципам) щодо здійснення такої діяльності.

17. Фінансова компанія має право у внутрішньому документі / внутрішніх документах визначати додаткові цілі системи внутрішнього контролю.

18. Система внутрішнього контролю фінансової компанії має включати такі компоненти:

1) контрольне середовище, вимоги до якого встановлені вглаві 7 розділу III цього Положення;

2) систему управління ризиками, вимоги до якої встановлені вглавах 8-13 розділу IV цього Положення;

3) вимоги до аудиту, установлені в главах 14, 15 розділу V цього Положення;

4) контрольну діяльність та контрольні заходи, вимоги до яких установлені в главах 16, 17 розділу VI цього Положення;

5) контроль за інформаційними потоками та комунікаціями, вимоги до якого встановлені в главі 18 розділу VI цього Положення;

6) моніторинг ефективності системи внутрішнього контролю, вимоги до якого встановлені в главі 19 розділу VI цього Положення.

19. Фінансова компанія визначає у внутрішньому документі / внутрішніх документах опис кожного із компонентів системи внутрішнього контролю, визначених у пункті 18 глави 6 розділу III цього Положення.

20. Фінансова компанія для належного функціонування системи внутрішнього контролю зобов’язана забезпечити:

1) прийняття внутрішнього документа / внутрішніх документів із питань організації та забезпечення функціонування системи внутрішнього контролю із дотриманням вимог цього Положення та законодавства України;

2) побудову відповідної організаційної структури фінансової компанії;

3) упровадження компонентів системи внутрішнього контролю;

4) наявність затвердженого порядку заміни / покладення обов’язку на час тимчасової відсутності, призначення / звільнення / припинення повноважень осіб, на яких покладено виконання функцій внутрішнього контролю.

Фінансова компанія зобов’язана після запровадження системи внутрішнього контролю забезпечувати її постійне та ефективне функціонування.

Фінансова компанія зобов’язана надавати на вимогу Національного банку всю інформацію та документи, потрібні для здійснення Національним банком нагляду за дотриманням фінансовою компанією вимог щодо функціонування системи внутрішнього контролю.

21. Суб’єктами внутрішнього контролю фінансової компанії є:

1) відповідальний орган фінансової компанії та його комітети (у разі створення);

2) виконавчий орган фінансової компанії та його комітети (у разі створення);

3) підрозділи / працівники, безпосередньо залучені до процесу надання послуг (бізнес-підрозділи) та підрозділи підтримки діяльності фінансової компанії;

4) підрозділ / особа, на яку покладена функція з управління ризиками;

5) підрозділ / особа, на яку покладена функція контролю за дотриманням норм (комплаєнс);

6) служба внутрішнього аудиту.

22. Компонент "контрольне середовище" складається з методологічних та організаційних заходів для функціонування системи внутрішнього контролю фінансової компанії.

23. Заходами, дотримання яких свідчить про належне впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю фінансової компанії, є такі:

1) фінансовою компанією затверджено, доведено до відома всіх працівників та контролюється дотримання і належне виконання внутрішніх документів, що містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень (опис функціональних обов’язків та посадові інструкції), та визначають стандарти етичної поведінки працівників, порядок здійснення внутрішніх та зовнішніх комунікацій, містять інформацію щодо відповідальності, підзвітності та підконтрольності;

2) фінансовою компанією визначено порядок дій та повноваження осіб, відповідальних за здійснення контролю за діяльністю підрозділів / працівників, на яких покладено виконання окремих функцій у системі трьох ліній захисту щодо належності функціонування системи внутрішнього контролю фінансової компанії;

3) створено організаційну структуру фінансової компанії, яка забезпечує побудову системи внутрішнього контролю, у межах якої визначено та розподілено функції, обов’язки та повноваження між суб’єктами внутрішнього контролю, а також забезпечує належний рівень системи стримування і противаг;

4) фінансова компанія з урахуванням цілей її діяльності забезпечує створення умов, потрібних для залучення компетентних осіб, які володіють необхідним досвідом, професійними навичками та якостями для виконання функцій та обов’язків, та навчання працівників, шляхом опису відповідних процесів у внутрішньому документі / внутрішніх документах;

5) відповідальний орган фінансової компанії (з урахуванням компетенції) забезпечує функціонування та контроль за ефективністю комплексної та адекватної системи внутрішнього контролю;

6) виконавчий орган фінансової компанії в межах своїх повноважень забезпечує виконання рішень відповідального органу фінансової компанії щодо забезпечення організації та функціонування системи внутрішнього контролю фінансової компанії;

7) суб’єкти внутрішнього контролю фінансової компанії несуть відповідальність за неналежне виконання та/або невиконання ними своїх обов’язків, включаючи дії та/або бездіяльність, наслідком чого стало застосування коригувальних заходів, заходів раннього втручання, заходів впливу відповідно до Положення про застосування Національним банком України коригувальних заходів, заходів раннього втручання, заходів впливу у сфері державного регулювання діяльності на ринках небанківських фінансових послуг, затвердженого постановою Правління Національного банку України від 25 грудня 2023 року № 183 (зі змінами).

24. Фінансова компанія створює комплексну та адекватну систему управління ризиками як компонент системи внутрішнього контролю, що відповідає вимогам, визначеним у розділі IV цього Положення.

25. Заходами, дотримання яких свідчить про впровадження та ефективність, комплексність та адекватність функціонування системи управління ризиками як компонента системи внутрішнього контролю фінансової компанії, є:

1) відповідність затверджених відповідальним органом фінансової компанії стратегії управління ризиками та декларації схильності до ризиків фінансової компанії документам із планування діяльності фінансової компанії та вимогам цього Положення;

2) відповідність профілю ризику фінансової компанії, затвердженому відповідальним органом фінансової компанії, рівню ризик-апетиту;

3) повнота та ефективність упровадження внутрішнього документа / внутрішніх документів із питань управління ризиками;

4) створення та дотримання культури управління ризиками, включаючи забезпечення обізнаності та залучення членів органу управління фінансової компанії, а також інших працівників фінансової компанії до управління ризиками (періодичність засідань органу управління фінансової компанії, комітетів органу управління фінансової компанії за участю головного ризик-менеджера / працівників підрозділу з управління ризиками, документування таких засідань), навчання працівників фінансової компанії з питань управління ризиками;

5) відповідність внутрішніх документів щодо управління ризиками вимогам цього Положення;

6) забезпечення моніторингу та контролю за функціями, що виконуються третіми особами, які залучаються фінансовою компанією до виконання її ключових функцій (у разі залучення таких осіб на аутсорсинг);

7) наявність в особи, на яку покладена функція з управління ризиками, належного статусу та відповідної кваліфікації для виконання покладених на неї функцій;

8) виконання фінансовою компанією інших вимог щодо системи управління ризиками, установлених цим Положенням.

26. Фінансова компанія зобов’язана забезпечити розподіл обов’язків, що ґрунтується на системі трьох ліній захисту, яка передбачає, що:

1) до першої лінії захисту належать підрозділи, безпосередньо залучені до процесу надання послуг (бізнес-підрозділи), підрозділи підтримки діяльності фінансової компанії, а також працівники цих підрозділів (далі - суб’єкти першої лінії), які ініціюють, здійснюють або відображають господарські операції, приймають ризики в процесі своєї діяльності та відповідають за поточне управління цими ризиками, здійснюють заходи з контролю в межах своєї компетенції;

2) до другої лінії захисту належать підрозділи / особи, на яких покладена функція з управління ризиками, контролю за дотриманням норм (комплаєнс), а також інші підрозділи / працівники, які відповідно до внутрішнього документа / внутрішніх документів належать до другої лінії захисту (далі - суб’єкти другої лінії), які забезпечують ефективність упроваджених першою лінією захисту заходів із контролю та управління ризиками, їх відповідність до вимог законодавства України та внутрішнього документа / внутрішніх документів фінансової компанії;

3) до третьої лінії захисту належить підрозділ / окрема особа, визначений / визначена відповідальним органом фінансової компанії для проведення внутрішнього аудиту, що здійснює оцінювання ефективності діяльності першої та другої ліній захисту, загальне оцінювання ефективності системи внутрішнього контролю в межах виконання функції внутрішнього аудиту (далі - суб’єкти третьої лінії).

27. Фінансова компанія зобов’язана забезпечити розподіл функцій у межах системи трьох ліній захисту з дотриманням обмежень щодо конфлікту інтересів на рівні керівників, підрозділів, працівників першої, другої й третьої ліній захисту, а також незалежність другої та третьої ліній захисту.

28. Суб’єкти першої лінії захисту не можуть поєднувати функції суб’єктів другої, третьої ліній захисту та зобов’язані забезпечити належне виконання покладених на них обов’язків. Суб’єкти другої лінії захисту не можуть поєднувати функції суб’єктів першої та/або третьої ліній захисту та зобов’язані забезпечити належне виконання покладених на них обов’язків. Суб’єкти третьої лінії захисту не можуть поєднувати функції суб’єктів першої та/або другої лінії захисту та зобов’язані забезпечити належне виконання покладених на них обов’язків.

29. Відокремлені підрозділи фінансової компанії залежно від їх розміру, функцій та повноважень, якими вони наділені відповідно до внутрішніх документів, можуть бути віднесені фінансовою компанією до першої лінії захисту та/або мати у своїй структурі розподіл функцій за трьома лініями захисту.

30. Суб’єкти трьох ліній захисту фінансової компанії зобов’язані:

1) дотримуватися вимог законодавства України, внутрішніх документів фінансової компанії, у межах повноважень виконувати рішення про застосування заходів щодо усунення / мінімізації порушень / недоліків, виявлених у системі внутрішнього контролю уповноваженими суб’єктами першої - третьої ліній захисту, суб’єктами аудиторської діяльності та/або Національним банком;

2) діяти в межах своїх повноважень, виконувати покладені на них органом управління фінансової компанії обов’язки щодо внутрішнього контролю;

3) проходити навчання, призначене / організоване фінансовою компанією із метою підвищення рівня кваліфікації у сфері внутрішнього контролю, порядок, умови та періодичність проведення якого визначає фінансова компанія у внутрішньому документі / внутрішніх документах.

31. Суб’єкти першої лінії захисту в межах компетенції:

1) здійснюють виконання покладених на них обов’язків та повноважень відповідно до внутрішніх документів фінансової компанії, забезпечують дотримання вимог, визначених внутрішніми документами;

2) постійно здійснюють заходи з контролю, періодичність та обов’язок із виконання яких визначаються у внутрішніх документах фінансової компанії, та відповідають за їх належне і своєчасне виконання;

3) здійснюють заходи з виявлення та інформування про ризики, пов’язані з діяльністю суб’єктів першої лінії захисту, відповідно до вимог цього Положення;

4) мають право ініціювати / брати участь у періодичному перегляді / розробленні заходів процесу внутрішнього контролю.

32. Суб’єкти другої лінії захисту в межах повноважень під час виконання функцій з контролю за дотриманням норм (комплаєнс) та функції з управління ризиками фінансової компанії:

1) надають пропозиції щодо вибору та визначення органом управління фінансової компанії видів контрольної діяльності;

2) консультують виконавчий орган фінансової компанії з питань розроблення / перегляду внутрішніх документів, які визначають процес здійснення кожного з видів діяльності в межах системи внутрішнього контролю, та окремих процедур внутрішнього контролю;

3) забезпечують організацію виявлення, моніторинг та контроль суттєвих ризиків, вимірювання ризиків та складання (обчислення) профілю ризиків, здійснюють контроль та моніторинг упровадження внутрішніх документів, включаючи документи з питань культури управління ризиками, та виконання суб’єктами першої лінії захисту покладених на них функцій, включаючи виконання заходів з контролю;

4) здійснюють контроль за виявленням та своєчасним інформуванням про виявлені ризики, пов’язані з їх діяльністю;

5) контролюють дотримання лімітів ризиків (якісних та/або кількісних, єдиним значенням або діапазоном чи межами), установлених для окремих підрозділів / відповідальних працівників фінансової компанії та в межах таких підрозділів, лімітів ризику концентрації, лімітів дотримання повноважень, лімітів щодо продуктів та сервісів, інших лімітів, установлених внутрішніми документами фінансової компанії;

6) забезпечують складання висновків щодо ризиків, притаманних діяльності фінансової компанії, включаючи висновки щодо ризиків, що виникають під час запровадження нових продуктів / послуг;

7) ураховують у процесі прийняття рішень інформацію, отриману в межах системи управління ризиками;

8) забезпечують складання та своєчасне звітування, підготовка якого належить до компетенції відповідного підрозділу / відповідального працівника, включаючи звітування щодо ризиків, притаманних діяльності фінансової компанії, включаючи висновки щодо ризиків, що виникають під час запровадження нових продуктів / послуг);

9) здійснюють контроль за дотриманням вимог законодавства України про захист прав споживачів фінансових послуг, внутрішніх документів та процесів;

10) здійснюють контрольну діяльність за інформаційними системами й технологіями, надають рекомендації щодо їх удосконалення, усунення виявлених недоліків у їх роботі виконавчому органу фінансової компанії;

11) перевіряють відповідність внутрішніх документів фінансової компанії законодавству України, забезпечують здійснення моніторингу змін у законодавстві України та здійснюють оцінку впливу таких змін на процеси та процедури, запроваджені в фінансовій компанії, а також забезпечують контроль за імплементацією відповідних змін у внутрішні документи;

12) перевіряють відповідність здійснюваних суб’єктами першої лінії захисту заходів із контролю внутрішнім документам фінансової компанії;

13) забезпечують управління ризиками, пов’язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури фінансової компанії;

14) забезпечують організацію контролю за захистом і обробкою персональних даних відповідно до законодавства України;

15) відповідають за належне та своєчасне інформування суб’єктів внутрішнього контролю щодо внутрішніх документів та внесених до них змін, які визначають процедури здійснення кожного з видів контрольної діяльності та окремих процедур внутрішнього контролю;

16) складають звіти в межах компетенції щодо реалізації контрольної діяльності / моніторингу, які мають бути подані для оцінки та розгляду органу управління фінансової компанії.

33. Суб’єкти третьої лінії захисту:

1) здійснюють оцінку ефективності діяльності першої та другої ліній захисту та загальну оцінку ефективності системи внутрішнього контролю;

2) надають пропозиції з питань розроблення / перегляду процесу здійснення заходів з контролю та/або окремих процедур внутрішнього контролю.

34. Фінансова компанія зобов’язана визначити у внутрішніх документах письмовий опис процесів, які забезпечують організацію та функціонування системи внутрішнього контролю, включаючи завдання, порядок та етапи здійснення заходів з контролю, відповідальних працівників, а також способи досягнення результатів щодо кожного процесу.

35. Положення про систему внутрішнього контролю фінансової компанії має містити:

1) мету, завдання та принципи побудови системи внутрішнього контролю фінансової компанії;

2) організаційну структуру процесу внутрішнього контролю з урахуванням розподілу функціональних обов’язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;

3) принципи та підходи щодо впровадження компонентів системи внутрішнього контролю у фінансовій компанії;

4) порядок, види, періодичність підготовки та розгляду звітів;

5) процедуру виправлення недоліків, виявлених у системі внутрішнього контролю уповноваженими суб’єктами першої - третьої ліній захисту, зовнішніми аудиторами та/або відповідно до рішення Національного банку про застосування коригувальних заходів.

Відповідальний орган фінансової компанії з урахуванням компетенції затверджує та регулярно (не рідше одного разу на три роки) переглядає положення про систему внутрішнього контролю фінансової компанії.

36. Фінансова компанія має право об’єднувати окремі внутрішні документи щодо побудови та організації системи внутрішнього контролю в один або кілька документів із дотриманням вимог цього Положення та іншого законодавства України щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.

37. Фінансова компанія доводить до відома працівників внутрішні документи, які містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень, включно з повноваженнями щодо здійснення внутрішнього контролю.

Фінансова компанія зобов’язана письмово фіксувати кожен факт ознайомлення працівника із такими документами в спосіб, що дає змогу підтвердити факт такого ознайомлення, включно з ознайомленням під підпис працівника та особи, яка забезпечила проведення ознайомлення, а також дати такого ознайомлення.

38. Фінансова компанія визначає у внутрішніх документах процедури та заходи з контролю, які застосовуються підрозділами кожної з трьох ліній захисту, а також порядок та процедури:

1) вертикальної взаємодії, що застосовуються під час здійснення внутрішнього контролю між структурними підрозділами / особами, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі внутрішнього контролю / суб’єктами різних ліній захисту, органами управління фінансової компанії;

2) горизонтальної взаємодії, що застосовуються в разі здійснення внутрішнього контролю в межах одного підрозділу / функції та/або між підрозділами / особами, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі внутрішнього контролю / функціями однієї лінії захисту.

39. Система управління ризиками фінансової компанії має забезпечувати можливість виявлення, вимірювання, моніторинг, контроль, звітування та мінімізацію (зниження до контрольованого рівня) ризиків, на які наражається фінансова компанія, як наявних (реалізовані, поточні), так і потенційних (нереалізовані).

40. Фінансова компанія зобов’язана забезпечити наявність системи управління такими ризиками:

1) операційним ризиком;

2) комплаєнс-ризиком;

3) кредитним ризиком;

4) ризиком ліквідності.

41. Фінансова компанія, що надає фінансові платіжні послуги з переказу коштів без відкриття рахунку та/або із здійснення еквайрингу платіжних інструментів, здійснює управління операційним ризиком, пов’язаним із наданням платіжних послуг, у порядку, визначеному в розділі VII Положення про вимоги до системи управління надавача фінансових платіжних послуг, затвердженого постановою Правління Національного банку України від 10 жовтня 2024 року № 123 .

42. Фінансова компанія на підставі ліцензії на діяльність фінансової компанії має право надавати фінансові послуги з надання коштів та банківських металів у кредит, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок неспроможності боржника забезпечити в повному обсязі виконання зобов’язань перед фінансовою компанією в установлений договором / договорами строк без застосування фінансовою компанією процедури примусового повернення боргу, включно шляхом звернення стягнення на забезпечення (за наявності).

Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати фінансові послуги з надання коштів та банківських металів у кредит, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання надати грошові кошти за договорами, укладеними з клієнтами через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.

43. Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з фінансового лізингу, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок недостатності надходжень від реалізації предмета фінансового лізингу для покриття некомпенсованої вартості предмета лізингу в разі неспроможності лізингоодержувача забезпечити в повному обсязі виконання зобов’язань перед фінансовою компанією в установлений договором / договорами строк.

Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з фінансового лізингу, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання з передавання клієнту предмета фінансового лізингу згідно з умовами укладеного договору через неможливість оплати постачальнику його вартості через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.

44. Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з факторингу, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок неспроможності боржника за відступленими грошовими зобов’язаннями забезпечити в повному обсязі виконання такого зобов’язання та/або неспроможності клієнта виконати зобов’язання перед фінансовою компанією в установлений договором / договорами строк без процедури примусового повернення боргу, включно шляхом звернення стягнення на забезпечення (за наявності).

Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право надавати послуги з факторингу, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання з передавання грошових коштів у розпорядження клієнта за договорами, укладеними з клієнтами через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.

45. Фінансова компанія, що на підставі ліцензії на діяльність фінансової компанії має право здійснювати діяльність із надання гарантій, забезпечує наявність системи управління кредитним ризиком шляхом запровадження підходів для запобігання виникненню втрат унаслідок невиконання боржником (принципалом) вимоги забезпеченої гарантією та/або не спроможності принципала забезпечити в повному обсязі виконання зворотної вимоги (регресу) фінансової компанії в установлений договором / договорами строк без процедури примусового повернення боргу, включно шляхом звернення стягнення на забезпечення (за наявності).

Фінансова компанія, що здійснює діяльність із надання гарантій, забезпечує наявність системи управління ризиком ліквідності шляхом запровадження підходів для запобігання виникненню втрат унаслідок нездатності своєчасно виконати зобов’язання за наданими гарантіями, щодо яких надійшла вимога бенефіціара про сплату через відсутність грошових коштів або ліквідних активів, які можуть бути швидко конвертовані в грошові кошти.

46. Фінансова компанія, що поміж інших ліцензій на здійснення фінансових послуг має ліцензію на здійснення валютних операцій згідно з вимогами, установленими Законом України "Про валюту і валютні операції", забезпечує наявність управління валютним ризиком додатково до ризиків, визначених у пункті 40 глави 8 розділу IV цього Положення, шляхом запровадження підходів для запобігання виникненню втрат унаслідок переоцінки відкритої валютної позиції у зв’язку зі зміною валютних курсів валютних цінностей.

47. Фінансова компанія має право самостійно встановлювати критерії, за якими визначатимуться інші види ризиків, притаманних її діяльності з урахуванням складності, обсягів, видів, характеру здійснюваних операцій, організаційної структури та профілю ризику фінансової компанії, визначати порядок виявлення таких ризиків та управління ними. Національний банк має право рекомендувати фінансовій компанії розширювати перелік видів ризиків, визначений у пунктах 40, 46 глави 8 розділу IV цього Положення.

48. Комплексна та адекватна система управління ризиками фінансової компанії має передбачати:

1) організацію системи управління ризиками, що ґрунтується на застосуванні моделі трьох ліній захисту та забезпечує чіткий розподіл функцій, обов’язків і повноважень з управління ризиками між усіма суб’єктами системи управління ризиками, а також між працівниками фінансової компанії та передбачає їх відповідальність згідно з таким розподілом;

2) культуру управління ризиками та кодекс поведінки (етики);

3) внутрішні документи з питань управління ризиками;

4) інструменти для ефективного управління ризиками.

49. Суб’єктами системи управління ризиками фінансової компанії є:

1) відповідальний орган фінансової компанії та створені ним комітети (у разі створення);

2) виконавчий орган фінансової компанії та створені ним комітети (у разі створення);

3) бізнес-підрозділи, підрозділи підтримки діяльності фінансової компанії;

4) підрозділ з управління ризиками, головний ризик-менеджер (керівник підрозділу з управління ризиками) або особа, на яку покладена функція такого підрозділу, підрозділ контролю за дотриманням норм (комплаєнс), керівник підрозділу контролю за дотриманням норм (комплаєнс) або особа, на яку покладена функція такого підрозділу;

5) внутрішній аудитор / головний внутрішній аудитор (штатний працівник, на якого покладена функція проведення внутрішнього аудиту, або керівник структурного підрозділу, відповідального за проведення внутрішнього аудиту);

6) керівники та працівники фінансової компанії, які здійснюють внутрішній контроль відповідно до повноважень, визначених внутрішніми документами, та не входять до складу органів управління фінансової компанії й підрозділів фінансової компанії.

50. Фінансова компанія встановлює ліміти (обмеження) для ризиків, що підлягають кількісному вимірюванню, у межах затвердженого ризик-апетиту щодо кредитного ризику, ризику ліквідності, комплаєнс-ризику, валютного ризику, операційного ризику та зобов’язана здійснювати вимірювання (оцінку) ризиків з урахуванням взаємозв’язку ризиків та впливу окремого ризику на інші ризики, притаманні її діяльності. Перелік та значення лімітів ризиків визначає та затверджує відповідальний орган фінансової компанії.

Вимірювання ризиків, проведене фінансовою компанією, має бути задокументоване, включаючи детальний опис та пояснення ризиків, що охоплюються вимірюванням, використані підходи, а також ключові судження та припущення, що були зроблені під час такого вимірювання.

51. Система управління ризиками фінансової компанії має передбачати визначення ризиків, притаманних діяльності, установлення лімітів ризиків (якісних та/або кількісних, єдиним значенням або діапазоном чи межами) вимірювання ризиків за новими продуктами та значними змінами в діяльності до початку їх упровадження, включаючи зміни в реалізації продуктів та в системі управління ризиками фінансової компанії, установлення допустимого рівня ризиків за новими продуктами.

52. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити процеси та інструменти для моніторингу ризиків, що забезпечують своєчасне виявлення ризиків та адекватне управління ними.

53. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити методи (інструменти) управління виявленими ризиками в межах підходів до управління ризиками. Такими методами управління ризиками можуть бути:

1) прийняття ризику, що передбачає прийняття фінансовою компанією ідентифікованого ризику та неприйняття будь-яких інших дій для його зниження;

2) передавання фінансовою компанією ризику третім особам за винагороду, водночас для здійснення контролю за ризиками фінансовою компанією, наявний рівень ризику не змінюється;

3) пом’якшення або зниження ризику, що передбачає коригування певних процесів та/або впровадження додаткових контрольних заходів, спрямованих на зменшення ймовірності виникнення ризику, запобігання перевищенню допустимого рівня ризику та/або зменшенню впливу ризику на результати діяльності фінансової компанії;

4) уникнення ризику, що передбачає припинення здійснення або зміну діяльності (включаючи розірвання ділових відносин, продаж активу), яка створює ризик;

5) інші методи, доступні для застосування фінансовою компанією.

54. Фінансова компанія у своїй системі управління ризиками зобов’язана передбачити порядок звітування про ризики, загальну оцінку ризиків та пов’язані з ними плани дій органу управління фінансової компанії. Процедура ескалації ризиків фінансової компанії має забезпечити змогу звітувати про проблеми, пов’язані з ризиками, у межах періодичного звітування, а також поза періодичним звітуванням для термінових питань. Будь-яка діяльність фінансової компанії, що виходить за межі затвердженого ризик-апетиту, лімітів ризиків, має бути предметом відповідних аналізу та схвалення відповідальним органом фінансової компанії.