Тип: Постанова
№ 151
Дата: 19 грудня 2025 р.
Статус: Чинний
ПРАВЛІННЯ НАЦІОНАЛЬНОГО БАНКУ УКРАЇНИ
ПОСТАНОВА
19 грудня 2025 року № 151
Про внесення змін до деяких нормативно-правових актів Національного банку України з питань організації внутрішнього аудиту в банках України та банківських групах
Відповідно до статей 7, 15, 56 Закону України “Про Національний банк України”, статей 9, 39, 44, 45, 66, 67 Закону України “Про банки і банківську діяльність”, з метою підвищення ефективності роботи підрозділу внутрішнього аудиту банку, забезпечення стабільності діяльності банків та захисту інтересів вкладників і кредиторів банків Правління Національного банку України постановляє:
1. Унести до постанови Правління Національного банку України від 10 травня 2016 року № 311 “Про затвердження Положення про організацію внутрішнього аудиту в банках України” такі зміни:
1) заголовок постанови викласти в такій редакції:
“Про затвердження Положення про організацію внутрішнього аудиту в банках України та банківських групах”;
2) пункт 1 викласти в такій редакції:
“1. Затвердити Положення про організацію внутрішнього аудиту в банках України та банківських групах.”.
2. Унести зміни до Положення про організацію внутрішнього аудиту в банках України, затвердженого постановою Правління Національного банку України від 10 травня 2016 року № 311 (зі змінами) (далі - Положення), виклавши його в новій редакції, що додається.
3. Банкам України / відповідальним особам банківських груп розробити / доопрацювати та запровадити внутрішньобанківські / внутрішньогрупові документи з питань внутрішнього аудиту відповідно до вимог Положення до 01 липня 2026 року.
4. Департаменту методології регулювання діяльності банків (Оксана Присяженко) після офіційного опублікування довести до відома банків України інформацію про прийняття цієї постанови.
5. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.
Голова
Андрій ПИШНИЙ
Інд. 22
ЗАТВЕРДЖЕНО
Постанова Правління
Національного банку України
10 травня 2016 року № 311
(у редакції постанови Правління
Національного банку України
від 19 грудня 2025 року № 151)
Положення
про організацію внутрішнього аудиту в банках України та банківських групах
I. Загальні положення
1. Основні положення та терміни
1. Це Положення розроблено відповідно до Законів України “Про Національний банк України”, “Про банки і банківську діяльність”, з урахуванням принципів і рекомендацій Базельського комітету з банківського нагляду щодо функції внутрішнього аудиту в банках, положень Директиви Європейського Парламенту і Ради 2013/36/ЄС від 26 червня 2013 року про доступ до діяльності кредитних установ і пруденційний нагляд за кредитними установами та інвестиційними фірмами, про внесення змін до Директиви 2002/87/ЄС та про скасування директив 2006/48/ЄС та 2006/49/ЄС, Підсумкового звіту Європейського органу банківського нагляду щодо Настанов з внутрішнього управління відповідно до Директиви 2013/36/ЄС (EBA/GL/2021/05 від 02 липня 2021 року), а також документів міжнародних стандартів професійної практики внутрішнього аудиту, включаючи Глобальні стандарти внутрішнього аудиту, прийняті Радою з міжнародних стандартів внутрішнього аудиту (International Internal Audit Standards Board - IIASB) та опубліковані 09 січня 2024 року міжнародним Інститутом внутрішніх аудиторів (далі - Міжнародні стандарти внутрішнього аудиту).
2. Терміни, що використовуються в цьому Положенні, вживаються в таких значеннях:
1) аудиторська перевірка - діяльність підрозділу внутрішнього аудиту, що полягає у проведенні незалежної, об'єктивної та основаної на ризик-орієнтованому підході оцінці для надання впевненості, яка, серед іншого, включає виконання завдань внутрішнього аудиту для оцінки відповідності, завдань у сфері фінансів, операційної діяльності та інформаційно-комунікаційних технологій з метою надання впевненості щодо ефективності та адекватності корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі;
2) аудиторський звіт (висновок за результатами завдання внутрішнього аудиту) - професійне судження внутрішніх аудиторів щодо спостережень, виявлених під час виконання завдання, яке ґрунтується на об'єктивній оцінці сукупності фактів та доказів;
3) внутрішній аудитор - керівник та/або працівник підрозділу внутрішнього аудиту банку;
4) завдання внутрішнього аудиту - окреме завдання внутрішнього аудиту з надання впевненості або консультаційних послуг, що включає завдання та/або види діяльності, спрямовані на досягнення очікуваних результатів та чіткий кінцевий результат, якого необхідно досягти під час виконання такого завдання;
5) зацікавлена особа - сторона, прямо або опосередковано зацікавлена в результатах діяльності банку / банківської групи, включаючи акціонерів банку, раду банку, комітет з питань аудиту (аудиторський комітет) (у разі його створення), правління банку, органи управління учасників банківської групи, Національний банк України (далі - Національний банк) та зовнішніх аудиторів;
6) зовнішній аудитор - аудиторська фірма, яка відповідно до законодавства України здійснює аудит річної фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності банку / консолідованої річної фінансової звітності банківської групи / учасника банківської групи, а також надає аудиторські послуги банку / відповідальній особі банківської групи / учаснику банківської групи;
7) керівник підрозділу внутрішнього аудиту - посадова особа банку / відповідальної особи банківської групи, відповідальна за ефективне управління всіма аспектами функції внутрішнього аудиту відповідно до Міжнародних стандартів внутрішнього аудиту та законодавства України;
8) комітет з питань аудиту (аудиторський комітет) - комітет, що створюється радою банку зі складу її членів, з яких хоча б одна особа має практичний досвід у сфері аудиту, фінансової звітності та бухгалтерського обліку, для забезпечення контролю за впровадженням адекватної системи внутрішнього контролю, формуванням політики внутрішнього аудиту, бухгалтерського обліку та фінансової звітності, проведенням зовнішнього аудиту;
9) консультаційні послуги - діяльність підрозділу внутрішнього аудиту, що полягає у наданні внутрішніми аудиторами консультацій зацікавленим особам з метою вдосконалення корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, без надання впевненості та без виконання обов'язків органів управління банку / відповідальної особи банківської групи;
10) куратор завдання внутрішнього аудиту - внутрішній аудитор, уповноважений керівником підрозділу внутрішнього аудиту на здійснення контролю за виконанням завдання внутрішнього аудиту та за його результатами;
11) надання впевненості - свідчення, спрямоване на надання впевненості та/або підвищення рівня впевненості зацікавлених осіб щодо організаційних процесів ефективного та адекватного корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі;
12) підрозділ внутрішнього аудиту - незалежний постійно діючий підрозділ банку / відповідальної особи банківської групи, що забезпечує виконання функції внутрішнього аудиту та діє на підставі положення про підрозділ внутрішнього аудиту та статуту внутрішнього аудиту;
13) положення про підрозділ внутрішнього аудиту - внутрішньобанківський / внутрішньогруповий документ, затверджений радою банку / відповідальної особи банківської групи з урахуванням пропозицій, наданих комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), що визначає статус, права та обов'язки підрозділу внутрішнього аудиту;
14) програма завдання внутрішнього аудиту - документ, який визначає завдання, що мають бути виконані працівником / групою працівників підрозділу внутрішнього аудиту для досягнення цілей завдання, строк виконання, а також методологію та необхідні для виконання таких завдань інструменти і перелік внутрішніх аудиторів, призначених для виконання цих завдань;
15) професійний скептицизм - ставлення внутрішнього аудитора до отриманої під час виконання завдання внутрішнього аудиту інформації, що включає ставлення під сумнів і критичну оцінку достовірності інформації, та уважність до обставин, які можуть свідчити про можливі викривлення внаслідок шахрайства чи помилки;
16) річний план внутрішнього аудиту - затверджений радою банку / відповідальної особи банківської групи документ, що ґрунтується на ризик-орієнтованому підході, стратегії банку / банківської групи та визначає завдання та інші послуги внутрішнього аудиту, визначені для проведення аудиту впродовж року;
17) робочі документи - документи та/або записи в електронній або паперовій формі, що створюються під час планування та виконання завдань внутрішнього аудиту;
18) спостереження внутрішнього аудиту - встановлення факту наявності невідповідності між критеріями оцінки і фактичним станом діяльності, що перевіряється;
19) статут внутрішнього аудиту - політика функції внутрішнього аудиту, що є внутрішньобанківським / внутрішньогруповим документом, затвердженим радою банку / відповідальної особи банківської групи з урахуванням пропозицій, наданих комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), що визначає мандат внутрішнього аудиту (повноваження, відповідальність і роль внутрішнього аудиту), цілі, підзвітність та організаційну структуру функції внутрішнього аудиту, види завдань внутрішнього аудиту відповідно до вимог законодавства України та Міжнародних стандартів внутрішнього аудиту, а також порядок взаємодії внутрішніх аудиторів з радою банку / відповідальної особи банківської групи / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), правлінням банку, зовнішніми аудиторами, керівниками структурних підрозділів банку, Національним банком та іншими зацікавленими особами;
20) функція внутрішнього аудиту - діяльність підрозділу внутрішнього аудиту, що забезпечує виконання функції третьої лінії захисту шляхом надання впевненості та/або консультаційних послуг щодо реалізації стратегії та бізнес-плану банку, застосовуючи систематичний, послідовний підхід до оцінки та вдосконалення процесів корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, а також надання рекомендацій щодо їх удосконалення.
Інші терміни, які вживаються в цьому Положенні, використовуються в значеннях, визначених Законом України “Про банки і банківську діяльність”, іншими законами України, нормативно-правовими актами Національного банку, якщо в них немає відповідних визначень, - Міжнародними стандартами внутрішнього аудиту.
3. Це Положення визначає основні принципи та встановлює мінімальні вимоги до організації в банках і банківських групах незалежної та ефективної функції внутрішнього аудиту.
4. Банк / відповідальна особа банківської групи у своїх внутрішньобанківських / внутрішньогрупових документах має право встановити детальніші вимоги до організації функції внутрішнього аудиту, що враховують особливості діяльності банку / учасників банківської групи, характер та обсяги банківських та інших фінансових послуг, корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, особливості взаємодії між відповідальною особою та учасниками банківської групи, дотримуючись мінімальних вимог, визначених у цьому Положенні.
Банк / відповідальна особа банківської групи у своїх внутрішньобанківських / внутрішньогрупових документах мають право встановлювати поглибленіший підхід до організації функції внутрішнього аудиту, адекватний особливостям його діяльності, характеру і обсягам банківських та інших фінансових послуг, дотримуючись мінімальних вимог, визначених у цьому Положенні, та враховуючи рекомендації Базельського комітету з банківського нагляду щодо функції внутрішнього аудиту в банках, Міжнародні стандарти внутрішнього аудиту та документи Європейського органу банківського нагляду з внутрішнього управління щодо внутрішнього аудиту.
5. Банк / відповідальна особа банківської групи організовує незалежну та ефективну функцію внутрішнього аудиту, що відповідає розміру банку / банківської групи, бізнес-моделі, масштабу діяльності, видам та складності операцій банку / учасників банківської групи для забезпечення ефективності корпоративного управління, системи внутрішнього контролю, системи управління ризиками в банку / банківській групі, а також ефективної взаємодії між відповідальною особою та учасниками банківської групи, реалізації стратегії та бізнес-плану банку / банківської групи.
Банк / відповідальна особа банківської групи не має права передавати функцію внутрішнього аудиту на аутсорсинг, крім передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту, визначених у цьому Положенні.
6. Наявність фактів недотримання вимог щодо організації та функціонування незалежної та ефективної функції внутрішнього аудиту в банку / банківській групі, порушень норм цього Положення та внутрішньобанківських / внутрішньогрупових документів є підставою для негативних висновків щодо організації функції внутрішнього аудиту, а також застосування до банку / відповідальної особи банківської групи заходів впливу в порядку, установленому в Положенні про застосування Національним банком України заходів впливу, затвердженому постановою Правління Національного банку України від 17 серпня 2012 року № 346, зареєстрованому в Міністерстві юстиції України 17 вересня 2012 року за № 1590/21902 (зі змінами) (далі - Положення № 346).
7. Вимоги щодо внутрішніх перевірок дотримання банком вимог законодавства України у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - у сфері ПВК/ФТ), включаючи оцінку достатності вжитих банком заходів з управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, визначаються в Положенні про здійснення банками фінансового моніторингу, затвердженому постановою Правління Національного банку України від 19 травня 2020 року № 65 (зі змінами) (далі - Положення № 65).
8. Відповідальна особа банківської групи забезпечує дотримання учасниками банківської групи вимог щодо внутрішніх перевірок дотримання банком, небанківською фінансовою установою вимог законодавства України у сфері ПВК/ФТ, включаючи оцінку достатності вжитих банком, небанківською фінансовою установою заходів з управління ризиками легалізації (відмивання) доходів, одержаних злочинним шляхом, фінансування тероризму та фінансування розповсюдження зброї масового знищення, визначених у Положенні № 65, Положенні про здійснення установами фінансового моніторингу, затвердженому постановою Правління Національного банку України від 28 липня 2020 року № 107 (зі змінами) (далі - Положення № 107).
9. Рада банку / відповідальної особи банківської групи забезпечує організаційне та функціональне відокремлення підрозділу внутрішнього аудиту від підрозділів першої та другої ліній захисту.
10. Рада банку / відповідальної особи банківської групи забезпечує організацію та функціонування функції внутрішнього аудиту в банку / банківській групі, що передбачає:
1) створення ефективної організаційної структури функції внутрішнього аудиту в банку / банківській групі;
2) розроблення та контроль за дотриманням внутрішньобанківських / внутрішньогрупових документів з питань внутрішнього аудиту, що визначають щонайменше мандат функції внутрішнього аудиту, стратегію внутрішнього аудиту, методологію внутрішнього аудиту, процес оцінки ризиків, річного плану внутрішнього аудиту;
3) інтегрованість функції внутрішнього аудиту в процеси корпоративного управління, включаючи взаємодію з радою, правлінням банку / відповідальної особи банківської групи та зовнішнім аудитором.
11. Рада відповідальної особи банківської групи забезпечує функціонування незалежної та ефективної функції внутрішнього аудиту в банківській групі, що передбачає:
1) ефективну взаємодію між відповідальною особою та учасниками банківської групи;
2) наявність внутрішньогрупових документів, зазначених у пункті 32 глави 9 розділу I цього Положення, що визначають чіткий розподіл функцій, обов'язків та повноважень з внутрішнього аудиту в учасниках банківської групи;
3) забезпечення інтегрованості функції внутрішнього аудиту учасників банківської групи з урахуванням вимог, установлених державними органами, що здійснюють регулювання ринків фінансових послуг, щодо корпоративного управління, системи внутрішнього контролю, системи управління ризиками в таких учасниках банківської групи, на індивідуальній основі.
12. Рада відповідальної особи банківської групи з метою організації функції внутрішнього аудиту в банківській групі та виконання вимог цього Положення має право прийняти рішення щодо здійснення внутрішнього аудиту в учасниках банківської групи в один із таких способів:
1) аудиторська перевірка учасника банківської групи (крім банку) здійснюється підрозділом внутрішнього аудиту відповідальної особи банківської групи;
2) аудиторська перевірка учасника банківської групи здійснюється підрозділом внутрішнього аудиту / головним внутрішнім аудитором учасника банківської групи з дотриманням вимог та процедур, встановлених внутрішньогруповими документами, та звітуванням про результат такої перевірки керівнику підрозділу внутрішнього аудиту відповідальної особи банківської групи.
13. Відповідальна особа банківської групи має право організовувати функцію внутрішнього аудиту в банківській групі без урахування учасників банківської групи, звітність яких вона має право не враховувати під час складання консолідованої звітності банківської групи / субконсолідованої звітності підгрупи банківської групи згідно з вимогами Положення про порядок регулювання діяльності банківських груп, затвердженого постановою Правління Національного банку України від 20 червня 2012 року № 254, зареєстрованого в Міністерстві юстиції України 12 липня 2012 року за № 1178/21490 (зі змінами).
2. Мета та принципи організації функції внутрішнього аудиту
14. Мета функції внутрішнього аудиту в банку / банківській групі (далі - банк) - засноване на ризик-орієнтованому підході надання впевненості зацікавленим особам, включаючи раду та правління банку / відповідальної особи банківської групи (далі - рада та правління банку), щодо:
1) відповідності всіх видів діяльності підрозділів банку (включаючи функції банку, передані на аутсорсинг) порядкам та процедурам, визначеним у внутрішньобанківських / внутрішньогрупових документах (далі - внутрішньобанківські документи), а також вимогам законодавства України;
2) ефективності корпоративного управління, системи внутрішнього контролю, системи управління ризиками.
15. Рада банку забезпечує створення та функціонування незалежної та ефективної функції внутрішнього аудиту з дотриманням таких принципів:
1) чесність - дотримання внутрішніми аудиторами корпоративних цінностей банку, стандартів професійної етики, моральних принципів, що включають прозорість, професійну сміливість, відкритість і об'єктивність у прийнятті рішень незалежно від наявності стороннього впливу чи ризику негативних наслідків, а також здійснення діяльності на основі достовірних і достатніх фактів;
2) об'єктивність - неупереджене ставлення внутрішніх аудиторів, що забезпечує об'єктивне та незалежне формування професійного судження внутрішнього аудитора, проведення оцінок та надання висновків без будь-якого стороннього впливу, упереджень чи конфлікту інтересів;
3) професійна компетентність - наявність у внутрішніх аудиторів достатніх знань, навичок та досвіду, необхідних для проведення внутрішнього аудиту всіх сфер діяльності банку та оцінки ризиків;
4) належна професійна ретельність - обов'язок внутрішніх аудиторів діяти з уважністю, професійною обережністю, аналітичною розсудливістю та обґрунтованим професійним скептицизмом під час планування, виконання та документування результатів виконання завдань внутрішнього аудиту;
5) конфіденційність - захист та належне використання внутрішніми аудиторами інформації, отриманої під час виконання завдань внутрішнього аудиту, включаючи інформацію з обмеженим доступом, а також банківську, комерційну таємницю та таємницю фінансової послуги;
6) пропорційність (адекватність) - забезпечення відповідності структури, ресурсів, обсягів та інтенсивності здійснення внутрішнього аудиту розмірам, складності та рівню ризиків банку;
7) незалежність - свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом внутрішнього аудиту своїх функцій;
8) ризик-орієнтованість - організація функції внутрішнього аудиту та діяльності підрозділу внутрішнього аудиту, що ґрунтується на ризик-орієнтованому підході та передбачає застосування поглибленіших та частіших заходів з внутрішнього аудиту до сфер діяльності банку, яким притаманні більші ризики.
16. Рада банку, комітет з питань аудиту (аудиторський комітет) (у разі його створення), правління банку та керівник підрозділу внутрішнього аудиту формують та підтримують атмосферу (англійською мовою tone at the top) з метою сприяння дотриманню встановлених у пункті 15 глави 2 розділу I цього Положення принципів організації функції внутрішнього аудиту.
3. Принцип чесності
17. Банк з метою дотримання принципу чесності визначає у внутрішньобанківських документах щонайменше такі обов'язки внутрішніх аудиторів:
1) діяти чесно та з професійною сміливістю, демонструючи правдивість, точність, зрозумілість та відкритість під час виконання своїх обов'язків;
2) не надавати неправдиву, викривлену чи неповну відому внутрішнім аудиторам інформацію, а також не приховувати та не ігнорувати виявлені факти, порушення або іншу суттєву інформацію;
3) розкривати всі відомі суттєві обставини, які можуть вплинути на здатність керівництва банку приймати обґрунтовані рішення;
4) дотримуватися та сприяти формуванню та впровадженню корпоративних цінностей банку, які є невід'ємною частиною кодексу поведінки (етики) банку, демонструючи взаємну повагу, навіть під час висловлення альтернативної чи протилежної думки, а також проявляючи професійний скептицизм;
5) бути зрозумілими та відкритими під час виконання своїх обов'язків, включаючи підготовку робочих документів та результатів виконання завдань внутрішнього аудиту;
6) інформувати підрозділ контролю за дотриманням норм (комплаєнс) про встановлені під час аудиторської перевірки випадків порушення кодексу поведінки (етики) банку або наявність обґрунтованих підстав, що можуть свідчити, що кодекс поведінки (етики) банку порушується;
7) утримуватися від будь-якої діяльності, яка є незаконною та/або може дискредитувати банк та/або функцію внутрішнього аудиту.
18. Банк з метою дотримання принципу чесності щонайменше забезпечує:
1) включення до річного плану внутрішнього аудиту оцінки адекватності та ефективності системи внутрішнього контролю, включаючи дотримання кодексу поведінки (етики) банку, а також оцінки ризиків, пов'язаних із порушеннями кодексу поведінки (етики) банку внутрішніми аудиторами, та/або виявлені під час аудиторської перевірки;
2) розроблення керівником підрозділу внутрішнього аудиту та погодження радою банку процедури інформування ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) / правління / керівника підрозділу внутрішнього аудиту банку про порушення кодексу поведінки (етики) банку внутрішніми аудиторами та/або виявлених під час аудиторської перевірки;
3) визначення порядку документування фактів доведення до відома ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) інформації про порушення кодексу поведінки (етики) банку внутрішніми аудиторами та/або виявлені під час аудиторської перевірки;
4) здійснення контролю за усуненням порушення внутрішніми аудиторами та/або виявлені під час аудиторської перевірки кодексу поведінки (етики) банку, включаючи інформування та залучення за потреби ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) та/або правління банку, та перевірки вжиття відповідних заходів для недопущення виникнення таких порушень надалі.
4. Принцип об'єктивності
19. Банк з метою дотримання принципу об'єктивності визначає у внутрішньобанківських документах щонайменше такі обов'язки внутрішніх аудиторів:
1) проявляти неупередженість та незалежність під час формування професійного судження внутрішнього аудитора, ґрунтуючись на оцінці всіх наявних обставин та інформації;
2) дотримуватися вимог законодавства України, Міжнародних стандартів внутрішнього аудиту та внутрішньобанківських документів щодо виявлення та недопущення конфлікту інтересів;
3) здійснювати ротацію внутрішніх аудиторів, якщо об'єктивність вважається обмеженою, включаючи випадки виконання внутрішнім аудитором завдань внутрішнього аудиту щодо діяльності банку, за яку він особисто ніс відповідальність протягом року, що передував виконанню такого завдання;
4) уживати відповідно до вимог внутрішньобанківських документів необхідних заходів та розкривати інформацію щодо реальних або потенційних загроз порушення об'єктивності з метою мінімізації негативного впливу на результати виконання завдань внутрішнього аудиту в разі виявлення неможливості уникнення таких порушень;
5) не приймати будь-яких матеріальних або нематеріальних благ, а саме: подарунків, винагород, послуг чи інших заохочень, що можуть вплинути на об'єктивність або створити враження про упередженість внутрішніх аудиторів;
6) контроль керівником підрозділу внутрішнього аудиту за дотриманням принципу об'єктивності внутрішніми аудиторами.
20. Банк з метою дотримання принципу об'єктивності щонайменше забезпечує:
1) включення до положення про підрозділ внутрішнього аудиту та посадових інструкцій внутрішніх аудиторів обов'язку дотримання принципу об'єктивності;
2) розроблення керівником підрозділу внутрішнього аудиту та погодження радою банку порядку та процедур щодо контролю за дотриманням принципу об'єктивності;
3) документальне підтвердження розуміння внутрішніми аудиторами принципу об'єктивності, порядку та процедур щодо його дотримання;
4) наявність документів, що підтверджують наявність або відсутність порушень внутрішніми аудиторами принципу об'єктивності;
5) розроблення керівником підрозділу внутрішнього аудиту процедури щодо інформування, виявлення, розкриття та реагування на виявлений внутрішніми аудиторами конфлікт інтересів, а також застосування заходів для врегулювання та мінімізації негативного впливу конфлікту інтересів;
6) інформування ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) щодо виявлених випадків реальних або потенційних конфліктів інтересів внутрішніх аудиторів та інших порушень, внаслідок яких може статися порушення принципу об'єктивності, а також ужитих керівником підрозділу внутрішнього аудиту заходів реагування, включаючи ведення обліку таких порушень.
5. Принцип професійної компетентності
21. Банк з метою дотримання принципу професійної компетентності визначає у внутрішньобанківських документах щонайменше такі обов'язки внутрішніх аудиторів:
1) мати належну професійну компетентність, необхідну для виконання обов'язків та завдань внутрішнього аудиту;
2) забезпечувати підтримання на постійній основі належної кваліфікації та професійного розвитку;
3) брати участь у професійному навчанні (семінарах, тренінгах), включаючи участь у навчальних програмах щодо вивчення та застосування Міжнародних стандартів внутрішнього аудиту;
4) виконувати завдання внутрішнього аудиту, що відповідають кваліфікації, знанням та досвіду внутрішнього аудитора, а також своєчасно повідомляти керівника підрозділу внутрішнього аудиту / куратора завдання внутрішнього аудиту про відсутність/недостатність відповідної кваліфікації, знань та досвіду, необхідних для виконання завдання внутрішнього аудиту.
22. Банк з метою дотримання принципу професійної компетентності щонайменше забезпечує:
1) встановлення кваліфікаційних вимог до працівників підрозділу внутрішнього аудиту з урахуванням розміру банку / учасників банківської групи, бізнес-моделі, масштабу діяльності, видів та складності операцій;
2) розроблення керівником підрозділу внутрішнього аудиту процедур щодо професійного навчання працівників підрозділу внутрішнього аудиту, включаючи плани професійного розвитку та інформацію про результати проходження таких навчань;
3) наявність та актуалізацію інформації про освіту, досвід роботи, трудовий стаж, включаючи інформацію про професійні сертифікати (за наявності);
4) проведення внутрішньої та зовнішньої оцінки якості функції внутрішнього аудиту, включаючи самооцінку компетенції та плани професійного розвитку внутрішніх аудиторів.
6. Принцип належної професійної ретельності
23. Банк з метою дотримання принципу належної професійної ретельності визначає у внутрішньобанківських документах щонайменше такі обов'язки внутрішніх аудиторів:
1) проявляти належну професійну ретельність, включаючи уважне ставлення та розважливість під час планування та виконання завдань внутрішнього аудиту;
2) дотримуватися методології внутрішнього аудиту під час планування та виконання завдань внутрішнього аудиту;
3) проявляти професійний скептицизм, включаючи застосування критичного мислення та обґрунтованого сумніву, здійснення ретельної оцінки достовірності та надійності отриманої інформації, відкрито та чесно висловлювати сумніви в разі виявлення суперечливої або неповної інформації, а також збирати необхідні та додаткові докази для належного обґрунтування висновків з метою уникнення ситуацій, за яких інформація та/або твердження можуть бути недостовірними, суперечливими, неповними або вводити в оману.
24. Банк з метою дотримання принципу належної професійної ретельності щонайменше забезпечує:
1) розроблення керівником підрозділу внутрішнього аудиту та затвердження радою банку методології внутрішнього аудиту відповідно до вимог законодавства України із зазначенням дати її останнього оновлення;
2) розроблення керівником підрозділу внутрішнього аудиту плану виконання завдань внутрішнього аудиту, включаючи процедуру аналізу потенційних помилок, порушень, невідповідностей, фактів або ознак шахрайства;
3) розроблення керівником підрозділу внутрішнього аудиту порядку та процедур розгляду та обговорення з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) питань щодо потенційних витрат та ресурсів, передбачених для своєчасного та якісного виконання завдань внутрішнього аудиту, а також обсягу та своєчасності їх виконання;
4) розроблення керівником підрозділу внутрішнього аудиту порядку складання робочих документів під час виконання завдання внутрішнього аудиту, включаючи порядок відображення неправдивої або оманливої інформації, яка була виявлена під час виконання такого завдання;
5) перегляд керівником підрозділу внутрішнього аудиту / куратором завдання внутрішнього аудиту робочих документів щодо їх відповідності вимогам внутрішньобанківських документів з метою контролю за якістю та нагляду за виконанням завдань внутрішнього аудиту;
6) проведення внутрішніх та зовнішніх оцінок якості функції внутрішнього аудиту, включаючи оцінку дотримання внутрішніми аудиторами принципу належної професійної ретельності.
7. Принцип конфіденційності
25. Банк з метою забезпечення дотримання принципу конфіденційності визначає у внутрішньобанківських документах щонайменше такі обов'язки внутрішніх аудиторів:
1) використовувати та забезпечувати належний рівень захисту інформації, створеної та/або отриманої під час діяльності підрозділу внутрішнього аудиту, згідно з вимогами законодавства України та Міжнародними стандартами внутрішнього аудиту та внутрішньобанківських документів;
2) здійснювати організацію заходів із забезпечення інформаційної безпеки та кіберзахисту підрозділу внутрішнього аудиту, а також визначати порядок доступу, зберігання та знищення інформації, включаючи інформацію, що втратила актуальність;
3) забезпечувати захист інформації, щодо якої отримано доступ внутрішніми аудиторами та залученими особами, які надають послуги аутсорсингу підрозділу внутрішнього аудиту;
4) не розголошувати та не використовувати на свою користь чи на користь третіх осіб інформацію з обмеженим доступом, включаючи конфіденційну інформацію, банківську, комерційну таємницю та таємницю фінансової послуги, яка стала відома внутрішнім аудиторам під час виконання завдань внутрішнього аудиту.
26. Банк з метою дотримання принципу конфіденційності щонайменше забезпечує:
1) розроблення керівником підрозділу внутрішнього аудиту та затвердження радою банку процедури створення, отримання, використання та захисту інформації під час діяльності підрозділу внутрішнього аудиту;
2) наявність документів, що підтверджують обговорення питань використання внутрішніми аудиторами інформації під час виконання завдань внутрішнього аудиту;
3) наявність письмового зобов'язання внутрішніх аудиторів дотримуватися принципу конфіденційності та вимог законодавства України, а також внутрішньобанківських документів щодо захисту інформації.
27. Працівники підрозділу внутрішнього аудиту відповідальної особи банківської групи мають право на ознайомлення з інформацією / документами учасника банківської групи, необхідною / необхідними для проведення внутрішнього аудиту.
28. Внутрішні аудитори підрозділу внутрішнього аудиту відповідальної особи банківської групи в разі залучення для проведення внутрішнього аудиту учасника банківської групи повинні підписати письмове зобов'язання щодо нерозголошення та невикористання з вигодою для себе чи для третіх осіб інформації, що становить банківську, комерційну таємницю та таємницю фінансової послуги, та щодо її збереження відповідно до вимог законодавства України.
8. Принцип незалежності
29. Банк з метою забезпечення дотримання принципу незалежності визначає у внутрішньобанківських документах щонайменше такі обов'язки внутрішніх аудиторів:
1) мати пряму та необмежену можливість звернення до ради та правління банку;
2) не входити (функціонально) до складу інших структурних підрозділів банку.
30. Принцип незалежності також передбачає, що немає випадків, коли винагорода внутрішніх аудиторів пов'язана з фінансовими результатами банку або його структурних підрозділів.
31. Загрози порушення принципу незалежності мають контролюватися на рівні кожного внутрішнього аудитора, завдання внутрішнього аудиту, а також на функціональному та організаційному рівнях.
9. Внутрішньобанківські документи з питань внутрішнього аудиту
32. Банк розробляє внутрішньобанківські документи з питань внутрішнього аудиту з урахуванням ризик-орієнтованого підходу, мінімального переліку питань, зазначеного в додатку 1 до цього Положення, вимог законодавства України, принципів і рекомендацій Базельського комітету з банківського нагляду щодо функції внутрішнього аудиту в банках та Міжнародних стандартів внутрішнього аудиту, які щонайменше включають:
1) стратегію внутрішнього аудиту (далі - Стратегія);
2) статут внутрішнього аудиту;
3) положення про підрозділ внутрішнього аудиту;
4) методологію внутрішнього аудиту;
5) річний план внутрішнього аудиту.
33. Банк має право об'єднувати окремі внутрішньобанківські документи в один або кілька документів, не порушуючи вимог цього Положення щодо їх розроблення, наповнення, затвердження, перегляду та інших вимог.
34. Банк своєчасно переглядає та оновлює (актуалізує) внутрішньобанківські документи з питань внутрішнього аудиту з урахуванням стратегії банку, змін у законодавстві України та Міжнародних стандартах внутрішнього аудиту.
35. Банк визначає механізми належного забезпечення взаємодії та обміну інформацією між керівником, іншими працівниками підрозділу внутрішнього аудиту та радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) / правлінням банку / структурними підрозділами банку для ефективної взаємодії (співпраці) на всіх організаційних рівнях.
36. Неподання для ознайомлення уповноваженим Національним банком особам, які здійснюють банківський нагляд у формі інспекційних / виїзних перевірок та безвиїзного нагляду (далі - уповноважені Національним банком особи), на їх вимогу під час здійснення банківського нагляду внутрішньобанківських документів з питань внутрішнього аудиту, а також те, що в банку немає таких документів, є підставою для негативних висновків щодо організації функції внутрішнього аудиту, а також застосування до банку заходів впливу в порядку, встановленому в Положенні № 346.
37. Банк забезпечує розроблення та впровадження керівником підрозділу внутрішнього аудиту Стратегії, яка погоджується радою банку та відповідає вимогам законодавства України, Міжнародним стандартам внутрішнього аудиту та внутрішньобанківським документам.
Стратегія є довгостроковим планом розвитку та функціонування підрозділу внутрішнього аудиту, спрямованим на належне виконання мандата функції внутрішнього аудиту, забезпечення підтримки стратегії та бізнес-плану банку та підвищення ефективності корпоративного управління, системи внутрішнього контролю, системи управління ризиками.
38. Стратегія має щонайменше містити:
1) довгострокову ціль та мету функції внутрішнього аудиту;
2) стратегічні цілі та завдання функції внутрішнього аудиту;
3) пріоритети та ключові напрями діяльності підрозділу внутрішнього аудиту;
4) плани розвитку та вдосконалення функції внутрішнього аудиту в середньостроковій перспективі;
5) підходи до управління кадровими, фінансовими та технологічними ресурсами підрозділу внутрішнього аудиту;
6) механізми забезпечення якості та оцінки ефективності діяльності функції внутрішнього аудиту;
7) ключові показники ефективності функції внутрішнього аудиту.
39. Стратегія повинна ґрунтуватися на принципах організації функції внутрішнього аудиту, включаючи принципи незалежності, об'єктивності, ризик-орієнтованості, професійної компетентності, а також ураховувати необхідність створення доданої вартості, безперервного розвитку та впровадження сучасних технологій.
Банк забезпечує обговорення з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), а також оновлення та регулярний перегляд Стратегії в разі суттєвих змін у стратегії банку / бізнес-плані / профілі ризику, внутрішньобанківських документах та законодавстві України.
40. Керівник підрозділу внутрішнього аудиту розробляє та погоджує з радою банку статут внутрішнього аудиту, який щонайменше містить:
1) мету, завдання та принципи функції внутрішнього аудиту;
2) мандат внутрішнього аудиту як третьої лінії захисту в системі внутрішнього контролю банку;
3) місце в організаційній структурі банку та підзвітність підрозділу внутрішнього аудиту;
4) функції та завдання підрозділу внутрішнього аудиту;
5) види завдань внутрішнього аудиту, які мають виконуватися підрозділом внутрішнього аудиту;
6) порядок взаємодії та обміну інформацією керівника підрозділу внутрішнього аудиту з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення), правлінням банку, зовнішніми аудиторами, керівниками структурних підрозділів банку, Національним банком та іншими державними органами, які в межах компетенції здійснюють нагляд / контроль за діяльністю банку;
7) порядок звітування підрозділом внутрішнього аудиту раді банку та комітету з питань аудиту (аудиторському комітету) (у разі його створення);
8) вимоги щодо забезпечення та підвищення якості функції внутрішнього аудиту, включаючи проведення внутрішніх та зовнішніх оцінок якості функції внутрішнього аудиту;
9) вимоги до професійного розвитку та навчання внутрішніх аудиторів;
10) зобов'язання дотримуватися законодавства України та Міжнародних стандартів внутрішнього аудиту;
11) порядок перегляду та внесення змін до статуту внутрішнього аудиту.
41. Керівник підрозділу внутрішнього аудиту розробляє та затверджує з радою банку положення про підрозділ внутрішнього аудиту з метою забезпечення ефективної та незалежної функції внутрішнього аудиту, яке щонайменше визначає:
1) кваліфікаційні вимоги до внутрішніх аудиторів;
2) порядок проведення аудиторських перевірок, включаючи вимоги щодо взаємодії з підрозділами банку, що перевіряються;
3) порядок застосування керівником підрозділу внутрішнього аудиту процедури ескалації;
4) порядок забезпечення та підвищення якості функції внутрішнього аудиту, включаючи проведення внутрішньої і зовнішньої оцінки її якості, та звітування щодо виконання програми забезпечення та підвищення якості внутрішнього аудиту банку раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) та правлінню банку;
5) порядок призначення та звільнення внутрішніх аудиторів;
6) права та обов'язки внутрішніх аудиторів;
7) обов'язки щодо дотримання внутрішніми аудиторами банку законодавства України, Міжнародних стандартів внутрішнього аудиту та принципів організації функції внутрішнього аудиту, що встановлені в цьому Положенні;
8) відповідальність внутрішніх аудиторів;
9) вимоги до ризик-орієнтованого планування завдань внутрішнього аудиту та складання річного плану внутрішнього аудиту;
10) умови залучення підрозділу внутрішнього аудиту для надання консультаційних послуг, а також умови та порядок залучення (за потреби) підрозділом внутрішнього аудиту працівників інших підрозділів банку для виконання окремих завдань внутрішнього аудиту;
11) вимоги до оформлення результатів виконання завдань внутрішнього аудиту;
12) вимоги до проведення ротації внутрішніх аудиторів;
13) право керівника підрозділу внутрішнього аудиту банку на скликання позачергового засідання ради банку та/або комітету з питань аудиту (аудиторського комітету) (у разі його створення);
14) порядок доведення результатів виконання завдань внутрішнього аудиту до ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) та правління банку;
15) інші повноваження, пов'язані з виконанням підрозділом внутрішнього аудиту банку своїх функцій відповідно до законодавства України та Міжнародних стандартів внутрішнього аудиту.
Положення про підрозділ внутрішнього аудиту банку переглядається керівником підрозділу внутрішнього аудиту банку в разі потреби та затверджується радою банку в оновленій редакції.
42. Банк доводить зміст Стратегії, статуту внутрішнього аудиту та положення про підрозділ внутрішнього аудиту до відома всіх керівників, працівників банку, а також забезпечує можливість ознайомлення з ними всіх зацікавлених осіб.
10. Організаційна структура функції внутрішнього аудиту
43. Банк визначає організаційну структуру функції внутрішнього аудиту, що забезпечує чіткий розподіл функцій, обов'язків і повноважень між усіма суб'єктами функції внутрішнього аудиту, з урахуванням потреби у забезпеченні безперервності виконання функцій, обов'язків та повноважень внутрішніх аудиторів, а також порядок їх взаємозаміни з метою уникнення негативного впливу на ефективність функції внутрішнього аудиту тимчасової відсутності керівника чи іншого працівника або їх звільнення.
Рада банку затверджує організаційну структуру функції внутрішнього аудиту банку за поданням керівника підрозділу внутрішнього аудиту банку, ґрунтуючись на розмірі банку (обсязі активів, кількості структурних підрозділів банку, рівні програмного забезпечення, яке підтримує діяльність банку), видах його діяльності, рівні ризиків, на які може наражатися банк під час своєї діяльності.
44. Банк забезпечує наявність належної кількості кваліфікованих і досвідчених працівників підрозділу внутрішнього аудиту.
45. Суб'єктами функції внутрішнього аудиту в банку є:
1) рада банку;
2) комітет з питань аудиту (аудиторський комітет) (у разі його створення);
3) керівник підрозділу внутрішнього аудиту та інші працівники підрозділу внутрішнього аудиту (третя лінія захисту);
4) правління банку;
5) головний ризик-менеджер, головний комплаєнс-менеджер, керівники підрозділів з управління ризиками та контролю за дотриманням норм (комплаєнс) (друга лінія захисту) у частині надання необхідної інформації підрозділу внутрішнього аудиту, висловлення коментарів щодо результатів виконання завдання внутрішнього аудиту та виконання наданих підрозділом внутрішнього аудиту рекомендацій;
6) керівники бізнес-підрозділів та підрозділів підтримки (перша лінія захисту) банку в частині надання необхідної інформації підрозділу внутрішнього аудиту, висловлення коментарів щодо результатів виконання завдання внутрішнього аудиту та виконання наданих підрозділом внутрішнього аудиту рекомендацій.
11. Відповідальність та функції ради банку щодо функції внутрішнього аудиту
46. Рада банку несе відповідальність за створення незалежної та ефективної функції внутрішнього аудиту в банку.
Рада банку для забезпечення незалежної та ефективної функції внутрішнього аудиту:
1) створює та підтримує ефективне функціонування незалежного підрозділу внутрішнього аудиту;
2) приділяє достатньо часу, зусиль і ресурсів для контролю за незалежністю та ефективністю функції внутрішнього аудиту;
3) забезпечує, щоб політика винагороди в банку сприяла ефективному функціонуванню підрозділу внутрішнього аудиту;
4) сприяє створенню та функціонуванню регулярних та прозорих механізмів взаємодії між внутрішніми аудиторами та радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) правлінням банку / структурними підрозділами банку.
47. Рада банку для реалізації своїх завдань виконує такі функції:
1) забезпечує контроль за ефективністю та незалежністю функції внутрішнього аудиту;
2) затверджує внутрішньобанківські документи з питань внутрішнього аудиту з урахуванням мінімального переліку питань, зазначеного в додатку 1 до цього Положення, та здійснює контроль за їх упровадженням, дотриманням та своєчасним оновленням (актуалізацією);
3) затверджує організаційну структуру підрозділу внутрішнього аудиту банку;
4) призначає та звільняє згідно з вимогами законодавства України керівника підрозділу внутрішнього аудиту;
5) забезпечує підтримку діяльності та виконання обов'язків керівником підрозділу внутрішнього аудиту шляхом регулярної взаємодії;
6) затверджує фінансове забезпечення (бюджет) підрозділу внутрішнього аудиту, установлює розмір винагороди внутрішніми аудиторами, який не створює конфлікту інтересів та не ставить під загрозу незалежність підрозділу внутрішнього аудиту банку;
7) здійснює контроль за виконанням та дотриманням внутрішніми аудиторами встановлених у пункті 15 глави 2 розділу I цього Положення принципів організації функції внутрішнього аудиту;
8) здійснює з керівником підрозділу внутрішнього аудиту моніторинг та аналіз чинників, що можуть загрожувати незалежності підрозділу внутрішнього аудиту;
9) обговорює з керівником підрозділу внутрішнього аудиту та правлінням банку актуальність, відповідність та ефективність повноважень і відповідальності суб'єктів функції внутрішнього аудиту;
10) виявляє фактичні чи потенційні загрози незалежності підрозділу внутрішнього аудиту та вживає заходів щодо усунення та/або мінімізації таких загроз;
11) забезпечує разом із правлінням банку незалежність підрозділу внутрішнього аудиту від будь-якого втручання під час планування, визначення обсягу робіт, виконання завдань внутрішнього аудиту та звітування про результати виконання завдань внутрішнього аудиту;
12) співпрацює з правлінням банку для забезпечення підрозділу внутрішнього аудиту необмеженим доступом до даних, записів, інформації, персоналу та майна, потрібних для виконання підрозділом внутрішнього аудиту його повноважень;
13) забезпечує належне реагування в разі отримання від керівника підрозділу внутрішнього аудиту інформації про наявність будь-яких обмежень у діяльності, доступі до інформації, реалізації повноважень або в забезпеченні ресурсами підрозділу внутрішнього аудиту, що може негативно вплинути на здатність підрозділу внутрішнього аудиту ефективно виконувати свої функції;
14) забезпечує (за запитом керівника підрозділу внутрішнього аудиту) підрозділ внутрішнього аудиту ресурсами, необхідними для виконання покладених на нього обов'язків;
15) проводить з керівником підрозділу внутрішнього аудиту зустрічі щодо обговорення поточних питань стосовно внутрішнього аудиту щонайменше раз на півроку (для банку, який визначено Національним банком системно важливим) або щонайменше раз на рік (для банку, який не визначено Національним банком системно важливим);
16) забезпечує оцінку керівником підрозділу внутрішнього аудиту достатності людських та фінансових ресурсів підрозділу внутрішнього аудиту для виконання річного плану внутрішнього аудиту та забезпечення належної якості внутрішнього аудиту, а також упровадження керівником підрозділу внутрішнього аудиту заходів для достатності таких ресурсів, включаючи перегляд річного плану внутрішнього аудиту та коригування бюджету підрозділу внутрішнього аудиту;
17) здійснює оцінку результативності та ефективності діяльності підрозділу внутрішнього аудиту шляхом аналізу результатів зовнішньої / внутрішньої оцінки якості внутрішнього аудиту, інспекційних / виїзних перевірок, здійснених Національним банком, та аналізу інформації, отриманої від Національного банку за результатами безвиїзного нагляду;
18) затверджує плани проведення зовнішньої та внутрішньої оцінки якості внутрішнього аудиту відповідно до вимог цього Положення та внутрішньобанківських документів;
19) здійснює контроль за поданням керівником підрозділу внутрішнього аудиту звіту про зовнішню оцінку якості функції внутрішнього аудиту в порядку, визначеному цим Положенням;
20) затверджує програму забезпечення та підвищення якості внутрішнього аудиту за результатами зовнішньої та внутрішньої оцінки, а також здійснює контроль за їх виконанням;
21) розглядає та затверджує звіт про роботу підрозділу внутрішнього аудиту.
48. Банк забезпечує належний рівень документування обговорень з радою банку та прийнятих рішень із питань внутрішнього аудиту, які мають містити стислий огляд розглянутих питань, надані рекомендації, прийняті рішення з поіменним голосуванням та особливими думками (за наявності). Банк подає таку документацію уповноваженим Національним банком особам на їх вимогу.
49. Рада банку забезпечує незалежну та ефективну діяльність підрозділу внутрішнього аудиту шляхом:
1) підпорядкування підрозділу внутрішнього аудиту керівнику підрозділу внутрішнього аудиту, керівника підрозділу внутрішнього аудиту - раді банку;
2) звітування керівника підрозділу внутрішнього аудиту раді банку;
3) надання керівнику підрозділу внутрішнього аудиту прямої та необмеженої можливості обговорення питань внутрішнього аудиту безпосередньо з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) без потреби (обов'язку) інформування про це правління банку;
4) забезпечення достатньої чисельності працівників підрозділу внутрішнього аудиту та рівня їх кваліфікації для досягнення цілей і завдань функції внутрішнього аудиту;
5) забезпечення безумовного права керівника підрозділу внутрішнього аудиту невідкладно письмово інформувати раду банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення) про обґрунтоване занепокоєння стосовно наявних та/або потенційних проблем (недоліків) у діяльності банку;
6) невідкладного проведення радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) зустрічей із керівником підрозділу внутрішнього аудиту з метою обговорення обґрунтованого занепокоєння стосовно наявних та/або потенційних проблем (недоліків) у діяльності банку;
7) гарантованого необмеженого доступу внутрішніх аудиторів до даних, записів, інформації, персоналу та майна, необхідних для виконання мандата внутрішнього аудиту.
50. Рада банку має право виконувати інші функції щодо внутрішнього аудиту додатково до встановлених у пункті 47 глави 11 розділу I цього Положення, які не суперечать вимогам законодавства України.
51. Рада банку забезпечує проведення зовнішньої оцінки якості функції внутрішнього аудиту не рідше одного разу на п'ять років кваліфікованим незалежним оцінювачем або групою незалежних оцінювачів за умови наявності щонайменше в однієї особи сертифіката “Сертифікований внутрішній аудитор” (англійською мовою Certified Internal Auditor), виданий міжнародним Інститутом внутрішніх аудиторів.
52. Незалежним оцінювачем для проведення зовнішньої оцінки якості внутрішнього аудиту не вважається особа, яка є пов'язаною з банком особою, та/або працівник:
1) банку;
2) пов'язаної з банком особи;
3) материнської компанії та/або іншого учасника банківської групи.
53. Зовнішня оцінка якості функції внутрішнього аудиту здійснюється з метою підтвердження відповідності функції внутрішнього аудиту:
1) Міжнародним стандартам внутрішнього аудиту;
2) Стратегії, статуту внутрішнього аудиту, положенню про підрозділ внутрішнього аудиту, методології внутрішнього аудиту;
3) законодавству України;
4) критеріям та показникам ефективності функції внутрішнього аудиту, а також результатам оцінювання;
5) компетенції, належній професійній ретельності та ефективності, включаючи достатнє використання інструментів і методів, а також зосередженість на постійному професійному розвитку внутрішніх аудиторів;
6) кваліфікації та компетенції внутрішніх аудиторів, визначених цим Положенням та Міжнародними стандартами внутрішнього аудиту;
7) інтегрованості функції внутрішнього аудиту в процеси корпоративного управління, включаючи взаємодію із радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) та правлінням банку, зовнішнім аудитором, що забезпечують незалежність функції внутрішнього аудиту;
8) здатності функції внутрішнього аудиту відповідати очікуванням зацікавлених осіб, включаючи раду та правління банку.
54. Зовнішня оцінка якості функції внутрішнього аудиту банківської групи здійснюється в межах зовнішньої оцінки якості функції внутрішнього аудиту відповідальної особи банківської групи.
55. Зовнішня оцінка якості функції внутрішнього аудиту здійснюється в один із таких способів:
1) залучення кваліфікованого незалежного оцінювача або групи незалежних оцінювачів;
2) самооцінка з подальшою незалежною верифікацією кваліфікованим незалежним оцінювачем або групою незалежних оцінювачів.
56. Зовнішня оцінка якості функції внутрішнього аудиту шляхом самооцінки з подальшою незалежною верифікацією здійснюється щонайменше з дотриманням таких вимог:
1) проведення комплексної та належним чином задокументованої внутрішньої оцінки, подібної до процедури зовнішньої оцінки якості функції внутрішнього аудиту, з метою оцінки відповідності діяльності підрозділу внутрішнього аудиту Міжнародним стандартам внутрішнього аудиту та вимогам цього Положення;
2) підтвердження результатів внутрішньої оцінки кваліфікованим незалежним зовнішнім оцінювачем або групою незалежних оцінювачів;
3) проведення порівняльного аналізу, вивчення передового досвіду та проведення співбесід із такими зацікавленими особами, як члени ради банку, представники правління банку та керівництва бізнес-підрозділів.
57. Незалежна верифікація має підтвердити, що внутрішня оцінка проведена повною мірою та коректно.
58. Керівник підрозділу внутрішнього аудиту здійснює внутрішню оцінку якості функції внутрішнього аудиту на відповідність вимогам Міжнародних стандартів внутрішнього аудиту та цього Положення, а також прогресу в досягненні Стратегії.
Внутрішня оцінка здійснюється не рідше ніж один раз на рік шляхом розгляду та затвердження радою банку звіту про роботу підрозділу внутрішнього аудиту за звітний рік, проведення періодичних самооцінок з урахуванням результатів опитування підрозділів банку щодо дотримання внутрішніми аудиторами принципів організації функції внутрішнього аудиту.
Результати внутрішньої оцінки якості функції внутрішнього аудиту підлягають обов'язковому документальному оформленню, включенню до звіту про роботу підрозділу внутрішнього аудиту за звітний рік, а також ураховуються під час проведення зовнішньої оцінки якості функції внутрішнього аудиту.
12. Функції комітету з питань аудиту (аудиторського комітету) щодо функції внутрішнього аудиту
59. Рада державного банку / банку, який визначений Національним банком системно важливим, зобов'язана утворити постійно діючий комітет з питань аудиту (аудиторський комітет).
Рада банку, який не є державним банком / який не визначений Національним банком системно важливим банком, має право утворювати постійний або тимчасовий комітет з питань аудиту (аудиторський комітет).
60. Рада банку залишається відповідальною за створення незалежної та ефективної функції внутрішнього аудиту та забезпечує контроль за виконанням комітетом з питань аудиту (аудиторським комітетом) його функцій.
61. Комітет з питань аудиту (аудиторський комітет) є консультативно-дорадчим органом, основним завданням якого є розроблення та подання на розгляд ради банку проєктів рішень та інших матеріалів з питань, що належать до завдань та повноважень ради банку щодо функції внутрішнього аудиту.
62. Комітет з питань аудиту (аудиторський комітет) (у разі його створення) з метою забезпечення функціонування незалежної та ефективної функції внутрішнього аудиту щонайменше виконує такі функції:
1) надає рекомендації, консультації, пропозиції раді банку з питань внутрішнього аудиту;
2) розглядає проєкти внутрішньобанківських документів з питань внутрішнього аудиту та надає раді банку рекомендації щодо затвердження Стратегії, статуту внутрішнього аудиту, положення про підрозділ внутрішнього аудиту, річного плану внутрішнього аудиту в банку та бюджету підрозділу внутрішнього аудиту;
3) аналізує діяльність, ресурси та організаційну структуру підрозділу внутрішнього аудиту з метою недопущення будь-яких обмежень для організації роботи підрозділу внутрішнього аудиту;
4) аналізує та обговорює з радою банку звіти підрозділу внутрішнього аудиту за результатами виконаних ним завдань внутрішнього аудиту, а також результати зовнішньої / внутрішньої оцінки якості функції внутрішнього аудиту;
5) надає рекомендації раді банку щодо призначення або звільнення з посади керівника підрозділу внутрішнього аудиту;
6) взаємодіє з керівником та працівниками підрозділу внутрішнього аудиту;
7) здійснює аналіз вжитих правлінням банку заходів з усунення недоліків, спрямованих на реалізацію рекомендацій внутрішніх аудиторів у встановлені строки;
8) надає раді банку пропозиції щодо вжиття заходів з усунення недоліків у діяльності підрозділу внутрішнього аудиту, виявлених Національним банком, та здійснює контроль за своєчасністю та повнотою їх реалізації;
9) забезпечує виконання інших функцій та повноважень щодо функції внутрішнього аудиту, визначених радою банку.
Рада банку сама виконує функції комітету з питань аудиту (аудиторського комітету), якщо комітет з питань аудиту (аудиторський комітет) не було створено.
13. Відповідальність та функції правління банку щодо функції внутрішнього аудиту
63. Правління банку сприяє підрозділу внутрішнього аудиту у виконанні завдань та рішень ради банку щодо внутрішнього аудиту, включаючи виконання Стратегії та статуту внутрішнього аудиту, положення про підрозділ внутрішнього аудиту та річного плану внутрішнього аудиту, процедур та інших заходів для забезпечення ефективності функції внутрішнього аудиту.
Правління банку виконує вимоги щодо забезпечення незалежного виконання внутрішніми аудиторами своїх обов'язків.
64. Правління банку для реалізації своїх завдань щодо внутрішнього аудиту виконує такі функції:
1) бере участь в обговоренні з радою банку щодо визначення мандата функції внутрішнього аудиту та забезпечує підтримку підрозділу внутрішнього аудиту для виконання ним своїх обов'язків;
2) взаємодіє з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) / керівником підрозділу внутрішнього аудиту / керівниками структурних підрозділів банку з метою забезпечення необмеженого доступу підрозділу внутрішнього аудиту до даних, записів, інформації та майна, необхідних для виконання ними своїх обов'язків;
3) уживає заходів для усунення загрози та недопущення порушення незалежності функції внутрішнього аудиту;
4) отримує від ради банку інформацію про результати оцінки діяльності та встановлений розмір винагороди внутрішніх аудиторів;
5) сприяє раді банку в забезпеченні контролю за ефективністю функціонування системи внутрішнього контролю, системи управління ризиками;
6) забезпечує адміністративну підтримку підрозділу внутрішнього аудиту з метою забезпечення достатніх ресурсів (людських, фінансових, технічних, технологічних) підрозділу внутрішнього аудиту для належного виконання ними своїх обов'язків;
7) забезпечує адміністративну підтримку виконання внутрішніми аудиторами покладених на них обов'язків у частині забезпечення організації їх робочого процесу та видання розпорядчих документів;
8) бере участь у межах повноважень, визначених радою банку, у щорічній оцінці діяльності керівника підрозділу внутрішнього аудиту та функціонування підрозділу внутрішнього аудиту;
9) взаємодіє з радою банку та керівником підрозділу внутрішнього аудиту для визначення обсягу та періодичності проведення зовнішньої оцінки якості функції внутрішнього аудиту;
12) співпрацює з радою банку / комітетом з питань аудиту (аудиторським комітетом) (у разі його створення) та керівником підрозділу внутрішнього аудиту щодо розроблення плану заходів за результатами зовнішньої оцінки якості функції внутрішнього аудиту з метою усунення виявлених недоліків та контролю за реалізацією такого плану;
13) забезпечує контроль за виконанням рекомендацій, наданих за результатами виконання завдання внутрішнього аудиту, та несе відповідальність за своєчасне та належне вжиття необхідних заходів.
65. Правління банку має право виконувати інші функції для забезпечення ефективності та незалежності функції внутрішнього аудиту додатково до встановлених у пункті 64 глави 13 розділу I цього Положення, які не суперечать вимогам законодавства України, Міжнародним стандартам внутрішнього аудиту.
14. Підрозділ внутрішнього аудиту
66. Підрозділ внутрішнього аудиту банку функціонально підпорядковується та є підзвітним раді банку.
Правління банку забезпечує адміністративну підтримку виконання підрозділом внутрішнього аудиту його функцій.
67. Підрозділ внутрішнього аудиту банку здійснює свою діяльність відповідно до:
1) вимог законодавства України;
2) Міжнародних стандартів внутрішнього аудиту;
3) статуту внутрішнього аудиту, положення про підрозділ внутрішнього аудиту та інших внутрішньобанківських документів.
68. Підрозділ внутрішнього аудиту з метою забезпечення ефективності функції внутрішнього аудиту банку виконує такі функції:
1) оцінює ефективність організації корпоративного управління, системи внутрішнього контролю, системи управління ризиками та їх відповідність розміру банку, складності, обсягам, видам, характеру здійснюваних банком операцій, організаційній структурі та профілю ризику банку з урахуванням особливостей діяльності банку як системно важливого (за наявності такого статусу);
2) перевіряє та оцінює ефективність процесів, які забезпечують діяльність банку, включаючи процеси, що несуть потенційний ризик та/або виконання яких забезпечується шляхом залучення юридичних та фізичних осіб на договірній основі (аутсорсинг);
3) перевіряє дотримання банком вимог законодавства України у сфері ПВК/ФТ відповідно до вимог Положення № 65 та Положення № 107;
4) перевіряє ефективність процесів управління банком, включаючи процеси оцінки розрахунку пруденційних нормативів та контролю за їх дотриманням, оцінки достатності внутрішнього капіталу та оцінки достатності внутрішньої ліквідності;
5) здійснює оцінку складених банком планів підтримання достатності капіталу та підтримання достатності ліквідності, відновлення діяльності банку, фінансування банку в кризових ситуаціях, забезпечення безперервної діяльності банку щодо їх ефективності, реалістичності та відповідності вимогам нормативно-правових актів Національного банку;
6) перевіряє правильність ведення і достовірність бухгалтерського обліку та фінансової звітності, включаючи достовірність управлінської звітності, правильність складання статистичної звітності банку;
7) перевіряє фінансово-господарську діяльність банку;
8) здійснює незалежну оцінку впровадженої банком системи внутрішнього контролю принаймні щодо своєчасності:
виявлення та аналізу фактів порушень керівниками та іншими працівниками банку вимог законодавства України, стандартів професійної діяльності, внутрішньобанківських документів та договірних зобов'язань, а також заходів, ужитих з метою недопущення виникнення таких порушень;
усунення недоліків та/або порушень, виявлених Національним банком та/або іншими державними органами, які в межах компетенції здійснюють нагляд / контроль за діяльністю банку та/або підрозділом внутрішнього аудиту;
9) здійснює незалежну оцінку надійності, ефективності та цілісності управління інформаційно-комунікаційними технологіями (системами) та процесів управління в банку щодо забезпечення релевантності, точності, повноти, доступності, конфіденційності та комплексності даних;
10) здійснює оцінку процесів / процедур / методик, що застосовуються підрозділом з управління ризиками та підрозділом контролю за дотриманням норм (комплаєнс), комітетами ради банку (у разі їх створення), своєчасності та якості звітів щодо ризиків, що надаються раді та правлінню банку;
11) виявляє та перевіряє випадки перевищення посадовими особами банку своїх повноважень;
12) за відсутності загрози незалежності надає консультації раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення), правлінню банку та структурним підрозділам банку;
13) складає звіти про результати виконання завдання внутрішнього аудиту та надає їх керівникам функціональних напрямів діяльності банку / структурних підрозділів банку для вжиття своєчасних і належних заходів для виконання рекомендацій за результатами виконання завдання внутрішнього аудиту;
14) звітує раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) та інформує правління банку про результати виконання завдання внутрішнього аудиту в структурних підрозділах банку;
15) здійснює моніторинг виконання рекомендацій, наданих за результатами виконання завдань внутрішнього аудиту, та контролює повноту впровадження таких рекомендацій;
16) виконує інші функції, передбачені законодавством України.
69. Керівник підрозділу внутрішнього аудиту підпорядковується раді банку та звітує перед нею, а також несе відповідальність за виконання функцій, покладених на нього та підрозділ внутрішнього аудиту.
70. Керівник підрозділу внутрішнього аудиту виконує такі функції:
1) забезпечує безперервну роботу підрозділу внутрішнього аудиту відповідно до законодавства України, Міжнародних стандартів внутрішнього аудиту, внутрішньобанківських документів з питань внутрішнього аудиту;
2) забезпечує достатність та ефективність використання ресурсів підрозділу внутрішнього аудиту для виконання мандата внутрішнього аудиту, покриття всіх сфер діяльності банку та річного плану внутрішнього аудиту;
3) розробляє, впроваджує та забезпечує актуалізацію (за потреби) внутрішньобанківських документів з питань внутрішнього аудиту з урахуванням мінімального переліку питань, зазначеного в додатку 1 до цього Положення, забезпечує контроль за їх виконанням;
4) розробляє, впроваджує та забезпечує актуалізацію (за потреби) методології внутрішнього аудиту;
5) розробляє, підтримує та впроваджує програму забезпечення і підвищення якості функції внутрішнього аудиту;
6) щорічно звітує раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) щодо незалежності підрозділу внутрішнього аудиту;
7) невідкладно інформує раду банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення) у порядку, визначеному внутрішньобанківськими документами, про випадки порушення незалежності підрозділу внутрішнього аудиту та вжиті заходи щодо усунення або мінімізації впливу таких порушень;
8) надає пропозиції раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) щодо проведення планових аудиторських перевірок, ініціює (за потреби) проведення позапланової аудиторської перевірки, обговорює результати виконання завдань внутрішнього аудиту з радою банку / аудиторським комітетом (у разі його створення), правлінням банку, керівниками структурних підрозділів банку;
9) формує обґрунтовану пропозицію раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) щодо потреби підрозділу внутрішнього аудиту в ресурсах (людських, фінансових, технічних, технологічних) та повідомляє про наявні обмеження в таких ресурсах;
10) висловлює незалежну думку, включаючи думку за результатами опрацювання запитів правління банку, щодо ефективності та адекватності системи внутрішнього контролю, включаючи систему управління ризиками, своєчасності та повноти оцінки ризиків, наявності / відсутності фактів, що можуть свідчити про наявність ознак здійснення банком ризикової діяльності;
11) за сприяння ради та правління банку забезпечує комплектацію підрозділу внутрішнього аудиту висококваліфікованим персоналом з необхідними навичками роботи, що включають здатність ефективно та професійно оцінювати результати діяльності банку, ефективність та адекватність процесів і процедур банку, їх відповідність вимогам законодавства України;
12) визначає порядок та процедури, які застосовуються внутрішніми аудиторами для проведення аудиторської перевірки, відповідно до вимог законодавства України, внутрішньобанківських документів з питань внутрішнього аудиту та стандартів внутрішнього аудиту;
13) складає звіт про виконання річного плану проведення аудиторських перевірок (аудиту) та подає його на розгляд раді банку / комітету з питань аудиту (аудиторському комітету) (у разі його створення) не пізніше останнього місяця I кварталу року, наступного за звітним;
14) письмово інформує раду банку для прийняття нею відповідних рішень або вжиття заходів про виникнення обставин, які перешкоджають працівникам підрозділу внутрішнього аудиту виконувати свої обов'язки, втручання посадових осіб банку в діяльність підрозділу внутрішнього аудиту, виявлення рівня ризику, що є неприйнятним для діяльності банку;
15) здійснює заходи щодо проведення зовнішньої та внутрішньої оцінки якості функції внутрішнього аудиту, а також письмово повідомляє раду банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення), інформує правління банку та Національний банк про результати такої оцінки;
16) розробляє програму безперервної професійної підготовки і навчання внутрішніх аудиторів та контролює її виконання;
17) розробляє та забезпечує функціонування системи моніторингу виконання керівниками структурних підрозділів банку рекомендацій, наданих за результатами виконання завдань внутрішнього аудиту;
18) складає та подає до Національного банку відповідно до вимог цього Положення звіт про роботу підрозділу внутрішнього аудиту та інші документи за результатами виконання завдань внутрішнього аудиту банку;
19) письмово повідомляє Національний банк про виявлені під час проведення аудиторської перевірки викривлення показників фінансової звітності, консолідованої фінансової звітності, порушення та/або недоліки в роботі банку, а також будь-які події в діяльності банку, які за професійним судженням керівника підрозділу внутрішнього аудиту можуть негативно вплинути на платоспроможність, безпеку, надійність та безперервність діяльності банку, якщо правління банку своєчасно не вжило заходів щодо усунення цих порушень та/або недоліків, а рада банку / комітет з питань аудиту (аудиторський комітет) (у разі його створення) не розглянула звернення керівника підрозділу внутрішнього аудиту щодо бездіяльності правління банку та/або за результатами розгляду цього звернення не вжила відповідних заходів, або вжиті заходи не є адекватними для усунення порушень та/або недоліків;
20) забезпечує в межах своїх повноважень на постійній основі співпрацю із зовнішніми аудиторами, Національним банком та державними органами.
71. Керівник підрозділу внутрішнього аудиту має право бути куратором завдання внутрішнього аудиту.
72. Керівник підрозділу внутрішнього аудиту відповідає таким кваліфікаційним вимогам:
1) має вищу освіту, яка забезпечує належне виконання ним посадових обов'язків, досвід роботи у сфері внутрішнього та/або зовнішнього аудиту не менше п'яти років, із яких не менше ніж три роки в банківській системі;
2) дотримується обмежень, визначених у статті 45 Закону України “Про банки і банківську діяльність” щодо зайняття посад в інших банках;
3) іншим кваліфікаційним вимогам, визначеним у Положенні про ліцензування банків, затвердженому постановою Правління Національного банку України від 22 грудня 2018 року № 149 (зі змінами) (далі - Положення № 149).
Професійна придатність керівника підрозділу внутрішнього аудиту банку визначається як сукупність знань, професійного та управлінського досвіду, необхідних для належного виконання своїх посадових обов'язків з урахуванням бізнес-плану та стратегії розвитку банку, усебічне розуміння Міжнародних стандартів внутрішнього аудиту та провідної практики внутрішнього аудиту.
Інші кваліфікаційні вимоги до кандидата на посаду керівника підрозділу внутрішнього аудиту банку, порядок погодження Національним банком його кандидатури та його звільнення [крім випадків звільнення такої особи за власним бажанням, за згодою сторін або у зв'язку із закінченням строку трудового договору (контракту)] установлюються згідно з Положенням № 149.
73. Керівник підрозділу внутрішнього аудиту має право:
1) вимагати позачергового скликання засідання ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення);
2) ініціювати проведення зустрічі з будь-якою посадовою особою банку;
3) ініціювати для виконання завдань внутрішнього аудиту залучення працівників інших структурних підрозділів банку;
4) отримувати письмові пояснення від керівників і працівників банку з питань, що виникають під час виконання завдань внутрішнього аудиту та за результатами їх виконання;
5) брати участь без права голосу в засіданнях ради та/або правління банку, комітетів банку;
6) надсилати до інших організацій та установ або третіх осіб запити щодо отримання необхідних відомостей та документів, пов'язаних з аудиторською перевіркою;
7) необмеженого доступу до даних, записів, інформації, майна, необхідних для виконання мандата внутрішнього аудиту.
74. Працівники підрозділу внутрішнього аудиту мають право:
1) ознайомлюватися з інформацією та документами, включаючи документи, що зберігаються на електронних носіях, будь-якого структурного підрозділу банку, письмовими поясненнями з питань діяльності банку, включаючи всі підрозділи банку незалежно від країни їх місцезнаходження, та афілійованих осіб банку;
2) отримувати письмові пояснення від керівників функціонального напряму діяльності / структурних підрозділів і працівників банку з питань, що виникають під час проведення аудиторської перевірки, та за результатами такої перевірки;
3) доступу до системи автоматизації банківських операцій, а також можливість використовувати:
бази даних та іншу інформацію з первинних документів банку;
програмне забезпечення, яке використовується для автоматизації процесів у діяльності банку, включаючи з питань фінансового моніторингу;
фінансову, статистичну, управлінську та інші види звітності;
інвентаризаційні матеріали банку та документи комісій, створених у банку (за їх наявності);
документи органів управління банку з питань запровадження та функціонування внутрішнього контролю, системи управління ризиками;
інші документи банку, які необхідні для виконання завдань внутрішнього аудиту;
4) доступу до всіх приміщень банку, включаючи ті, що використовуються банком для зберігання документів, готівки та інших цінностей;
5) знімати копії з наданих для перевірки документів (у разі надання їх на паперових носіях), робити копії файлів будь-якої інформації, що зберігається на електронних носіях та є необхідною для виконання завдання внутрішнього аудиту.
II. Завдання внутрішнього аудиту
15. Аудиторська перевірка
75. Підрозділ внутрішнього аудиту здійснює аудиторські перевірки відповідно до річного плану внутрішнього аудиту на звітний рік, який складений на основі результатів комплексної оцінки ризиків, з урахуванням стратегії та бізнес-плану банку та може бути частиною довгострокового плану внутрішнього аудиту щодо внутрішнього аудиту всіх сфер діяльності банку.
76. Підрозділ внутрішнього аудиту на вимогу ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення) / правління банку або керівника підрозділу внутрішнього аудиту та за погодженням із радою банку здійснює позапланові перевірки.
77. Підрозділ внутрішнього аудиту здійснює аудиторську перевірку на підставі програми завдання внутрішнього аудиту, під час підготовки якої має враховуватись обсяг завдання внутрішнього аудиту та процедури для його виконання, визначені на підставі ризик-орієнтованого підходу під час підготовки до аудиторської перевірки та/або під час складання річного плану внутрішнього аудиту банку на звітний рік або складання карти ризиків (у разі її складання).
78. Програма завдання внутрішнього аудиту ґрунтується на інформації, отриманій під час планування завдання внутрішнього аудиту, та має щонайменше містити:
1) назву сфери діяльності, що підлягає аудиторській перевірці;
2) підставу проведення аудиторської перевірки;
3) цілі та напрями аудиторської перевірки з урахуванням оцінки ризиків, притаманних сфері діяльності банку, яка підлягає перевірці, та пов'язаним із нею сферам;
4) перелік процесів, які підлягатимуть аудиторській перевірці, із зазначенням орієнтовного часу (днів), що планується витратити на їх перевірку;
5) період, що підлягає аудиторській перевірці;
6) дати початку та закінчення проведення аудиторської перевірки;
7) процедури збору, аналізу, оцінки та документування інформації про об'єкт перевірки, мінімальний обсяг вибірки та види аналітичних процедур, які використовуватимуться під час аудиторської перевірки;
8) перелік внутрішніх аудиторів та інших осіб, які братимуть участь в аудиторській перевірці;
9) розкриття характеру обмежень за їх наявності.
79. Програма завдання внутрішнього аудиту:
1) створюється в письмовій формі;
2) підписується внутрішнім аудитором, якого уповноважено на виконання аудиторської перевірки, або куратором завдання внутрішнього аудиту (у разі його призначення);
3) затверджується керівником підрозділу до початку здійснення аудиторських процедур у межах завдання внутрішнього аудиту.
До програми завдання внутрішнього аудиту можуть уноситися зміни до процесу здійснення внутрішнього аудиту, які мають бути письмово задокументовані та затверджені керівником підрозділу внутрішнього аудиту.
80. Внутрішній аудитор, який безпосередньо виконував перевірку, формує та підписує аудиторський звіт (висновок за результатами виконання завдання внутрішнього аудиту) з урахуванням вимог Міжнародних стандартів внутрішнього аудиту та цього Положення, а також підписує його в куратора завдання внутрішнього аудиту (у разі його призначення) та керівника підрозділу внутрішнього аудиту банку.
81. Процес відстеження підрозділом внутрішнього аудиту результатів виконання завдання внутрішнього аудиту починається після подання керівнику функціонального напряму діяльності / структурного підрозділу банку, діяльність якого перевіряється, аудиторського звіту та закінчується після виконання всіх наданих рекомендацій відповідальними особами за їх виконання.
Відсутність потреби в подальшому відстеженні результатів виконання завдання внутрішнього аудиту встановлюється шляхом підтвердження керівником підрозділу внутрішнього аудиту / куратором завдання внутрішнього аудиту виконання відповідальними керівниками за виконання рекомендацій, що надавалися за результатами аудиторської перевірки.
16. Консультаційні послуги
82. Банк визначає у своїх внутрішньобанківських документах порядок надання консультаційних послуг зацікавленим особам банку.
83. Консультаційні послуги можуть щонайменше включати консультації щодо розроблення і впровадження нових процедур, процесів та/або систем, надання послуг зі спеціальних перевірок за дорученням зацікавлених осіб, проведення навчання, участь у проведенні обговорень щодо системи внутрішнього контролю та управління ризикам.
84. Замовник консультаційних послуг надає керівнику підрозділу внутрішнього аудиту інформацію щодо цілей, потреб та очікувань від результатів таких послуг, включаючи характер та обсяг, строки виконання та отримання їх результатів.
85. Відповідальність за рішення, прийняті на підставі наданих підрозділом внутрішнього аудиту консультаційних послуг, несуть замовники таких послуг.
Документи, інформація та матеріали, що стали відомі внутрішнім аудиторам під час здійснення консультаційних послуг, є конфіденційними. Доступ до таких документів, інформації, матеріалів здійснюється відповідно до вимог внутрішньобанківських документів, розроблених з урахуванням вимог законодавства України.
17. Аутсорсинг завдань та процесів внутрішнього аудиту
86. Банк має право передавати на аутсорсинг окремі завдання та процеси внутрішнього аудиту в разі та з урахуванням особливостей, визначених цим Положенням.
87. Банк має право передавати на аутсорсинг окремі завдання та процеси внутрішнього аудиту виключно щодо:
1) виконання окремих завдань внутрішнього аудиту щодо оцінки надійності, ефективності та цілісності управління інформаційно-комунікаційними технологіями (системами) та процесів управління в банку стосовно забезпечення релевантності, точності, повноти, доступності, конфіденційності та комплексності даних (ІТ-аудит);
2) моніторингу, обслуговування та підтримки інформаційно-технічного забезпечення підрозділу внутрішнього аудиту.
88. Банк приймає рішення щодо передавання окремих завдань та процесів внутрішнього аудиту на аутсорсинг за умови одночасного дотримання таких умов:
1) розроблення внутрішньобанківських документів щодо передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту;
2) обґрунтованої доцільності передавання завдань та процесів внутрішнього аудиту на аутсорсинг;
3) забезпечення збереження та захисту інформації з обмеженим доступом, включаючи банківську та комерційну таємницю, таємницю фінансової послуги, у разі передавання окремих завдань та процесів внутрішнього аудиту на аутсорсинг;
4) належного управління ризиками, пов'язаними з передаванням окремих завдань та процесів внутрішнього аудиту на аутсорсинг та виконанням аутсорсером таких завдань та процесів.
89. Рада банку затверджує внутрішньобанківські документи щодо передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту відповідно до вимог цього Положення та з урахуванням вимог Положення про організацію системи управління ризиками в банках України та банківських групах, затвердженого постановою Правління Національного банку України від 11 червня 2018 року № 64 (зі змінами).
Внутрішньобанківські документи щодо передавання на аутсорсинг окремих завдань та процесів внутрішнього аудиту щонайменше мають містити:
1) порядок визначення окремих завдань та процесів внутрішнього аудиту, що можуть передаватися на аутсорсинг;
2) порядок визначення критеріїв прийнятності аутсорсерів;
3) процес передавання окремих завдань та процесів на аутсорсинг, включаючи одностороннє розірвання банком договорів з аутсорсером;
4) процедури управління ризиками, пов'язаними з передаванням окремих завдань та процесів внутрішнього аудиту на аутсорсинг та виконанням аутсорсером таких завдань і процесів, включаючи оцінку фінансового стану аутсорсерів;
5) засади ефективного контролю банком за виконанням завдань і процесів внутрішнього аудиту, переданих на аутсорсинг;
6) вимоги до типового договору аутсорсингу, який щонайменше має містити умови щодо:
предмета договору та переліку завдань та процесів, які передаються на аутсорсинг;
строку дії договору та термінів виконання завдань та процесів, переданих на аутсорсинг;
умов та порядку розірвання банком договору в односторонньому порядку;
забезпечення аутсорсером конфіденційності та захисту інформації;
дій керівника підрозділу внутрішнього аудиту та аутсорсера в разі настання надзвичайних обставин;
забезпечення аутсорсером доступу банку до інформації, обладнання, систем, що використовуються аутсорсером для виконання завдань та процесів, переданих підрозділом внутрішнього аудиту на аутсорсинг, з метою перевірки виконання зобов'язань, визначених у договорі аутсорсингу;
нерозголошення інформації (NDA, англійською мовою Non-disclosure agreement);
7) відповідальність аутсорсера за надання недостовірної інформації.
90. Банк несе відповідальність за ризики, пов'язані з передаванням окремих завдань та процесів внутрішнього аудиту на аутсорсинг та виконанням аутсорсером таких завдань та процесів.
Передавання банком окремих завдань та процесів внутрішнього аудиту на аутсорсинг не повинно погіршувати процес оцінки функції внутрішнього аудиту банку, що здійснюється уповноваженими Національним банком особами.
Передавання банком окремих завдань та процесів внутрішнього аудиту на аутсорсинг не звільняє від відповідальності банк та/або керівника підрозділу внутрішнього аудиту за невиконання ним / ними регуляторних норм.
III. Взаємодія та контроль за діяльністю підрозділу внутрішнього аудиту
18. Взаємодія підрозділу внутрішнього аудиту
91. Керівник підрозділу внутрішнього аудиту забезпечує та підтримує ефективну взаємодію підрозділу внутрішнього аудиту із зацікавленими особами, що передбачає налагодження партнерських відносин, формування довіри та забезпечення можливості отримання зацікавленими особами доданої вартості від результатів діяльності підрозділу внутрішнього аудиту.
92. Керівник підрозділу внутрішнього аудиту банку забезпечує можливість обміну інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку з питань внутрішнього аудиту.
Взаємовідносини та обмін інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку, Національним банком / іншими державними органами, які в межах компетенції здійснюють нагляд / контроль за діяльністю банку, мають відбуватися з дотриманням вимог внутрішньобанківських документів, розроблених відповідно до вимог законодавства України, внутрішньобанківських документів щодо зберігання, захисту, використання та розкриття інформації, що становить банківську, комерційну таємницю та таємницю фінансової послуги.
Банк на вимогу зовнішнього аудитора банку має забезпечити надання йому звітів про проведені Національним банком перевірки банку та звітів зовнішнього та внутрішнього аудиту банку.
19. Контроль за функцією внутрішнього аудиту
93. Уповноваженими Національним банком особами здійснюється оцінка незалежності та ефективності створеної банком функції внутрішнього аудиту шляхом:
1) аналізу діяльності підрозділу внутрішнього аудиту, включаючи результати зовнішньої та внутрішньої оцінки якості функції внутрішнього аудиту;
2) перевірки процесів та інструментів внутрішнього аудиту;
3) проведення зустрічей з внутрішніми аудиторами;
4) оцінки взаємодії ради банку / відповідальної особи банківської групи з керівником підрозділу внутрішнього аудиту та частоти проведення зустрічей, а також контролю за виконанням рекомендацій за результатами внутрішнього аудиту;
5) аналізу внутрішньобанківських документів, включаючи забезпечення незалежності функції внутрішнього аудиту та вимоги до звіту про роботу підрозділу внутрішнього аудиту;
6) аналізу допущених банком порушень, установлених Національним банком за результатами інспекційних / виїзних перевірок та безвиїзного нагляду;
7) аналізу стану виконання рекомендацій, наданих Національним банком за результатами інспекційних / виїзних перевірок та безвиїзного нагляду.
Національний банк під час оцінки SREP враховує недоліки, порушення, виявлені в діяльності підрозділу внутрішнього аудиту, а також стан виконання банком рекомендацій, наданих Національним банком.
94. Банк подає внутрішньобанківські документи з питань внутрішнього аудиту / робочі документи / звіти на запит Національного банку, а також уповноваженим Національним банком особам під час здійснення інспекційної / виїзної перевірки.
95. Банк подає до Національного банку:
1) протягом 10 робочих днів після затвердження в установленому порядку річний план внутрішнього аудиту на наступний звітний рік, але не пізніше останнього робочого дня першого місяця року;
2) протягом 10 робочих днів після затвердження в установленому порядку змін до річного плану внутрішнього аудиту (у разі внесення);
3) два рази на рік протягом 15 днів місяця, наступного за звітним періодом (півроку), звіт про роботу підрозділу внутрішнього аудиту банку згідно з додатком 2 до цього Положення;
4) протягом одного місяця після проведення зовнішньої оцінки якості функції внутрішнього аудиту в установленому порядку звіт про зовнішню оцінку якості функції внутрішнього аудиту, оформлений та підписаний кваліфікованим незалежним оцінювачем або групою незалежних оцінювачів.
96. Внутрішньобанківські документи, визначені цим Положенням, подаються до Національного банку у формі електронного документа, підписаного шляхом накладання кваліфікованого електронного підпису (далі - КЕП) або електронної копії документа, засвідченої КЕП, на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв'язку, які використовуються Національним банком для електронного документообігу.
Внутрішньобанківські документи, визначені цим Положенням, подаються до Національного банку в паперовій формі:
1) у разі неможливості їх подання у формі електронного документа на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв'язку, які використовуються Національним банком для електронного документообігу;
2) на окремий запит Національного банку.
Документи на вимогу Національного банку подаються у формі та за форматом, визначеним Національним банком.
97. Електронні копії документів мають створюватись у формі файлів, які містять скановані з паперових носіїв зображення документів.
Сканування з паперових носіїв зображення документів здійснюється з урахуванням таких вимог:
1) документ сканується у файл формату pdf;
2) сканована копія кожного окремого документа зберігається як окремий файл;
3) файл повинен мати коротку назву латинськими літерами, що відображає зміст та реквізити документа;
4) документ, що містить більше однієї сторінки, сканується в один файл;
5) роздільна здатність сканування не нижче, ніж 300 dpi.
Електронні копії документів можуть подаватися на цифрових носіях або надсилатися засобами електронної пошти Національного банку.
98. Звіт про роботу підрозділу внутрішнього аудиту банку має містити щонайменше інформацію щодо перевірки сфери діяльності та процесів, упроваджених структурними підрозділами банку, його комітетами та керівництвом банку для здійснення діяльності банку, які протягом звітного періоду підлягали аудиторській перевірці.
99. Національний банк здійснює контроль за дотриманням банком вимог цього Положення шляхом:
1) проведення інспекційних / виїзних перевірок банку;
2) здійснення безвиїзного банківського нагляду, включаючи здійснення аналізу звіту про роботу підрозділу внутрішнього аудиту банку;
3) підтримання постійного зв'язку з внутрішніми аудиторами для обговорення ризиків банку, застосування банком заходів, спрямованих на зниження ризиків, здійснення постійного моніторингу реагування банку на виявлені проблеми;
4) проведення зустрічей за участю членів ради банку / комітету з питань аудиту (аудиторського комітету) (у разі його створення), членів правління, інших керівників банку та керівника підрозділу внутрішнього аудиту банку для обговорення ефективності запропонованих банком заходів, які мають бути реалізовані ним з огляду на надані рекомендації та/або висунуті Національним банком вимоги.
100. Національний банк має право ініціювати проведення зустрічі з керівником підрозділу внутрішнього аудиту банку, включаючи того керівника, якого звільнено не за власним бажанням, не за згодою сторін або не у зв'язку із закінченням строку трудового договору (контракту).
101. Національний банк має право висувати банку письмову вимогу, адресовану раді банку, щодо:
1) надання Національному банку інформації з питань, що належать до компетенції підрозділу внутрішнього аудиту, за формою та в установлений ним у письмовому запиті строк;
2) приведення діяльності підрозділу внутрішнього аудиту у відповідність до вимог законодавства України та Міжнародних стандартів внутрішнього аудиту;
3) заміни керівника підрозділу внутрішнього аудиту у зв'язку з невідповідністю його професійної придатності та/або ділової репутації кваліфікаційним вимогам, установленим Національним банком.
102. Національний банк має право рекомендувати банку проведення підрозділом внутрішнього аудиту позачергової аудиторської перевірки з окремих питань діяльності та/або за визначений період діяльності банку, а також рекомендувати внесення змін до річного плану внутрішнього аудиту на звітний рік.
103. Банк на письмову вимогу Національного банку зобов'язаний вжити заходів щодо приведення діяльності підрозділу внутрішнього аудиту у відповідність до вимог законодавства України та письмово поінформувати про це Національний банк у встановлений ним у вимозі строк.
104. Національний банк має право вимагати вжиття банком додаткових заходів, якщо він уважає, що вжиті банком заходи не забезпечили / не забезпечують / не забезпечать надалі незалежну та ефективну функцію внутрішнього аудиту.
Додаток 1