Тип: Постанова
№ 39
Дата: 22 квітня 2026 р.
Статус: Чинний
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
22 квітня 2026 року № 39
Про затвердження Положення про вимоги до створення Національною установою розвитку системи внутрішнього контролю
Відповідно до статей 7, 15, 551, 56, 57 Закону України “Про Національний банк України”, статей 12, 14 Закону України “Про Національну установу розвитку”, з метою встановлення вимог до створення Національною установою розвитку системи внутрішнього контролю Правління Національного банку України постановляє:
1. Затвердити Положення про вимоги до створення Національною установою розвитку системи внутрішнього контролю (далі - Положення), що додається.
2. Національній установі розвитку забезпечити до 30 червня 2026 року приведення своєї діяльності у відповідність до вимог Положення.
3. Департаменту методології регулювання діяльності небанківських фінансових установ (Сергій Савчук) довести до відома Національної установи розвитку інформацію про прийняття цієї постанови.
4. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
Голова
Андрій ПИШНИЙ
Інд. 33
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
22 квітня 2026 року № 39
Положення про вимоги до створення Національною установою розвитку системи внутрішнього контролю
I. Загальні положення
1. Це Положення розроблено відповідно до Законів України “Про Національний банк України”, “Про Національну установу розвитку” (далі - Закон про Національну установу розвитку), з метою встановлення вимог до створення Національною установою розвитку (далі - Установа) системи внутрішнього контролю.
2. Терміни в цьому Положенні вживаються в такому значенні:
1) аутсорсер - юридична особа будь-якої форми власності, фізична особа-підприємець або особа, яка провадить незалежну професійну діяльність, обрана Установою для виконання на умовах аутсорсингу окремих функцій та/або окремих процесів / завдань у межах цих функцій Установи;
2) бізнес-процес - сукупність взаємопов'язаних або взаємозалежних видів діяльності Установи, спрямованих на створення певного продукту або послуги;
3) вимірювання (оцінка) ризиків - процес порівняння результатів аналізу ризиків з установленим у документах із планування діяльності та/або в документі / документах з організації системи внутрішнього контролю рівнем схильності до ризиків та прийнятним рівнем ризику з метою прийняття рішень щодо застосування методів управління ризиками;
4) внутрішні документи - документи, затверджені органом управління Установи в межах його компетенції, включаючи політику за окремими напрямами діяльності, положення, інструкції, методики, правила, стратегії, розпорядження, рішення, накази або документи, розроблені в іншій формі, з урахуванням вимог законодавства України;
5) декларація схильності до ризиків - внутрішній документ, який визначає сукупну величину ризик-апетиту, види ризиків, які Установа прийматиме або уникатиме з метою досягнення своїх цілей, та рівень ризик-апетиту щодо кожного з таких ризиків (індивідуальний рівень);
6) допустимий рівень ризику - максимальна величина ризику, яку Установа в змозі прийняти за всіма видами ризиків з огляду на здатність адекватно та ефективно управляти ризиками, а також з урахуванням обмежень, установлених законодавством України;
7) екологічні та соціальні ризики - імовірність виникнення збитків, додаткових втрат або недоотримання доходів Установою внаслідок порушення чи неврахування під час формування та реалізації програм і проєктів розвитку або підтримки екологічної та соціальної відповідальності, гендерної рівності та інклюзивності, практики відповідального ведення бізнесу, ініціатив “зеленого” фінансування;
8) ключові особи - особи, відповідальні за виконання ключових функцій у системі внутрішнього контролю Установи, визначені в частині восьмій статті 12 Закону про Національну установу розвитку;
9) комплаєнс-ризик - ризик виникнення збитків та/або санкцій, додаткових втрат або недоотримання запланованих доходів або втрати репутації внаслідок невідповідності діяльності Установи вимогам законодавства України та/або іншим вимогам (правилам, стандартам, принципам) щодо здійснення такої діяльності, яких зобов'язана дотримуватися або прийняла рішення дотримуватися Установа, правил добросовісної конкуренції, кодексу поведінки (етики), запобіганню конфліктам інтересів, а також внутрішніх документів Установи;
10) кредитний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок невиконання боржником / контрагентом Установи взятих на себе зобов'язань відповідно до умов договору;
11) культура управління ризиками - дотримання визначених Установою принципів, правил, норм Установи, спрямованих на поінформованість усіх працівників Установи щодо прийняття ризиків та управління ризиками;
12) ліміт ризику - обмеження, установлені Установою для контролю за величиною ризиків, на які Установа наражається у своїй діяльності;
13) моніторинг ризику - процес систематичного нагляду за ризиками, за системою і процесом контролю та управління ризиками з метою виявлення відхилень від їх прийнятного рівня та/чи ефективності управління ризиками;
14) операційний ризик - імовірність виникнення збитків або додаткових втрат або недоотримання запланованих доходів унаслідок недоліків чи помилок в організації внутрішніх процесів, навмисних або ненавмисних дій працівників Установи або інших осіб, збоїв у роботі систем Установи або внаслідок впливу зовнішніх негативних факторів;
15) передавання ризику - передавання Установою своєї відповідальності за ризик третім особам за винагороду зі збереженням наявного рівня ризику;
16) ризик - імовірність виникнення збитків або додаткових втрат, або недоотримання доходів, або невиконання стороною договірних зобов'язань унаслідок впливу негативних внутрішніх та зовнішніх факторів;
17) ризик-апетит - сукупна величина за всіма видами ризиків та окремо за кожним із ризиків, визначених наперед та в межах допустимого рівня ризику, щодо яких є рішення про доцільність / необхідність їх утримання з метою виконання цілей Установи;
18) ризик ліквідності - імовірність виникнення збитків або додаткових втрат унаслідок неспроможності забезпечувати виконання своїх зобов'язань у належні строки через брак достатнього обсягу ліквідних активів;
19) ринковий ризик - імовірність виникнення збитків, додаткових втрат або недоотримання запланованих доходів через несприятливі зміни ринкових факторів (процентних ставок, валютних курсів, вартості фінансових інструментів), які впливають на вартість активів та зобов'язань Установи;
20) система стримувань та противаг - розподіл повноважень між Загальними зборами учасників Національної установи розвитку (далі - Загальні збори), Наглядовою радою Національної установи розвитку (далі - Наглядова рада) та Правлінням Національної установи розвитку (далі - Правління) (далі - органи управління) та комітетами, створеними Наглядовою радою (далі - комітети), ключовими особами та/або підрозділами, працівниками Установи, який забезпечує підконтрольність, а також унеможливлює (упереджує) можливість прийняття органами управління Установи рішень, що можуть призвести до конфлікту інтересів та/або негативних наслідків у її діяльності.
3. Установа створює комплексну, адекватну та ефективну систему внутрішнього контролю, що відповідає принципам, установленим у частині першій статті 12 Закону про Національну установу розвитку.
4. Система внутрішнього контролю Установи складається з таких ключових функцій:
1) управління ризиками;
2) контроль за дотриманням норм (комплаєнс);
3) внутрішній аудит.
5. Система внутрішнього контролю Установи повинна забезпечувати досягнення цілей, установлених у частині третій статті 12 Закону про Національну установу розвитку.
6. Операційні цілі діяльності Установи, досягнення яких повинна забезпечувати система внутрішнього контролю Установи, створена з урахуванням вимог цього Положення, мають передбачати:
1) забезпечення спрямованості процедур контролю на ефективність управління активами, зобов'язаннями та позабалансовими позиціями Установи з метою досягнення цілей, установлених внутрішніми документами Установи, уникаючи або обмежуючи втрати внаслідок впливу негативних внутрішніх та зовнішніх факторів;
2) здійснення систематичного процесу виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення ризиків Установи на всіх її організаційних рівнях.
7. Інформаційні цілі діяльності Установи, досягнення яких повинна забезпечувати система внутрішнього контролю Установи, створена з урахуванням вимог цього Положення, мають передбачати:
1) забезпечення цілісності, повноти та достовірності фінансової, управлінської та іншої інформації, що використовується для ухвалення управлінських рішень;
2) наявність задокументованих процесів обміну інформацією між Установою, банками та іншими надавачами фінансових послуг (далі - партнерські установи), аутсорсерами та порядку взаємодії з Національним банком України (далі - Національний банк);
3) створення інформаційних потоків як за вертикаллю, так і за горизонталлю організаційної структури Установи.
8. Комплаєнс-цілі діяльності Установи, досягнення яких повинна забезпечувати система внутрішнього контролю Установи, створена з урахуванням вимог цього Положення, мають передбачати організацію діяльності Установи, спрямовану на виявлення та запобігання ризикам, які можуть виникати під час здійснення Установою діяльності, передбаченої Законом про Національну установу розвитку, унаслідок невідповідності такої діяльності вимогам законодавства України та/або іншим вимогам (правилам, стандартам, принципам) щодо здійснення такої діяльності.
9. Система внутрішнього контролю Установи повинна включати такі компоненти:
1) контрольне середовище, вимоги до якого встановлені в розділі II цього Положення;
2) систему управління ризиками, вимоги до якої установлені в розділі III цього Положення;
3) організацію внутрішнього аудиту згідно з розділом IV цього Положення;
4) контрольну діяльність та контрольні заходи, вимоги до яких установлені в розділі V цього Положення;
5) контроль за інформаційними потоками та комунікаціями, вимоги до якого встановлені в розділі VI цього Положення;
6) моніторинг ефективності системи внутрішнього контролю, вимоги до якого встановлені в розділі VII цього Положення.
10. Установа у внутрішніх документах щодо системи внутрішнього контролю:
1) визначає опис кожного з компонентів системи внутрішнього контролю, визначених у пункті 9 розділу I цього Положення;
встановлює контроль за умовами співпраці з:
партнерськими установами згідно з розділом VIII цього Положення;
аутсорсерами згідно з розділом IX цього Положення.
11. Установа для належного створення та функціонування системи внутрішнього контролю зобов'язана забезпечити:
1) прийняття внутрішніх документів із питань організації та забезпечення функціонування системи внутрішнього контролю з дотриманням вимог цього Положення та законодавства України;
2) побудову відповідної організаційної структури Установи для забезпечення створення контрольного середовища системи внутрішнього контролю;
3) запровадження компонентів системи внутрішнього контролю;
4) наявність затвердженого порядку заміни / покладення обов'язку на час тимчасової відсутності, призначення / звільнення / припинення повноважень осіб, на яких покладено виконання функцій внутрішнього контролю.
12. Установа зобов'язана забезпечити постійне та ефективне функціонування системи внутрішнього контролю Установи.
13. Установа зобов'язана надавати на вимогу Національного банку всю інформацію та документи, потрібні для формування Національним банком пропозицій та рекомендацій щодо її діяльності, та вимог щодо організації та забезпечення функціонування в Установі системи внутрішнього контролю.
14. Установа має право самостійно встановити додаткові до визначених цим Положенням вимоги до створення системи внутрішнього контролю в Установі, додаткові компоненти та додаткові цілі системи внутрішнього контролю Установи.
II. Контрольне середовище
15. Суб'єктами внутрішнього контролю Установи (далі - суб'єкт внутрішнього контролю) є:
1) Наглядова рада, що забезпечує організацію та функціонування комплексної, адекватної та ефективної системи внутрішнього контролю;
2) Правління, що забезпечує виконання рішень Загальних зборів та Наглядової ради щодо організації та функціонування системи внутрішнього контролю згідно з частиною сьомою статті 12 Закону про Національну установу розвитку;
3) комітети;
4) ключові особи;
5) підрозділи / працівники, безпосередньо залучені до процесу надання послуг (бізнес-підрозділи), і підрозділи підтримки діяльності Установи;
6) аутсорсери (у разі залучення).
16. Компонент “контрольне середовище” складається з методологічних та організаційних заходів для функціонування системи внутрішнього контролю Установи.
17. Установа для належного створення, впровадження та функціонування контрольного середовища як компонента системи внутрішнього контролю вживає щонайменше таких заходів, згідно з якими Установою:
1) затверджено, доведено до відома всіх суб'єктів внутрішнього контролю та контролюється дотримання і належне виконання внутрішніх документів, що містять та визначають:
інформацію, потрібну для належного виконання такими суб'єктами внутрішнього контролю своїх повноважень;
стандарти етичної поведінки суб'єктів внутрішнього контролю;
порядок здійснення внутрішніх та зовнішніх комунікацій;
інформацію щодо відповідальності, підзвітності та підконтрольності;
2) визначено порядок дій та повноваження суб'єктів внутрішнього контролю щодо забезпечення належного функціонування системи внутрішнього контролю;
3) створено організаційну структуру, яка забезпечує:
побудову системи внутрішнього контролю, у межах якої визначені та розподілені функції, обов'язки та повноваження між суб'єктами внутрішнього контролю;
належний рівень системи стримування та противаг;
4) з урахуванням цілей діяльності Установи створено умови, потрібні для залучення компетентних осіб, які володіють необхідним досвідом, професійними навичками та якостями для виконання функцій та обов'язків, та навчання працівників, шляхом опису відповідних процесів у внутрішніх документах;
5) створено і забезпечено функціонування системи внутрішнього контролю Установи, у якій суб'єкти внутрішнього контролю несуть відповідальність за неналежне виконання та/або невиконання ними своїх обов'язків, включаючи дії та/або бездіяльність, наслідком чого стало застосування Національним банком обмежень на надання Установою фінансових послуг, включаючи надання коштів у кредит та/або надання гарантій.
18. Ділова репутація та професійна придатність ключових осіб повинні відповідати вимогам, установленим у Положенні про авторизацію надавачів фінансових послуг та умови здійснення ними діяльності з надання фінансових послуг, затвердженому постановою Правління Національного банку України від 29 грудня 2023 року № 199 (зі змінами).
19. Установа створює систему внутрішнього контролю із забезпеченням розподілу обов'язків між підрозділами / працівниками, що ґрунтується на системі трьох ліній захисту згідно з частиною четвертою статті 12 Закону про Національну установу розвитку.
20. Установа зобов'язана забезпечити розподіл функцій у межах системи трьох ліній захисту з дотриманням обмежень щодо конфлікту інтересів на рівні керівників, підрозділів, працівників першої, другої й третьої ліній захисту, а також незалежність другої та третьої ліній захисту.
21. Суб'єкти першої лінії захисту, визначені в пункті 1 частини четвертої статті 12 Закону про Національну установу розвитку (далі - суб'єкти першої лінії захисту), у межах компетенції:
1) здійснюють виконання покладених на них обов'язків та повноважень відповідно до внутрішніх документів Установи, забезпечують дотримання вимог, визначених у внутрішніх документах Установи;
2) здійснюють заходи з контролю в межах своєї компетенції, періодичність та обов'язок із виконання яких визначаються у внутрішніх документах Установи, та відповідають за їх належне і своєчасне виконання;
3) здійснюють заходи з виявлення та інформування про ризики, пов'язані з діяльністю суб'єктів першої лінії захисту, відповідно до вимог цього Положення;
4) мають право ініціювати / брати участь у періодичному перегляді / розробленні заходів процесу внутрішнього контролю Установи;
5) здійснюють заходи з контролю за дотриманням встановлених лімітів ризиків у діяльності Установи;
6) здійснюють перевірку відповідності партнерських установ вимогам Установи та дотримання ними умов співпраці.
22. Суб'єкти другої лінії захисту, визначені в пункті 2 частини четвертої статті 12 Закону про Національну установу розвитку (далі - суб'єкти другої лінії захисту), у межах повноважень під час виконання функцій з контролю за дотриманням норм (комплаєнс) та функції з управління ризиками Установи:
1) надають пропозиції щодо вибору та визначення органами управління Установи видів контрольної діяльності;
2) консультують Правління з питань розроблення / перегляду внутрішніх документів, які визначають процес здійснення кожного з видів діяльності в межах системи внутрішнього контролю, та окремих процедур внутрішнього контролю;
3) забезпечують організацію виявлення, моніторинг та контроль за ризиками, вимірювання ризиків та складання (обчислення) профілю ризиків, здійснюють контроль та моніторинг запровадження внутрішніх документів, включаючи документи з питань культури управління ризиками, та виконання суб'єктами першої лінії захисту покладених на них функцій, включаючи виконання заходів з контролю;
4) здійснюють контроль за виявленням та своєчасним інформуванням про виявлені ризики, пов'язані з діяльністю Установи;
5) контролюють дотримання лімітів ризиків (якісних та/або кількісних, єдиним значенням або діапазоном чи межами), установлених для суб'єктів внутрішнього контролю Установи, щонайменше:
лімітів ризику концентрації;
лімітів дотримання повноважень;
лімітів щодо продуктів та послуг;
інших лімітів, установлених у внутрішніх документах Установи;
6) контролюють дотримання фінансових показників (нормативів) Установи;
7) забезпечують складання висновків щодо ризиків, притаманних діяльності Установи, включаючи висновки щодо ризиків, що виникають під час запровадження нових програм / послуг, контролюють повноту / результат перевірки відповідності партнерських установ вимогам Установи та дотримання ними умов співпраці;
8) ураховують під час прийняття рішень інформацію, отриману в межах системи управління ризиками;
9) забезпечують складання та своєчасне звітування, підготовка якого належить до компетенції відповідного суб'єкта внутрішнього контролю, включаючи звітування щодо ризиків, притаманних діяльності Установи;
10) здійснюють контрольну діяльність за інформаційними системами й технологіями, надають рекомендації щодо їх удосконалення, усунення виявлених недоліків у їх роботі;
11) перевіряють відповідність внутрішніх документів Установи законодавству України, забезпечують здійснення моніторингу змін у законодавстві України та здійснюють оцінку впливу таких змін на процеси та процедури, запроваджені в Установі, а також забезпечують контроль за імплементацією відповідних змін у внутрішні документи;
12) перевіряють відповідність здійснюваних суб'єктами першої лінії захисту заходів із контролю внутрішнім документам Установи;
13) забезпечують управління ризиками, пов'язаними з конфліктом інтересів, що можуть виникати на всіх рівнях організаційної структури Установи;
14) забезпечують організацію контролю за захистом і обробкою персональних даних відповідно до законодавства України;
15) відповідають за належне та своєчасне інформування та навчання суб'єктів внутрішнього контролю щодо внутрішніх документів та внесених до них змін, які визначають процедури здійснення кожного з видів контрольної діяльності та окремих процедур внутрішнього контролю;
16) складають звіти в межах компетенції щодо реалізації контрольної діяльності / моніторингу, які мають бути подані для оцінки та розгляду органам управління Установи.
23. Суб'єкти третьої лінії захисту, визначені в пункті 3 частини четвертої статті 12 Закону про Національну установу розвитку (далі - суб'єкти третьої лінії захисту):
1) здійснюють оцінку ефективності діяльності першої та другої ліній захисту та загальну оцінку ефективності системи внутрішнього контролю;
2) надають пропозиції з питань розроблення / перегляду процесу здійснення заходів з контролю та/або окремих процедур внутрішнього контролю;
3) забезпечують перевірку дотримання суб'єктами першої лінії захисту та контроль за дотриманням суб'єктами другої лінії захисту лімітів ризиків, встановлених Установою, повноти / результату контролю за дотриманням партнерськими установами умов співпраці встановлених Установою, та в межах планових аудиторських перевірок доводять до відома органів управління інформацію про наявні порушення або про наявність ризику їх порушення.
24. Суб'єкти першої лінії захисту не можуть поєднувати функції суб'єктів другої, третьої ліній захисту та зобов'язані забезпечити належне виконання покладених на них обов'язків. Суб'єкти другої лінії захисту не можуть поєднувати функції суб'єктів першої та/або третьої ліній захисту та зобов'язані забезпечити належне виконання покладених на них обов'язків. Суб'єкти третьої лінії захисту не можуть поєднувати функції суб'єктів першої та/або другої лінії захисту та зобов'язані забезпечити належне виконання покладених на них обов'язків.
25. Суб'єкти трьох ліній захисту Установи зобов'язані:
1) дотримуватися вимог законодавства України, внутрішніх документів Установи, у межах повноважень виконувати рішення про застосування заходів з метою усунення / мінімізації порушень / недоліків, виявлених у системі внутрішнього контролю уповноваженими суб'єктами першої - третьої ліній захисту, суб'єктами аудиторської діяльності та/або в результаті контролю Національного банку;
2) діяти в межах своїх повноважень, виконувати обов'язки щодо внутрішнього контролю;
3) проходити навчання, призначене / організоване Установою з метою підвищення рівня кваліфікації у сфері внутрішнього контролю, порядок, умови та періодичність проведення якого визначає Установа у внутрішньому документі / внутрішніх документах.
26. Установа зобов'язана визначити у внутрішньому документі / внутрішніх документах письмовий опис процесів, які забезпечують створення та функціонування системи внутрішнього контролю, включаючи завдання, порядок та етапи здійснення заходів з контролю, відповідальних працівників, а також способи досягнення результатів щодо кожного процесу.
27. Внутрішні документи Установи щодо створення та функціонування системи внутрішнього контролю Установи повинні щонайменше містити:
1) мету, завдання та принципи побудови системи внутрішнього контролю Установи;
2) організаційну структуру процесу внутрішнього контролю з урахуванням розподілу функціональних обов'язків між учасниками процесу, їх повноваження, відповідальність та порядок взаємодії;
3) принципи та підходи щодо впровадження компонентів системи внутрішнього контролю в Установі;
4) види, порядок, періодичність підготовки та розгляду звітів (внутрішніх та зовнішніх);
5) порядок організації та здійснення контрольної діяльності та процедуру виправлення недоліків, виявлених у системі внутрішнього контролю уповноваженими суб'єктами першої - третьої ліній захисту, зовнішніми аудиторами та/або відповідно до рекомендацій Національного банку;
6) підходи до контролю за дотриманням партнерськими установами умов співпраці та критерії відбору партнерських установ;
7) порядок здійснення внутрішнього аудиту процесу відбору партнерських установ та контролю за дотриманням визначених критеріїв відбору партнерських установ та умов співпраці.
28. Установа має право об'єднувати окремі внутрішні документи щодо створення та забезпечення функціонування системи внутрішнього контролю в один або кілька документів із дотриманням вимог цього Положення та іншого законодавства України щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.
29. Установа доводить до відома працівників внутрішні документи, які містять інформацію, потрібну для належного виконання такими працівниками своїх повноважень, включно з повноваженнями щодо здійснення внутрішнього контролю.
Установа зобов'язана фіксувати кожен факт ознайомлення працівника із внутрішніми документами в спосіб, що дає змогу підтвердити факт ознайомлення, включно з ознайомленням під підпис працівника та особи, яка забезпечила проведення ознайомлення, а також дати ознайомлення.
30. Установа визначає у внутрішніх документах процедури та заходи з контролю, які застосовуються підрозділами кожної з трьох ліній захисту, а також порядок та процедури:
1) вертикальної взаємодії, що застосовуються під час здійснення внутрішнього контролю між структурними підрозділами / особами, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі внутрішнього контролю / суб'єктами різних ліній захисту, органами управління;
2) горизонтальної взаємодії, що застосовуються в разі здійснення внутрішнього контролю в межах одного підрозділу / функції та/або між підрозділами / особами, на яких покладено виконання певних функцій або окремих процесів у межах таких функцій у системі внутрішнього контролю / функціями однієї лінії захисту.
31. Установа надає Національному банку копію бізнес-плану Установи / змін до бізнес-плану Установи, затвердженого / затверджених Наглядовою радою, за підписом керівника Установи не пізніше п'яти днів із дати його / їх затвердження.
32. Бізнес-план Установи складається на один рік, а також може містити:
1) інформацію щодо:
стану Установи на день подання бізнес-плану (матеріально-технічна база, персонал, структурні підрозділи, нематеріальні активи);
економічного середовища діяльності Установи (маркетингове дослідження ринку, конкуренти) з огляду на регіон діяльності;
розвитку діяльності Установи;
намірів стосовно витрат Установи на розвиток бізнесу [матеріально-технічна база та програмне забезпечення (комп'ютерна техніка, облікові системи, інші техніка та програмне забезпечення, потрібні для здійснення діяльності), приміщення (на підставі права власності чи користування), управління персоналом, реклама, використання вебсайтів]. Наміри щодо витрат Установи складаються на кожний рік окремо з урахуванням сприятливого та несприятливого сценаріїв;
фінансового плану Установи (прогнозні розрахункові регуляторного балансу та дані про показники діяльності, із розкриттям статей активів, зобов'язань, власного капіталу, субординованого боргу, доходів та витрат) із наданням аналізу сприятливого та несприятливого сценаріїв діяльності Установи та обґрунтуванням припущень щодо наданих прогнозних даних, а також поясненнями щодо суттєвих відхилень;
факторів впливу на діяльність Установи за несприятливого сценарію та заходів, що можуть зменшити вплив таких факторів;
потреби у фінансуванні, збільшенні статутного (складеного) капіталу, розміри фінансування, його строки та джерела походження коштів для його здійснення;
намірів стосовно появи нових учасників Установи;
2) фінансово-економічні показники в бізнес-плані Установи, що розраховуються на поточний рік (з початку року, у якому він подається до Національного банку) з урахуванням ризиків, що впливають на виконання бізнес-плану Установи (сприятливий і несприятливий сценарії);
3) запевнення, що бізнес-план Установи складений на підставі реалістичних даних і не містить припущень та можливих прогнозів, які неможливо підтвердити розрахунками;
4) свідчення здатності Установи генерувати доходи відповідно до бізнес-плану Установи в обсязі, достатньому для виконання вимог законодавства України.
Установа має право надати додаткові документи до бізнес-плану Установи, що обґрунтовують та/або підтверджують інформацію та розрахунки, наведені в бізнес-плані Установи.
III. Система управління ризиками
33. Система управління ризиками Установи повинна бути організована відповідно до частини п'ятої статті 12 Закону про Національну установу розвитку.
Установа з метою створення та функціонування системи управління ризиками розробляє та впроваджує внутрішні документи з управління ризиками та забезпечує їх своєчасну актуалізацію. Документи з управління ризиками, які повинна розробити і впровадити Установа, включають щонайменше стратегію управління ризиками та декларацію схильності до ризиків, що визначає ризик-апетит за кожним з ризиків, кредитну політику, екологічну та соціальну політику.
34. Установа зобов'язана забезпечити наявність системи управління щонайменше такими ризиками:
1) ризиком ліквідності;
2) кредитним ризиком;
3) комплаєнс-ризиком;
4) операційним ризиком;
5) екологічними та соціальними ризиками;
6) ринковим ризиком.
35. Установа створює ефективну систему управління ризиком ліквідності, яка забезпечує визначення потреби в грошових коштах для виконання всіх зобов'язань Установи протягом щонайменше наступних 90 днів та контроль за наявністю достатнього обсягу ліквідних активів для їх виконання. З метою визначення потреби в грошових коштах Установа регулярно здійснює моніторинг ліквідності та прогнозування грошових потоків.
36. Установа створює ефективну систему управління кредитним ризиком, що забезпечує виявлення, вимірювання, моніторинг, звітування, контроль і зменшення кредитного ризику.
37. Установа під час оцінки кредитного ризику враховує ризик концентрації.
38. Установа розробляє та періодично (не рідше одного разу на один рік) переглядає кредитну політику з метою забезпечення її ефективності та відповідності рівню ризик-апетиту.
39. Установа доводить кредитну політику до відома працівників, які беруть участь у процесі фінансування відповідно до функціональних обов'язків і зобов'язані чітко розуміти підхід до процесу фінансування та нести відповідальність за невиконання політики, порядків і процедур.
Установа створює та застосовує механізми внутрішнього контролю, інші механізми, що забезпечують своєчасне інформування органу управління про відхилення від кредитної політики, порядку і процедур управління кредитним ризиком та порушення встановлених лімітів ризиків для прийняття своєчасних і адекватних управлінських рішень.
40. Установа створює ефективну систему управління комплаєнс-ризиком, що повинна повністю бути інтегрована в загальну систему управління ризиками.
41. Установа для забезпечення управління комплаєнс-ризиком розробляє та запроваджує:
1) процедури та процеси забезпечення відповідності діяльності Установи вимогам законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення, контролю за дотриманням вимог законодавства України про рекламу (у частині реклами фінансових послуг) та внутрішніх документів Установи, включно за новими програмами та значними змінами в діяльності до початку їх запровадження, включаючи зміни в реалізації програм;
2) політику виявлення, запобігання та управління конфліктами інтересів в Установі;
3) процедуру забезпечення контролю за достовірністю фінансової та регуляторної звітності;
4) порядок обміну інформацією між учасниками процесу управління комплаєнс-ризиком, включаючи види, форму й терміни надання інформації;
5) процедуру забезпечення контролю за виконанням вимог законодавства України щодо залучення коштів;
6) правила взаємодії Установи з Національним банком, іншими органами державної влади та державного управління, які в межах компетенції здійснюють контроль за діяльністю Установи, з питань дотримання вимог законодавства України.
42. Установа забезпечує своєчасне виявлення та вимірювання комплаєнс-ризику з метою його пом'якшення.
43. Головний комплаєнс-менеджер, керівник підрозділу з контролю за дотриманням норм (комплаєнс) або особа, на яку покладено виконання функції такого підрозділу на постійній основі, відповідають за організацію навчання суб'єктів внутрішнього контролю з питань дотримання установлених Установою вимог системи внутрішнього контролю.
44. Установа зобов'язана встановити процедури та процеси забезпечення дотримання вимог (методики) щодо розрахунку фінансових показників (нормативів), установлених нормативно-правовими актами Національного банку, безперервного моніторингу їх виконання, виявлення ризику їх порушення, а також негайного (не пізніше наступного дня за днем виявлення) повідомлення про такий ризик органів управління Установи та порядку такого повідомлення.
45. Установа:
1) створює ефективну систему управління операційним ризиком, що повинна повністю інтегруватися в загальну систему управління ризиками;
2) оцінює операційний ризик з урахуванням його взаємозв'язку та впливу на інші ризики, притаманні її діяльності;
3) самостійно визначає перелік кількісних показників ризик-апетиту до операційного ризику, що повинен обов'язково включати показник максимального обсягу втрат від подій операційного ризику протягом наступних 12 місяців;
4) створює та веде базу внутрішніх подій операційного ризику, здійснює аналіз накопиченої в ній інформації.
46. Політика управління операційним ризиком може бути складовою політики управління ризиком Установи або окремим документом та повинна обов'язково містити:
1) мету, завдання та принципи управління операційним ризиком;
2) організаційну структуру процесу управління операційним ризиком з урахуванням розподілу функціональних обов'язків відповідно до трьох ліній захисту учасників процесу, їх повноважень, відповідальності та порядку взаємодії;
3) підходи щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику;
4) критерії визначення значних подій операційного ризику, порядок їх дослідження та ескалації інформації щодо таких подій;
5) ліміти, порядок установлення лімітів операційного ризику та порядок їх контролю;
6) політику страхування (якщо стратегія з управління ризиками передбачає такий підхід щодо передавання ризику);
7) перелік та інформаційне наповнення форм управлінського звітування щодо операційного ризику, порядок і періодичність / терміни його надання суб'єктам системи управління ризиками;
8) критерії звітування для подій операційного ризику та обґрунтування таких критеріїв;
9) порядок запобігання ризику внутрішнього та зовнішнього шахрайства.
47. Порядок та процедури управління операційним ризиком повинні обов'язково містити:
1) процедури щодо виявлення, вимірювання, моніторингу, контролю, звітування та пом'якшення операційного ризику, включаючи інструменти / індикатори, що використовуються;
2) процедури контролю за повнотою та якістю даних про події операційного ризику, включаючи інструменти, що використовуються для такого контролю;
3) порядок та критерії класифікації подій операційного ризику за типами подій, бізнес-процесами, категоріями контрагентів;
4) критерії ідентифікації, класифікації та методологію розрахунку збитків від подій операційного ризику, пов'язаних із кредитним ризиком;
5) критерії визначення груп пов'язаних операційних подій;
6) опис основних інструментів, що використовуються під час управління операційним ризиком, та порядок їх використання;
7) порядок управління операційним ризиком, що властивий процесу співпраці з аутсорсерами;
8) чітке розмежування функцій управління операційним ризиком та комплаєнс-ризиком із метою уникнення їх дублювання;
9) порядок обміну інформацією між учасниками процесу управління операційним ризиком, включаючи види, форми й терміни подання інформації;
10) порядок забезпечення безперервної діяльності Установи.
48. Установа розробляє та впроваджує процедури контролю за повнотою та якістю даних про події операційного ризику, що передбачають:
1) розподіл обов'язків та відповідальності між підрозділами Установи щодо контролю за повнотою та якістю даних про події операційного ризику під час їх збору, унесення до бази внутрішніх подій операційного ризику та подальшої перевірки;
2) заходи поточного (під час збору та внесення даних до бази внутрішніх подій операційного ризику) та подальшого контролю за повнотою та якістю даних про події операційного ризику, включаючи автоматизовані та/або ручні перевірки щодо наявності помилок та суперечливості даних, відповідності обліковим, фінансовим, статистичним даним та даним управлінської звітності;
3) підходи з управління операційним ризиком із дотриманням моделі трьох ліній захисту.
49. Установа створює ефективну систему управління ринковим ризиком, що забезпечує своєчасну ідентифікацію, оцінку, моніторинг та контроль за впливом можливих змін ринкових факторів (процентних ставок, валютних курсів, вартості фінансових інструментів) на вартість активів та зобов'язань Установи під час прийняття рішень щодо залучення фінансування, здійснення інвестицій, операцій на ринках капіталу, операцій в іноземній валюті.
50. Установа з дотриманням у своїй діяльності принципу забезпечення сталого розвитку, екологічної та соціальної відповідальності, гендерної рівності та інклюзивності, заохочення практики відповідального ведення бізнесу, підтримки ініціатив “зеленого” фінансування зобов'язана запровадити надійні системи управління екологічними та соціальними ризиками шляхом організації:
1) здійснення в Установі заходів щодо забезпечення екологічної, техногенної, пожежної безпеки, інших заходів із цивільного захисту, а також забезпечення охорони праці;
2) розроблення та впровадження політики і процедур, спрямованих на забезпечення фінансовими установами дотримання вимог Установи, встановлених для фінансових установ щодо сталого розвитку та/або екологічних, соціальних та управлінських стандартів;
3) розроблення та затвердження стратегічних документів з управління екологічними та соціальними ризиками;
4) імплементації стратегічних документів з управління екологічними та соціальними ризиками у систему управління ризиками, створення належних умов для реалізації стратегічних завдань, включаючи навчання суб'єктів внутрішнього контролю з питань управління екологічними та соціальними ризиками;
5) належної оцінки екологічних та соціальних ризиків як у власній діяльності, так і під час надання послуг.
IV. Організація внутрішнього аудиту
51. Установа організовує роботу підрозділу з внутрішнього аудиту або особи, на яку покладено функцію проведення внутрішнього аудиту (внутрішнього аудитора) (далі - підрозділ внутрішнього аудиту) у системі внутрішнього контролю з дотриманням законодавства України та міжнародних стандартів професійної практики внутрішнього аудиту, включаючи Глобальні стандарти внутрішнього аудиту, прийняті Радою з міжнародних стандартів внутрішнього аудиту (International Internal Audit Standards Board - IIASB) та опубліковані 09 січня 2024 року Інститутом Внутрішніх Аудиторів (далі - Глобальні стандарти внутрішнього аудиту), на підставі положення про внутрішній аудит Установи.
52. Підрозділ внутрішнього аудиту підпорядковується Наглядовій раді та звітує перед нею.
53. Підрозділ внутрішнього аудиту організаційно не залежить від інших структурних підрозділів Установи (не підпорядковується таким структурним підрозділам). Підрозділ внутрішнього аудиту з метою забезпечення організаційної незалежності підрозділу внутрішнього аудиту повинен мати можливість прямого звернення до Наглядової ради.
54. Порядок діяльності підрозділу внутрішнього аудиту, його статус, функціональні обов'язки та повноваження визначаються в положенні про підрозділ внутрішнього аудиту, яке розробляється Установою та затверджується Наглядовою радою.
55. Установа відповідно до Глобальних стандартів внутрішнього аудиту зобов'язана мати внутрішні документи з питань внутрішнього аудиту, які повинні визначати:
1) стратегію внутрішнього аудиту Установи, яка щонайменше повинна містити бачення організації та подальшого розвитку функції внутрішнього аудиту, стратегічні цілі та заходи для досягнення стратегічних цілей з підтримки функції внутрішнього аудиту;
2) порядок та процедури здійснення внутрішнього аудиту Установи [складання плану (змін до плану) проведення внутрішніх аудиторських перевірок Установи, оформлення їх результатів та документування, програми забезпечення та підвищення якості внутрішнього аудиту, моніторинг (відстеження) підрозділом внутрішнього аудиту стану виконання рекомендацій (пропозицій), наданих за результатами внутрішніх аудиторських перевірок та порядок ескалювання органам управління Установи повідомлень про невиконання рекомендацій (пропозицій), наданих за результатами внутрішніх аудиторських перевірок];
3) методологію внутрішнього аудиту Установи, яка щонайменше повинна містити методологію побудови відносин і комунікації між підрозділом внутрішнього аудиту Установи та особами, які прямо або опосередковано зацікавлені в діяльності Установи і її результатах, методологію управління ресурсами внутрішнього аудиту для реалізації стратегії внутрішнього аудиту;
4) порядок організації функції внутрішнього аудиту, який щонайменше повинен містити мету, завдання, повноваження та обов'язки підрозділу внутрішнього аудиту, підзвітність підрозділу внутрішнього аудиту;
5) шляхи забезпечення постійного професійного розвитку компетенцій осіб, відповідальних за проведення внутрішнього аудиту та їх навчання;
6) критерії визначення значних змін у діяльності Установи.
56. Установа зобов'язана періодично (не рідше одного разу на рік) переглядати внутрішні документи з питань внутрішнього аудиту.
Установа переглядає внутрішні документи з питань внутрішнього аудиту в разі змін у законодавстві України, Глобальних стандартах внутрішнього аудиту, якщо зміни потребують урахування їх у внутрішніх документах з питань внутрішнього аудиту.
57. Наглядова рада зобов'язана забезпечити підрозділ внутрішнього аудиту ресурсами, необхідними для виконання функцій та річного плану внутрішнього аудиту.
58. Установа зобов'язана запровадити систему обов'язкового документування результатів навчання внутрішніх аудиторів, яка передбачає збереження документів про завершене навчання.
59. Винагорода внутрішніх аудиторів не повинна залежати від результатів роботи структурних підрозділів Установи.
60. Підрозділ внутрішнього аудиту зобов'язаний:
1) володіти знанням Глобальних стандартів внутрішнього аудиту, а також знаннями, навичками та вміннями, необхідними для виконання посадових обов'язків;
2) дотримуватися законодавства України, принципів та стандартів у сфері етики та професіоналізму, визначених Глобальними стандартами внутрішнього аудиту;
3) підвищувати свою кваліфікацію та розвивати професійну компетентність шляхом:
участі в професійних організаціях аудиторів;
проходження відповідного внутрішнього навчання, навчання у закладах освіти, що надають послуги з підвищення кваліфікації внутрішніх аудиторів, навчання, організованого професійними організаціями аудиторів.
61. Підрозділ внутрішнього аудиту [працівники підрозділу / особа, на яку покладено функцію проведення внутрішнього аудиту (внутрішній аудитор)] під час виконання функції внутрішнього аудиту в Установі зобов'язаний:
1) не розголошувати та не використовувати конфіденційної інформації, яка стала відома під час виконання функцій, на свою користь чи на користь третіх осіб та забезпечити збереження і своєчасне повернення одержаних від керівників або структурних підрозділів Установи документів та інформації на всіх носіях;
2) не брати участі в створенні та організації, включаючи разом зі структурними підрозділами Установи, будь-яких заходів та процесів, що забезпечують діяльність Установи (крім заходів та процесів внутрішнього аудиту) або сприймаються як такі, що впливають на неупередженість та об'єктивність внутрішніх аудиторів;
3) не брати участі в розробленні внутрішніх документів Установи (крім випадків консультаційних заходів, які передбачені функцією внутрішнього аудиту) та не візувати внутрішніх документів Установи.
62. Виконання функції внутрішнього аудиту Установи передбачає здійснення внутрішніх аудиторських перевірок Установи відповідно до Глобальних стандартів внутрішнього аудиту та річного плану проведення внутрішніх аудиторських перевірок на звітний рік, який готується підрозділом внутрішнього аудиту Установи на основі ризик орієнтованого підходу, та рекомендацій Національного банку (за наявності), і за потреби може переглядатися, якщо відбулися значні зміни у діяльності Установи, відповідно до критеріїв значних змін, визначених Установою.
63. Підрозділ внутрішнього аудиту подає річний план внутрішніх аудиторських перевірок на затвердження Наглядовій раді до 10 грудня року, що передує звітному.
Наглядова рада затверджує річний план внутрішніх аудиторських перевірок не пізніше 31 грудня року, що передує звітному.
64. Підрозділ внутрішнього аудиту має право проводити внутрішні аудиторські перевірки, які не включені до річного плану аудиторських перевірок (далі - позапланові внутрішні аудиторські перевірки), для забезпечення оцінки тих сфер діяльності Установи, в яких є (виникли) значні ризики протягом звітного року.
Позапланові внутрішні аудиторські перевірки можуть здійснюватися на вимогу Наглядової ради та/або за погодженою з Наглядовою радою ініціативою Правління чи підрозділу внутрішнього аудиту.
65. Підрозділ внутрішнього аудиту щороку поводить внутрішній аудит достовірності, повноти та вчасності звітності, яка надається Установою до Національного банку, на підставі бухгалтерського, управлінського обліку, та даних інформаційних систем Установи. Звіт за результатами такого аудиту повинен містити інформацію про показники, файли звітності, дані бухгалтерського, управлінського обліку та дані з інформаційних систем Установи, які підлягали аудиту, період перевірки, обсяг вибірки, встановлені недоліки та порушення, рекомендації та відповідальних за їх виконання, строки виконання рекомендацій.
V. Контрольна діяльність та контрольні заходи
66. Установа забезпечує здійснення процедур контролю шляхом:
1) розмежування функцій - працівники, відповідальні за вчинення правочинів, не мають права здійснювати бухгалтерський облік операцій, що виконуються за такими правочинами. В одному підрозділі не може бути зосереджено проведення операції, починаючи з її ініціювання до відображення в регістрах бухгалтерського обліку, обліковій та реєстраційній системі Установи, крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
2) контролю за введенням даних в облікову та реєстраційну систему, інші інформаційні системи Установи - уведення інформації / операції в облікову та реєстраційну системи, інші інформаційні системи одним працівником (виконавцем) повинно супроводжуватись обов'язковою перевіркою іншим працівником (контролером), крім операцій з установленим механізмом контролю з використанням відповідного програмного забезпечення;
3) звіряння даних - звіряння даних має відбуватися між різними інформаційними та обліковими системами, а також на різних етапах оброблення даних, що реалізується шляхом порівняння детальної інформації та/або кінцевих даних;
4) контролю за виправленнями - унесення будь-яких виправлень до вхідної інформації в обліковій та реєстраційній системі, інших системах фінансової системи повинно бути додатково проконтрольовано особою, яка є штатним працівником Установи та не є виконавцем такого виправлення.
67. Установа здійснює контрольну діяльність шляхом:
1) запровадження та виконання заходів із контролю щодо всіх процесів та на всіх організаційних рівнях;
2) розгляду звітів, підготовлених за результатами здійснення контрольних заходів;
3) налаштування надійної системи звітування структурних / відокремлених підрозділів перед Установою про інциденти, що сталися (визначаються Установою самостійно у внутрішніх документах).
68. Установа, розробляє та контролює виконання внутрішніх документів, що встановлюють:
1) види, періодичність та порядок здійснення заходів із контролю;
2) підрозділи / працівників, відповідальні / відповідальних за проведення заходів із контролю;
3) облікову політику Установи;
4) правила здійснення контролю за повнотою і точністю облікової інформації та достовірністю звітності Установи (фінансової та регуляторної), звітів у межах системи внутрішнього контролю, їх види, періодичність та порядок підготовки;
5) періодичність та порядок розгляду звітів;
6) осіб / органи управління Установи, уповноважених / уповноважені здійснювати розгляд звітів;
7) регламенти / порядки складання звітів у межах системи внутрішнього контролю;
8) перелік інформації з обмеженим доступом, порядок використання та розкриття такої інформації, включаючи порядок та процедури захисту та обробки персональних даних працівників Установи;
9) порядок реєстрації, розгляду та опрацювання звернень громадян, юридичних осіб, фізичних осіб-підприємців, громадських формувань, органів державної влади та місцевого самоврядування;
10) види, періодичність та порядок здійснення заходів із контролю, підрозділи / працівників, відповідальні / відповідальних за проведення заходів із контролю, види, періодичність та порядок підготовки звітів, періодичність, порядок та осіб, уповноважених здійснювати розгляд звітів;
11) перелік та опис способів здійснення моніторингу та контролю за функціями, що виконуються аутсорсерами.
69. Установа здійснює заходи з контролю з метою запобігання, виявлення та усунення порушень законодавства України та внутрішніх документів.
70. Установа застосовує заходи, дотримання яких свідчить про впровадження та ефективне функціонування контрольної діяльності як компонента системи внутрішнього контролю Установи, якими щонайменше є:
1) затвердження внутрішніх документів щодо системи внутрішнього контролю та доведення їх змісту до відома всіх суб'єктів внутрішнього контролю (у межах їх компетенції);
2) визначення у внутрішніх документах Установи видів контрольної діяльності за інформаційними та обліковими системами й технологіями (за потреби).
VI. Контроль за інформаційними потоками та комунікаціями
71. Установа визначає у внутрішньому документі / внутрішніх документах порядок здійснення суб'єктами внутрішнього контролю зовнішніх та внутрішніх комунікацій, порядок використання та отримання інформації з урахуванням установлення вимог до:
1) порядку роботи із зовнішньою / внутрішньою кореспонденцією, визначення відповідальних за адміністрування вхідної кореспонденції (права доступу, періодичність і терміни опрацювання);
2) процедури визначення кінцевих отримувачів та відповідальних за підготовку відповідей на вхідну кореспонденцію;
3) установлення обмежень на поширення інформації за межі Установи, надісланої Установі Національним банком як цільовому респонденту;
4) порядку дій суб'єктів внутрішнього контролю в разі виникнення технічних збоїв інформаційно-комунікаційних систем, що використовуються для отримання, обробки або передавання інформації, включаючи визначення резервних каналів комунікації, відповідальних осіб за інформування керівництва та зацікавлених підрозділів, а також порядку фіксації та документування таких випадків.
72. Установа зобов'язана запровадити критерії, які свідчать про забезпечення якості інформації, що створюється, використовується та отримується Установою у діяльності, якими щонайменше є:
1) актуальність, що полягає у внесенні змін до інформації та повідомленні заінтересованих осіб про такі зміни протягом розумного строку з моменту настання обставин, що спричинили необхідність їх унесення;
2) коректність, що полягає в забезпеченні достовірності та повноти інформації;
3) цілісність, що полягає у вжитті заходів із метою захисту інформації, включно з використанням інформаційних систем і технологій, спрямованих на захист інформації від спотворення, пошкодження, втрати або знищення;
4) збереження, що полягає в збереженні інформації протягом усього строку її використання Установою, але не менше строків, визначених законодавством України та внутрішніми документами;
5) доступність, що полягає у визначенні у внутрішньому / внутрішніх документі / документах переліків інформації, яка є:
загальнодоступною;
з обмеженим доступом - може бути отримана та/або використана суб'єктами внутрішнього контролю виключно в межах їх повноважень;
6) достатність, що полягає у відповідності рівня деталізації інформації потребам внутрішніх та зовнішніх користувачів.
73. Установа зобов'язана визначити у внутрішньому документі / внутрішніх документах порядок проведення перевірки якості інформації, достовірність джерела походження такої інформації.
Перевірка якості інформації має проводитись уповноваженими суб'єктами внутрішнього контролю.
74. Установа зобов'язана забезпечити суб'єктів внутрішнього контролю можливістю використовувати інформаційні системи та технології, функціональні можливості яких дають змогу проводити перевірки дотримання критеріїв якості інформації.
75. Установа має право запроваджувати внутрішню систему повідомлення працівниками (включаючи конфіденційно) про виявлені ризики порушення вимог законодавства України та внутрішніх документів.
Порядок роботи такої системи в разі її запровадження повинен бути визначений у внутрішніх документах та доведений до відома всіх працівників.
76. Установа визначає у внутрішніх документах заходи з контролю під час здійснення зовнішньої комунікації, включаючи порядок отримання інформації від зовнішніх користувачів, її перевірки та передавання цієї інформації в межах організаційної структури Установи.
77. Суб'єкти внутрішнього контролю, уповноважені здійснювати зовнішні комунікації, зобов'язані дотримуватися вимог законодавства України та внутрішніх документів Установи щодо нерозголошення інформації з обмеженим доступом.
78. Установа зобов'язана дотримуватися критеріїв якості інформації, визначених у пункті 72 розділу VI цього Положенням, під час здійснення внутрішньої та зовнішньої комунікації.
79. Установа має право встановити у внутрішніх документах порядок проведення оцінки якості та ефективності внутрішніх та зовнішніх комунікацій, їх впливу на ефективне функціонування системи внутрішнього контролю та на досягнення цілей діяльності.
VII. Моніторинг ефективності системи внутрішнього контролю
80. Установа здійснює моніторинг ефективності системи внутрішнього контролю відповідно до вимог цього Положення та внутрішніх документів із метою:
1) оцінки якості роботи системи внутрішнього контролю за певний період часу;
2) визначення здатності системи внутрішнього контролю забезпечити досягнення цілей діяльності Установи, включаючи визначення ймовірності виникнення та оцінку суттєвості потенційно можливих недоліків системи внутрішнього контролю, що можуть спричинити негативний вплив на досягнення цілей;
3) розроблення заходів, спрямованих на мінімізацію негативного впливу ризиків з метою вдосконалення системи внутрішнього контролю.
81. Установа обирає види заходів із моніторингу системи внутрішнього контролю, включаючи моніторинг ефективності процедур із контролю та оцінку ефективності системи внутрішнього контролю як комбінацію поточних та періодичних заходів із моніторингу з урахуванням установлених цілей діяльності, кількості та складності видів контролю, ймовірності виникнення недоліків, а також кваліфікації та досвіду працівників.
82. Установа має право визначати у внутрішніх документах, крім суб'єктів третьої лінії захисту, й інших суб'єктів першої й другої ліній захисту, уповноважених здійснювати моніторинг ефективності внутрішнього контролю.
83. Установа зобов'язана запровадити заходи, дотримання яких свідчить про впровадження та функціонування моніторингу ефективності системи внутрішнього контролю як компонента системи внутрішнього контролю Установи, якими щонайменше є:
1) установлення у внутрішніх документах Установи порядку здійснення поточних і періодичних перевірок відповідності законодавству України та внутрішнім документам, якості та ефективності системи внутрішнього контролю;
2) забезпечення належного здійснення уповноваженими суб'єктами внутрішнього контролю оцінок компонентів системи внутрішнього контролю та своєчасне повідомлення про виявлені недоліки системи внутрішнього контролю та/або допущені суб'єктами внутрішнього контролю порушення та причини їх вчинення, відповідальних за прийняття рішення про здійснення заходів для усунення виявлених недоліків, порушень та/або внесення змін до внутрішніх документів.
84. Суб'єкти третьої лінії захисту Установи зобов'язані здійснювати не рідше одного разу на рік загальну оцінку ефективності системи внутрішнього контролю відповідно до вимог законодавства України.
85. Установа здійснює обов'язкові поточні та періодичні заходи з моніторингу ефективності системи внутрішнього контролю.
Поточні заходи з моніторингу здійснюються з метою оперативного виявлення та усунення недоліків системи внутрішнього контролю. Відповідальність за проведення таких заходів несуть суб'єкти першої та другої ліній захисту в межах повноважень.
Періодичні заходи з моніторингу, включаючи оцінку ефективності системи внутрішнього контролю, здійснюються суб'єктами третьої лінії захисту з метою виявлення недоліків після факту події.
86. Підрозділ внутрішнього аудиту Установи зобов'язаний за результатами здійснення моніторингу ефективності системи внутрішнього контролю складати звіти, що подаються на розгляд Наглядової ради.
87. Звіти, що подаються на розгляд Наглядової ради, мають містити інформацію про виявлені недоліки системи внутрішнього контролю та порушення (за наявності), аналіз причин їх виникнення, ймовірні наслідки, до яких можуть призвести ці недоліки, рекомендації / пропозиції щодо підвищення ефективності функціонування системи внутрішнього контролю, процес контролю за станом виконання рекомендацій / пропозицій, затверджених раніше.
88. Установа забезпечує подання звітів щодо результатів моніторингу ефективності системи внутрішнього контролю також працівникам, які відповідають за здійснення заходів коригування, та керівникам у межах визначених повноважень.
VIII. Контроль за умовами співпраці з партнерськими установами
89. Установа розробляє та затверджує в порядку, визначеному Законом про Національну установу розвитку, внутрішні документи щодо контролю за умовами співпраці з партнерськими установами, в яких визначає критерії відбору партнерських установ, з урахуванням щонайменше оцінки фінансової стійкості, регуляторної надійності, операційної спроможності партнерської установи, а також рівня репутаційного ризику.
90. Критерії відбору партнерських установ повинні бути вимірюваними, прозорими, порівнюваними, обґрунтованими та забезпечувати об'єктивність відбору, рівність умов участі та недопущення дискреційних, необґрунтовано дискримінаційних рішень під час відбору партнерських установ та подальшої співпраці з ними.
91. Установа:
1) визначає у внутрішніх документах процедури та заходи з контролю щодо:
перевірки партнерських установ на відповідність умовам співпраці та критеріям відбору партнерських установ, що є вимірюваними, прозорими, порівнюваними, обґрунтованими та забезпечують об'єктивність відбору, рівність умов участі та недопущення дискреційних, необґрунтовано дискримінаційних рішень під час відбору партнерських установ та подальшої співпраці з ними;
дотримання з партнерськими установами умов співпраці;
2) встановлює порядок припинення відносин з партнерськими установами в разі їх невідповідності умовам співпраці та/або порушення ними умов співпраці.
IX. Аутсорсинг
92. Установа має право залучати інших осіб на договірній основі для виконання окремих функцій та/або окремих завдань / процесів у межах цих функцій на умовах аутсорсингу відповідно до частини десятої статті 12 Закону про Національну установу розвитку.
93. Установа має право передати окремі функції та/або окремі завдання / процеси в межах цих функцій на аутсорсинг з урахуванням обмежень, визначених Законом про Національну установу розвитку, за умови дотримання вимог, встановлених у частині десятій статті 12 Закону про Національну установу розвитку, та призначення штатного працівника Установи, відповідального за контроль за аутсорсингом у разі аутсорсингу функцій Установи (крім аутсорсингу виконання окремих завдань та процесів у межах таких функцій).
94. Внутрішні документи Установи щодо аутсорсингу повинні щонайменше містити:
1) перелік операцій, функцій та/або окремих завдань / процесів у межах цих функцій, до виконання яких можуть залучатися аутсорсери, з урахуванням обмежень, установлених Законом про Національну установу розвитку;
2) порядок та особливості здійснення внутрішнього контролю та управління ризиками щодо функцій та/або окремих завдань / процесів у межах функцій, які реалізовуватимуть аутсорсери;
3) порядок передавання функцій та/або окремих завдань / процесів у межах функцій на аутсорсинг та розірвання договорів з аутсорсерами;
4) порядок організації роботи Установи з аутсорсерами та припинення роботи з ними;
5) порядок ведення обліку договорів аутсорсингу;
6) вимоги до договору аутсорсингу.
95. Установа має право включити до договору аутсорсингу:
1) перелік функцій та/або окремих завдань / процесів у межах цих функцій, які передаються на аутсорсинг відповідно до такого договору;
2) строк виконання функцій та/або окремих завдань / процесів у межах цих функцій;
3) порядок розірвання договору, включаючи за умови надходження вимоги Національного банку щодо припинення такого договору;
4) порядок врегулювання конфлікту інтересів (у разі його виникнення);
5) забезпечення аутсорсерами захисту інформації, отриманої під час виконання функцій, які передано на аутсорсинг;
6) відповідальність за розголошення персональних даних клієнтів;
7) забезпечення аутсорсерами доступу Установі до інформації, обладнання, облікових систем, що використовуються нею для виконання функцій та/або окремих завдань / процесів у межах цих функцій, переданих Установою на аутсорсинг, з метою перевірки виконання зобов'язань, визначених у договорі аутсорсингу.
96. Установа несе відповідальність за ризики, пов'язані з передаванням функцій та/або окремих завдань / процесів у межах цих функцій на аутсорсинг та виконанням аутсорсерами переданих на аутсорсинг функцій та/або окремих завдань / процесів у межах цих функцій.
97. Передавання Установою функцій та/або завдань / процесів у межах цих функцій на аутсорсинг не звільняє від відповідальності Установу та/або керівників Установи за невиконання нею / ними вимог, установлених законодавством України.
98. Установа зобов'язана письмово повідомити Національний банк у довільній формі про залучення аутсорсерів протягом трьох робочих днів із дня укладення договору з такими аутсорсерами щодо передавання ключових функцій та/або окремих завдань / процесів у межах ключових функцій на аутсорсинг.
99. Повідомлення в довільній формі про залучення аутсорсерів, визначене в пункті 98 розділу IX цього Положення, містити інформацію про:
1) особу, яка виконуватиме окремі ключові функції та/або окремі завдання / процеси в межах ключових функцій;
2) для юридичної особи - повне та скорочене найменування, місцезнаходження, код за Єдиним державним реєстром підприємств та організацій України (для резидентів) або витяг із торговельного, банківського, судового реєстру або іншого офіційного документа, виданого уповноваженим органом іноземної країни, що підтверджує реєстрацію компанії в країні, у якій зареєстровано її головний офіс, і містить інформацію про ідентифікаційний / реєстраційний номер / код (для нерезидентів);
3) для фізичної особи-підприємця - прізвище, власне ім'я та по батькові (за наявності), відомості про місце проживання або місце перебування, реєстраційний номер облікової картки платника податків або серія та номер / номер паспорта у формі ID-картки (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера платника податків, повідомили про це відповідний контролюючий орган і мають відмітку в паспорті), дату та номер запису в Єдиному державному реєстрі про проведення державної реєстрації;
4) дату початку надання послуг аутсорсера;
5) дату припинення надання послуг аутсорсера.
100. Установа має право одночасно залучати кількох осіб для виконання функцій та/або окремих завдань / процесів у межах функцій за умови дотримання вимог щодо управління конфліктом інтересів.