Про затвердження Положення про організацію внутрішнього аудиту в банках України

Відповідно до статей 7, 15, 55, 56 Закону України "Про Національний банк України", статей 9, 39, 45, 66, 67 Закону України "Про банки і банківську діяльність", з метою забезпечення ефективної роботи підрозділу внутрішнього аудиту банку, підвищення стабільності діяльності банків та захисту інтересів вкладників і кредиторів банків Правління Національного банку України ПОСТАНОВЛЯЄ:

1. Затвердити Положення про організацію внутрішнього аудиту в банках України, що додається.

2. Банкам до 01 липня 2016 року привести внутрішні документи щодо організації внутрішнього аудиту у відповідність до вимог Положення про організацію внутрішнього аудиту в банках України.

3. Визнати такими, що втратили чинність:

постанову Правління Національного банку України від 20 березня 1998 року № 114 "Про затвердження Положення про організацію внутрішнього аудиту в комерційних банках України";

постанову Правління Національного банку України від 15 березня 1999 року № 110 "Про внесення змін до Положення про організацію внутрішнього аудиту в комерційних банках України";

постанову Правління Національного банку України від 03 грудня 2001 року № 494 "Про затвердження Змін до Положення про організацію внутрішнього аудиту в комерційних банках України", зареєстровану в Міністерстві юстиції України 20 грудня 2001 року за № 1055/6246;

пункт 2 постанови Правління Національного банку України від 19 червня 2015 року № 392 "Про внесення змін до деяких нормативно-правових актів Національного банку України";

пункт 1 постанови Правління Національного банку України від 11 серпня 2015 року № 517 "Про внесення змін до деяких нормативно-правових актів Національного банку України".

4. Департаменту методології (Іваненко Н.В.) довести зміст цієї постанови до відома банків України для використання в роботі.

5. Контроль за виконанням цієї постанови покласти на в.о. заступника Голови Національного банку України Рожкову К.В.

6. Постанова набирає чинності з дня, наступного за днем її офіційного опублікування.

ПОЛОЖЕННЯ
про організацію внутрішнього аудиту в банках України

I. Загальні положення

1. Це Положення розроблено відповідно до Закону України "Про банки і банківську діяльність" з урахуванням документів Базельського комітету з банківського нагляду з питань внутрішнього аудиту та корпоративного управління, міжнародних стандартів професійної практики внутрішнього аудиту.

2. Це Положення встановлює обов'язкові мінімальні вимоги до організації функції внутрішнього аудиту та ефективної її діяльності в банку/філії іноземного банку/банківській групі на території України (далі - банк).

3. Терміни в цьому Положенні вживаються в такому значенні:

1) аудиторська перевірка (аудит) - комплекс експертно-аналітичних, оціночних, перевірочних та інших форм заходів, спрямованих на забезпечення діяльності банку/банківської групи, пов’язаної з ухваленням їх відповідними органами управлінських рішень та виконанням функцій відповідно до нормативно-правових, розпорядчих, інших актів і внутрішніх документів, з метою проведення незалежної оцінки процесів корпоративного управління, управління ризиками і контролю в банку/банківській групі та надання рекомендацій щодо вдосконалення системи внутрішнього контролю та мінімізації виявлених ризиків;

2) аудиторський комітет - комітет, що створюється радою банку зі складу її членів, з яких хоча б одна особа має практичний досвід у сфері аудиту, фінансової звітності та бухгалтерського обліку, для забезпечення контролю за впровадженням адекватної системи внутрішнього контролю, формуванням політик внутрішнього аудиту, бухгалтерського обліку та фінансової звітності, проведенням зовнішнього аудиту;

3) внутрішній аудит - незалежна, об’єктивна діяльність з надання впевненості та консультаційних послуг щодо оцінки систем та процесів банку, що має приносити користь банку та поліпшувати його діяльність;

4) внутрішній аудитор - особа, яка уповноважена виконувати функції внутрішнього аудиту банку;

5) зовнішній аудитор - незалежна аудиторська фірма, що відповідно до законодавства України, у тому числі нормативно-правових актів Національного банку України (далі - Національний банк), норм і стандартів аудиту, затверджених згідно з міжнародними стандартами аудиту та етики, здійснює перевірку фінансової звітності, консолідованої фінансової звітності, іншої інформації щодо фінансово-господарської діяльності банку;

6) підрозділ внутрішнього аудиту (далі - підрозділ внутрішнього аудиту/підрозділ внутрішнього аудиту банку) - структурний підрозділ банку (відповідальної особи, учасника банківської групи), що забезпечує виконання функцій внутрішнього аудиту;

7) підрозділ, що здійснює внутрішній аудит банківської групи - структурний підрозділ відповідальної особи або учасника банківської групи, що забезпечує виконання функцій внутрішнього аудиту банківської групи;

8) стандарти внутрішнього аудиту - міжнародні стандарти професійної практики внутрішнього аудиту, якими є документи (вимоги), прийняті Радою з міжнародних стандартів внутрішнього аудиту (International Internal Audit Standards Board - IIASB) та схвалені Наглядовою радою професійної практики (International Professional Practices framework oversight council - IPPFOC), що визначають загальні принципи (процедури), яких у своїй діяльності має дотримуватися підрозділ внутрішнього аудиту під час виконання своїх функцій.

Інші терміни, що вживаються в цьому Положенні, застосовуються в значеннях, визначених законодавчими та нормативно-правовими актами України.

4. Вимоги щодо здійснення аудиторської перевірки (аудиту) дотримання банком вимог законодавства у сфері запобігання та протидії легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення (далі - легалізація кримінальних доходів/фінансування тероризму), у тому числі щодо достатності вжитих банком заходів з управління ризиками легалізації кримінальних доходів/фінансування тероризму, визначається нормативно-правовим актом Національного банку з питань здійснення банками фінансового моніторингу.

II. Організація внутрішнього аудиту в банку/банківській групі

5. Рада банку має забезпечити створення та ефективне функціонування підрозділу внутрішнього аудиту.

Керівник підрозділу внутрішнього аудиту банку підпорядковується та звітує перед радою банку.

Підрозділ внутрішнього аудиту банку підпорядковується та є підзвітним раді банку.

Підрозділ внутрішнього аудиту банку здійснює свою діяльність відповідно до:

1) вимог законодавства України, у тому числі нормативно-правових актів Національного банку, цього Положення;

2) стандартів внутрішнього аудиту, загальних етичних норм, що прийняті Радою з міжнародних стандартів внутрішнього аудиту та які визначають принципи етики та правила поведінки, яких має дотримуватися внутрішній аудитор під час здійснення своїх функцій (далі - кодекс етики);

3) положення про внутрішній аудит банку та інших внутрішніх положень, що регламентують діяльність банку.

6. Відповідальна особа банківської групи (далі - відповідальна особа) з урахуванням структури управління банківської групи зобов’язана визначити структуру внутрішнього аудиту банківської групи та забезпечити ефективну роботу внутрішнього аудиту банківської групи відповідно до вимог, установлених цим Положенням, з урахуванням видів діяльності, що здійснюється учасниками банківської групи.

Керівник підрозділу, що здійснює внутрішній аудит банківської групи, підпорядковується та звітує перед радою відповідальної особи, а якщо немає ради - перед виконавчим органом відповідальної особи.

Підрозділ, що здійснює внутрішній аудит банківської групи, підпорядковується та є підзвітним раді відповідальної особи, а якщо немає ради - виконавчому органу відповідальної особи.

Організація та порядок роботи підрозділу внутрішнього аудиту встановлюються централізовано відповідальною особою для учасників групи. Функції внутрішнього аудиту банківської групи (її учасників) може виконувати підрозділ внутрішнього аудиту відповідальної особи або учасника банківської групи, на який покладено виконання таких функцій.

Керівник підрозділу внутрішнього аудиту материнського банку/відповідальної особи банківської групи визначає стратегію та принципи внутрішнього аудиту в банківській групі, процес організації внутрішнього аудиту на рівні материнського банку та дочірніх компаній, забезпечує застосування єдиних методологічних засад, порівнянність результатів і системність під час здійснення внутрішнього аудиту учасників банківської групи.

Підрозділ, що здійснює внутрішній аудит банківської групи, здійснює свою діяльність на підставі положення, що затверджується радою відповідальної особи, а якщо немає ради - виконавчим органом відповідальної особи.

Організація внутрішнього аудиту в банківській групі здійснюється в один із таких способів:

учасник банківської групи створює власний підрозділ внутрішнього аудиту з урахуванням вимог, установлених відповідальною особою, який має також звітувати перед керівником підрозділу внутрішнього аудиту відповідальної особи;або

підрозділ, що здійснює внутрішній аудит банківської групи, безпосередньо здійснює аудиторську перевірку (аудит) учасника банківської групи (якщо такий учасник згідно із законодавством України не зобов’язаний створити власний підрозділ внутрішнього аудиту).

Працівники підрозділу, що здійснює внутрішній аудит банківської групи, мають право на ознайомлення з інформацією/документами учасника банківської групи, необхідною/необхідними для проведення аудиту. У разі залучення для проведення внутрішнього аудиту учасника банківської групи внутрішніх аудиторів підрозділу, що здійснює внутрішній аудит банківської групи, останні мають підписати письмове зобов’язання щодо нерозголошення та невикористання з вигодою для себе чи для третіх осіб інформації, що становить банківську та комерційну таємницю, та щодо її збереження відповідно до вимог законодавства України.

7. Положення про внутрішній аудит банку складається та переглядається (у разі потреби) керівником підрозділу внутрішнього аудиту банку.

Положення про внутрішній аудит банку затверджується радою банку.

Положення про внутрішній аудит банку, серед іншого, має містити:

1) цілі та напрями діяльності підрозділу внутрішнього аудиту;

2) статус підрозділу внутрішнього аудиту та підпорядкування його керівника;

3) функції та повноваження підрозділу внутрішнього аудиту;

4) організаційну структуру підрозділу внутрішнього аудиту, кваліфікаційні вимоги до його працівників (внутрішніх аудиторів);

5) підзвітність керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;

6) порядок призначення та звільнення керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;

7) права та обов'язки керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;

8) обов'язки щодо дотримання внутрішніми аудиторами банку законодавства України, у тому числі нормативно-правових актів Національного банку, принципів діяльності підрозділу внутрішнього аудиту, що встановлені в цьому Положенні, кодексу етики та стандартів внутрішнього аудиту;

9) відповідальність керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку;

10) вимоги до програми забезпечення та підвищення якості внутрішнього аудиту банку та періодичного звітування щодо її виконання раді (аудиторському комітету в разі його створення) та правлінню банку;

11) загальні вимоги до ризик-орієнтовного планування аудиторських перевірок (аудиту) та річного плану проведення аудиторських перевірок (аудиту);

12) порядок взаємодії, обміну інформацією між підрозділом внутрішнього аудиту та структурними підрозділами банку, органами управління банку;

13) умови залучення підрозділу внутрішнього аудиту для надання консультативних послуг з визначенням характеру таких послуг або виконання інших спеціальних завдань, а також умови залучення підрозділом внутрішнього аудиту спеціалістів банку для виконання окремих завдань внутрішнього аудиту;

14) вимоги до оформлення результатів аудиторських перевірок (аудиту);

15) вимоги до проведення ротації внутрішніх аудиторів;

16) право керівника підрозділу внутрішнього аудиту банку на скликання позачергового засідання ради банку;

17) вимоги до взаємодії підрозділу внутрішнього аудиту із зовнішнім аудитором та органами державної влади й управління, у тому числі Національним банком, які в межах компетенції здійснюють нагляд за діяльністю банку;

18) порядок доведення результатів аудиторських перевірок до ради банку, у тому числі до її аудиторського комітету (у разі його створення), та правління банку;

19) інші повноваження, пов'язані з виконанням підрозділом внутрішнього аудиту банку своїх функцій відповідно до законодавства України та стандартів внутрішнього аудиту.

8. Положення про внутрішній аудит банку має надавати підрозділу внутрішнього аудиту банку повноваження під час виконання своїх функцій ініціювати спілкування з керівниками та з будь-якими працівниками банку, підрозділами банку, у тому числі відокремленими, що забезпечують надання банківських та інших фінансових послуг (далі - структурні підрозділи), незалежно від країни їх місцезнаходження, та мати доступ до будь-яких документів та інформації банку, його афілійованих осіб, архівів, даних, у тому числі електронних баз даних у режимі перегляду, і об'єктів банку, у тому числі до управлінської інформації, документів з прийняття рішень органами управління банку.

9. Банк доводить зміст положення про внутрішній аудит банку до відома усіх керівників і працівників банку, а також має забезпечити можливість ознайомлення з ним усіх зацікавлених осіб банку.

10. Організаційна структура підрозділу внутрішнього аудиту банку затверджується радою банку за поданням керівника підрозділу внутрішнього аудиту банку з огляду на розмір банку (обсяг активів, кількість структурних підрозділів банку, рівень програмного забезпечення, яке підтримує діяльність банку, у тому числі операційний день банку, тощо), види його діяльності, рівень ризиків, на які може наражатися банк у процесі своєї діяльності.

Умови оплати праці керівника та працівників підрозділу внутрішнього аудиту банку затверджуються радою банку відповідно до політики банку та внутрішніх положень щодо оплати праці та мають формуватися таким чином, щоб не створювати конфлікту інтересів, не ставити під загрозу незалежність та об'єктивність діяльності підрозділу внутрішнього аудиту банку, а також сприяти комплектуванню підрозділу внутрішнього аудиту банку професійно придатними та кваліфікованими працівниками.

Професійна придатність керівника підрозділу внутрішнього аудиту банку визначається як сукупність знань, професійного та управлінського досвіду, необхідних для належного виконання своїх посадових обов’язків з урахуванням бізнес-плану та стратегії розвитку банку.

Інші кваліфікаційні вимоги до кандидата на посаду керівника підрозділу внутрішнього аудиту банку, порядок погодження Національним банком його кандидатури та його звільнення [крім випадків звільнення такої особи за власним бажанням, за згодою сторін або у зв’язку із закінченням строку трудового договору (контракту)] установлюються нормативно-правовим актом Національного банку, що визначає порядок реєстрації та ліцензування банків.

12. Підрозділ внутрішнього аудиту банку має здійснювати свою діяльність, зокрема, з дотриманням таких принципів:

1) незалежність - це свобода від обставин, що становлять загрозу для неупередженого виконання підрозділом внутрішнього аудиту банку своїх функцій. Для досягнення рівня незалежності, необхідного для ефективного виконання підрозділом внутрішнього аудиту банку своїх функцій, керівник підрозділу внутрішнього аудиту банку повинен мати пряму та необмежену можливість звернення до ради та правління банку.

Незалежність передбачає також відсутність випадків, коли винагорода внутрішніх аудиторів, у тому числі керівника підрозділу внутрішнього аудиту банку, пов'язана з фінансовими результатами структурних підрозділів, у яких проводиться аудиторська перевірка (аудит).

Загрози незалежності мають контролюватися на рівні кожного внутрішнього аудитора, завдання, а також на функціональному та організаційному рівнях.

Працівники підрозділу внутрішнього аудиту банку не повинні входити (функціонально) до складу інших структурних підрозділів банку;

2) об'єктивність і неупередженість - дотримання неупередженої позиції, що дозволяє внутрішнім аудиторам виконувати завдання та функції в такий спосіб, який вони вважають прийнятним для роботи і який не допускає жодних компромісів щодо її якості або впливу інших осіб. Неупередженість вимагає, щоб підрозділ внутрішнього аудиту банку не був задіяний у процесі надання банківських та інших фінансових послуг, здійснення іншої діяльності банку, які підлягають внутрішньому аудиту, або у визначенні чи реалізації заходів із створення в банку адекватної системи внутрішнього контролю.

Керівник підрозділу внутрішнього аудиту банку має забезпечити відсутність втрати об'єктивності, у тому числі шляхом проведення періодичної ротації внутрішніх аудиторів, яка не повинна позначатися на якості проведення аудиту.

Об'єктивність уважається обмеженою, якщо внутрішній аудитор перевіряє ту діяльність, за яку він відповідав протягом останнього року;

3) професійна компетентність - наявність у керівника підрозділу внутрішнього аудиту та внутрішніх аудиторів банку достатніх знань, навичок і досвіду, необхідних для проведення аудиту всіх сфер діяльності банку, ризиків, які притаманні діяльності банку. Керівник підрозділу внутрішнього аудиту банку відповідає за наявність у внутрішніх аудиторів достатньої кваліфікації та навичок. Навички повинні включати здатність проведення аудиторських перевірок різноманітної складності, які необхідно виконувати в результаті впровадження в банках нових продуктів та процесів, сприяючи їх удосконаленню.

Професійна компетентність залежить від здатності внутрішніх аудиторів збирати і розуміти інформацію, вивчати та оцінювати аудиторські докази, кваліфіковано та конструктивно спілкуватись із працівниками банку. Ці якості повинні поєднуватися з відповідними методологіями, інструментарієм та знаннями методів аудиторської перевірки (аудиту);

4) належна професійна ретельність - уміння внутрішнього аудитора під час виконання завдань внутрішнього аудиту проявляти старанність, сумлінність та застосовувати професійні навички, стандарти внутрішнього аудиту. Внутрішній аудитор повинен бути особливо уважним щодо оцінки ефективності процесів управління значними ризиками, які можуть вплинути на діяльність банку.

Внутрішній аудитор повинен проявляти належну професійну ретельність з огляду на:

досягнення цілей завдання;

складність, суттєвість або значущість питань, до яких застосовуються аудиторські процедури;

імовірність значних недоліків та порушень, шахрайства або невідповідності діяльності банку вимогам законодавства України.

Керівник та працівники підрозділу внутрішнього аудиту банку повинні демонструвати професійну компетентність та належну ретельність;

5) професійна етика - дотримання внутрішніми аудиторами кодексу етики банку (у разі його прийняття), принципів міжнародного кодексу етики, а також недопущення розголошення та використання з вигодою для себе чи для третіх осіб інформації про діяльність банку, яка становить банківську та комерційну таємницю.

Керівник підрозділу внутрішнього аудиту та внутрішні аудитори банку зобов'язані уникати конфлікту інтересів.

13. Підрозділ внутрішнього аудиту банку здійснює аудиторські перевірки (аудит) відповідно до річного плану проведення аудиторських перевірок (аудиту) банку на звітний рік, який може бути частиною довгострокового плану аудиту.

Річний план (зміни до плану) проведення аудиторських перевірок (аудиту) банку складається керівником підрозділу внутрішнього аудиту на основі ризик-орієнтованого підходу та з урахуванням пропозицій і завдань, отриманих від ради або правління банку, і, за потреби, може переглядатися (принаймні один раз на рік або частіше) для забезпечення оцінки тих сфер діяльності банку, де містяться значні ризики.

Керівник підрозділу внутрішнього аудиту банку подає річний план (зміни до плану) проведення аудиторських перевірок (аудиту) банку на затвердження раді банку.

14. Підрозділ внутрішнього аудиту банку здійснює аудиторські перевірки (аудит) на основі результатів комплексної оцінки ризиків та річного плану проведення аудиторських перевірок (аудиту) банку з урахуванням політик, процесів та управлінських рішень, які запроваджуються банком на виконання встановлених принципів діяльності, спеціальних вимог Національного банку, органів державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку, а також принципів внутрішнього аудиту, які включають методологію аудиту та заходи із забезпечення якості внутрішнього аудиту материнської компанії (у разі потреби).

15. Рада та правління банку/рада (у разі наявності) та виконавчий орган відповідальної особи мають забезпечити підрозділ внутрішнього аудиту усіма необхідними фінансовими та іншими ресурсами для виконання поставлених перед цим підрозділом завдань.

III. Функції підрозділу внутрішнього аудиту

16. Підрозділ внутрішнього аудиту здійснює такі функції:

1) перевіряє та оцінює процеси, які забезпечують діяльність банку, у тому числі ті, що несуть потенційний ризик та виконання яких забезпечується шляхом залучення юридичних та фізичних осіб на договірній основі (аутсорсинг);

2) оцінює ефективність та адекватність організації корпоративного управління в банку, системи внутрішнього контролю, процесів управління банком, їх відповідність розміру банку, складності, обсягам, видам, характеру здійснюваних банком операцій, організаційній структурі та профілю ризику банку, з урахуванням особливостей діяльності банку як системно важливого (за наявності такого статусу) та/або діяльності банківської групи, до складу якої входить банк, організації внутрішньої системи запобігання та протидії легалізації кримінальних доходів/фінансуванню тероризму, системи управління ризиками легалізації кримінальних доходів/фінансування тероризму;

3) перевіряє процеси управління банком, процес оцінки достатності капіталу, достатності ліквідності, засобів забезпечення збереження активів з урахуванням ризиків банку;

4) перевіряє правильність ведення та достовірність бухгалтерського обліку, інформації, фінансової та іншої звітності, що складається банком, їх повноту та вчасність надання, у тому числі до Національного банку, органів державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку;

5) здійснює незалежну оцінку впровадженої керівництвом банку системи контролю, зокрема щодо:

дотримання керівниками та працівниками банку, що забезпечують надання банківських та інших фінансових послуг, вимог законодавства України, у тому числі нормативно-правових актів Національного банку, та внутрішніх положень банку, виконання професійних обов'язків і правил, що встановлені Статутом банку та внутрішніми документами банку, у тому числі з питань комплаєнсу та управління ризиками;

виявлення та аналізу фактів порушень працівниками банку вимог чинного законодавства України, стандартів професійної діяльності, внутрішніх положень, які регулюють діяльність банку;

своєчасності усунення недоліків, виявлених Національним банком та іншими органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку;

6) незалежно оцінює надійність, ефективність та цілісність управління інформаційними системами та процесами банку (у тому числі релевантність, точність, повноту, доступність, конфіденційність та комплексність даних);

7) перевіряє фінансово-господарську діяльність банку;

8) здійснює оцінку ефективності та достатності складеного банком плану відновлення його діяльності (у разі його складання);

9) оцінює діяльність підрозділів з управління ризиками та комплаєнс-ризику, комітетів, що створені банком (далі - профільні комітети) та якість звітів про ризики, що надаються раді та правлінню банку;

10) виявляє та перевіряє випадки перевищення повноважень посадовими особами банку, а також виникнення конфлікту інтересів у банку;

11) надає в межах банку та за відсутності загрози незалежності консультаційні послуги, виконує інші функції, пов'язані зі здійсненням нагляду за діяльністю банку;

12) інші функції, передбачені законодавством України.

IV. Права та обов'язки керівника підрозділу внутрішнього аудиту банку та внутрішніх аудиторів

17. Керівник підрозділу внутрішнього аудиту банку має право, зокрема:

1) надавати пропозиції раді банку (аудиторському комітету в разі його створення) щодо проведення планової аудиторської перевірки (аудиту), ініціювати (за потреби) проведення позапланової аудиторської перевірки (аудиту), обговорювати результати перевірок та висновки з радою, правлінням банку, керівниками структурних підрозділів банку;

2) вимагати позачергового скликання засідання ради банку (аудиторського комітету в разі його створення);

3) ініціювати проведення зустрічі із будь-якою посадовою особою банку;

4) ініціювати для проведення внутрішнього аудиту залучення працівників інших структурних підрозділів банку;

5) отримувати письмові пояснення від керівників і працівників банку з питань, що виникають під час проведення внутрішнього аудиту та за його результатами;

6) надавати на розгляд та затвердження радою (аудиторським комітетом у разі його створення) банку розрахунок потреби в ресурсах підрозділу внутрішнього аудиту, повідомляти про наявні обмеження;

7) надсилати до інших організацій та установ або третіх осіб запити щодо отримання потрібних відомостей та документів, пов'язаних з аудиторською перевіркою (аудитом);

8) висловлювати свою думку, у тому числі на запит правління банку, з питань, пов'язаних з ризиковою діяльністю та засобами внутрішнього контролю банку;

9) брати участь без права голосу в засіданнях ради та/або правління, профільних комітетів банку.

18. Внутрішні аудитори мають право, зокрема:

1) на ознайомлення з інформацією та документами, у тому числі тими, що зберігаються на електронних носіях, будь-якого підрозділу банку, письмовими поясненнями з питань діяльності банку, уключаючи всі підрозділи банку незалежно від країни їх місцезнаходження, та афілійованих осіб банку;

2) отримувати письмові пояснення від керівників і працівників банку з питань, що виникають під час проведення аудиторської перевірки (аудиту) та за її (його) результатами;

3) доступу до системи автоматизації банківських операцій, а також використовувати:

бази даних та іншу інформацію з первинних документів банку;

програмне забезпечення, яке використовується для автоматизації процесів у діяльності банку, у тому числі з питань фінансового моніторингу;

фінансову, статистичну, управлінську та інші види звітності;

інвентаризаційні матеріали банку та документи комісій, створених у банку (за їх наявності);

документи органів управління банку, у тому числі з питань запровадження та функціонування систем управління ризиками та внутрішнього контролю;

інші документи банку, які необхідні для проведення аудиторських перевірок (аудиту);

4) доступу до всіх приміщень банку, у тому числі тих, що використовуються банком для зберігання документів, готівки та інших цінностей;

5) знімати копії з наданих для перевірки документів (у разі надання їх на паперових носіях), робити копії файлів будь-якої інформації, що зберігається на електронних носіях та є необхідною для проведення аудиторської перевірки (аудиту).

19. Керівник підрозділу внутрішнього аудиту банку, зокрема, зобов'язаний:

1) демонструвати менеджерські та лідерські якості, а також мати достатній кваліфікаційний рівень знань і навичок, постійно їх удосконалювати;

2) складати плани підрозділу внутрішнього аудиту банку та забезпечувати їх виконання;

3) забезпечувати безперервну роботу підрозділу внутрішнього аудиту банку відповідно до положення про внутрішній аудит банку, стандартів внутрішнього аудиту та принципів діяльності, визначених у пункті 12 розділу II цього Положення;

4) забезпечувати відповідність, достатність та ефективність використання ресурсів підрозділу внутрішнього аудиту для виконання річного плану проведення аудиторської перевірки (аудиту) банку;

5) забезпечувати комплектацію підрозділу внутрішнього аудиту висококваліфікованим персоналом з необхідними навичками роботи, що включають здатність ефективно та професійно оцінювати результати діяльності банку, здійснювати вплив на найвищому рівні управління банком;

6) визначати політики та аудиторські процедури, які застосовуються внутрішніми аудиторами для проведення аудиторської перевірки (аудиту), відповідно до вимог внутрішніх документів банку з питань проведення аудиторської перевірки (аудиту) та стандартів внутрішнього аудиту;

7) складати звіт про виконання річного плану проведення аудиторських перевірок (аудиту) та подавати його на затвердження раді та аудиторському комітету банку (у разі його створення) не пізніше останнього дня першого місяця року, наступного за звітним, із наданням підтвердження щодо організаційної незалежності підрозділу внутрішнього аудиту банку;

8) забезпечувати подання керівникам структурних підрозділів [учасників процесів, які підлягали аудиторській перевірці (аудиту)], правлінню та раді банку (аудиторському комітету в разі його створення) звітів за результатами проведення аудиторських перевірок (аудиту) для прийняття ними відповідних організаційних (коригувальних) заходів;

9) подавати раді банку (аудиторському комітету в разі його створення) не рідше ніж один раз на півроку інформацію (звіт) про стан реалізації, у тому числі невжиття, правлінням та керівниками підрозділів банку рекомендацій (пропозицій) із усунення порушень і недоліків у діяльності банку, виявлених за результатами аудиту;

10) у випадку виникнення обставин, які перешкоджають внутрішнім аудиторам банку виконувати свої обов'язки, втручання посадових осіб банку в діяльність підрозділу внутрішнього аудиту банку, виявлення рівня ризику, що є неприйнятним для діяльності банку, письмово проінформувати про це раду банку для прийняття нею відповідних рішень або вжиття заходів;

11) розробити та підтримувати програму забезпечення та підвищення якості внутрішнього аудиту банку з урахуванням вимог стандартів внутрішнього аудиту, забезпечити періодичне звітування раді та правлінню банку про її виконання;

12) забезпечувати безперервну професійну підготовку та навчання внутрішніх аудиторів;

13) розробити та підтримувати систему моніторингу виконання керівниками банку рекомендацій (пропозицій), наданих за результатами аудиторських перевірок (аудиту), уникати конфлікту інтересів;

14) складати і подавати до Національного банку відповідно до вимог цього Положення звіт про роботу підрозділу внутрішнього аудиту та інші документи за результатами внутрішнього аудиту банку;

15) письмово повідомляти Національний банк про виявлені під час проведення аудиторської перевірки (аудиту) викривлення показників фінансової звітності банку, порушення та недоліки в роботі банку, а також будь-які події в діяльності банку, які можуть негативно вплинути на платоспроможність, безпеку і надійність банку/учасника банківської групи, якщо правління банку своєчасно не вжило заходів щодо усунення цих порушень та недоліків, а рада банку не розглянула звернення керівника підрозділу внутрішнього аудиту щодо бездіяльності правління банку та за результатами розгляду цього звернення не вжила відповідних заходів;

16) забезпечувати здійснення періодичних перевірок дотримання банком вимог законодавства у сфері запобігання легалізації кримінальних доходів/фінансування тероризму (у тому числі щодо достатності вжитих банком заходів з управління ризиками легалізації кримінальних доходів/фінансування тероризму);

17) забезпечити в межах своїх повноважень на постійній основі співпрацю із зовнішніми аудиторами, органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банку, у тому числі з Національним банком.

20. Внутрішні аудитори банку, зокрема, зобов'язані:

1) дотримуватись вимог законодавства України, у тому числі цього Положення та вимог положення про внутрішній аудит банку, стандартів внутрішнього аудиту, принципів діяльності, визначених у пункті 12 розділу II цього Положення;

2) надавати пропозиції щодо підвищення ефективності роботи системи управління ризиками, у тому числі її відповідності видам і обсягам здійснюваних банком операцій, та системи внутрішнього контролю;

3) перевіряти ефективність застосованих банком заходів щодо виправлення виявлених порушень та недоліків підрозділом внутрішнього аудиту банку;

4) здійснювати незалежну оцінку створеної керівництвом банку системи внутрішнього контролю за дотриманням працівниками банку нормативно-правових актів Національного банку, внутрішніх положень банку щодо порядку надання банківських та інших фінансових послуг, внутрішніх документів банку з питань фінансового моніторингу, ефективності дій менеджменту, видів діяльності банку, у тому числі тих, виконання яких забезпечується ним шляхом залучення юридичних і фізичних осіб на договірній основі (аутсорсинг), а також здійснення іншої діяльності, передбаченої статутом банку;

5) ініціювати подання раді банку, правлінню банку, керівникам структурних підрозділів, що перевіряються, звітів за результатами проведення аудиторських перевірок (аудиту), у тому числі щодо забезпечення виконання банком вимог законодавства України у сфері запобігання легалізації кримінальних доходів/фінансуванню тероризму;

6) ініціювати надання рекомендацій керівникам структурних підрозділів щодо вжиття заходів для уникнення та недопущення дій, результатом яких може стати порушення банком вимог законодавства України, та здійснювати моніторинг повноти та своєчасності впровадження рекомендацій, що були надані за результатами попередніх аудиторських перевірок (аудиту);

7) виявляти за результатами аудиту сфери потенційних збитків для банку, сприятливі умови для шахрайства, зловживань і незаконного присвоєння коштів банку та повідомляти про це в установленому порядку раду та правління банку;

8) забезпечувати схоронність і своєчасність повернення одержаних від керівників або структурних підрозділів банку документів на всіх носіях;

9) не брати участі в створенні та організації, у тому числі разом із структурними підрозділами банку, будь-яких заходів та процесів, що забезпечують діяльність банку або сприймаються як такі, що впливають на неупередженість та об'єктивність внутрішніх аудиторів, розробленні внутрішніх документів банку (крім випадків надання внутрішніми аудиторами консультаційних послуг, які передбачені функцією внутрішнього аудиту), не візувати таких документів;

10) не розголошувати та не використовувати конфіденційну інформацію, яка стала відома їм під час виконання своїх функцій, на свою користь чи на користь третіх осіб;

11) удосконалювати свої знання, навички та інші вміння шляхом постійного професійного розвитку.

V. Організація проведення аудиторських перевірок (аудиту)

21. Аудиторська перевірка (аудит) в банку здійснюється згідно з річним планом проведення аудиторських перевірок (аудиту).

Позапланові аудиторські перевірки (аудит) можуть здійснюватися на вимогу ради банку (аудиторського комітету в разі його створення) та/або за погодженою з радою банку ініціативою правління або керівника підрозділу внутрішнього аудиту банку.

22. Аудиторська перевірка (аудит), незалежно від тематики перевірки, має передбачати перевірку та оцінку таких сфер (процесів) діяльності банку [у разі притаманності цим сферам (процесам)], зокрема:

1) ефективності роботи систем управління ризиками та внутрішнього контролю, корпоративного управління щодо поточних та потенційно можливих ризиків банку в майбутньому;

2) надійності, ефективності та цілісності систем та процесів управління інформацією (у тому числі повноти та якості даних, уключаючи дані, що надаються Національному банку);

3) дотримання банком вимог законодавства, у тому числі законодавства у сфері запобігання легалізації кримінальних доходів/фінансуванню тероризму, рекомендацій Національного банку, внутрішніх положень, правил та кодексів поведінки, що застосовуються до працівників банку.

23. Аудиторська перевірка (аудит) здійснюється на підставі програми аудиторської перевірки (аудиту), під час підготовки якої має враховуватись, зокрема, таке:

1) обсяг програми аудиторської перевірки (аудиту) та аудиторських процедур має бути достатнім для досягнення цілей завдання;

2) обсяг та вид проведення аудиторських процедур визначається на основі результатів оцінки ризиків, проведеної під час підготовки до аудиторської перевірки (аудиту) та/або під час складання річного плану проведення аудиторських перевірок (аудиту) банку на звітний рік або складання карти ризиків (за наявності).

24. Програма аудиторської перевірки (аудиту) має містити:

1) назву об'єкта (сфери діяльності) аудиторської перевірки (аудиту);

2) підставу проведення аудиторської перевірки (аудиту);

3) цілі та напрями аудиторської перевірки (аудиту) з урахуванням оцінки ризиків, пов'язаних з об'єктом перевірки;

4) перелік процесів, які будуть підлягати аудиторській перевірці (аудиту), із зазначенням орієнтовного часу (днів), що планується витратити на їх перевірку;

5) період, що підлягає аудиторській перевірці (аудиту);

6) дату початку та закінчення проведення аудиторської перевірки (аудиту);

7) процедури збору, аналізу, оцінки та документування інформації про об'єкт перевірки, мінімальний обсяг вибірки та види аналітичних процедур, які будуть використані під час аудиторської перевірки (аудиту);

8) перелік внутрішніх аудиторів та інших осіб, які братимуть участь в аудиторській перевірці (аудиті);

9) розкриття характеру обмеження(ень) у разі його (їх) наявності, організаційної незалежності та індивідуальної об'єктивності.

Програма аудиторської перевірки (аудиту) складається в письмовому вигляді, підписується керівником перевірки та затверджується керівником підрозділу внутрішнього аудиту банку до початку проведення аудиторської перевірки (аудиту).

У процесі здійснення аудиту до програми можуть уноситися зміни, які мають бути письмово задокументовані та затверджені у встановленому порядку.

25. Аудиторський звіт про результати проведення аудиторської перевірки (аудиту) складається з урахуванням вимог стандартів внутрішнього аудиту, підписується внутрішнім аудитором, який безпосередньо виконував перевірку, керівником перевірки та керівником підрозділу внутрішнього аудиту банку.

26. Процес моніторингу/відстеження підрозділом внутрішнього аудиту банку результатів аудиторських перевірок (аудиту) починається після надання об'єкту аудиту аудиторського звіту та закінчується після виконання ним усіх наданих рекомендацій (пропозицій).

Відсутність подальшого моніторингу/відстеження результатів аудиторських перевірок (аудиту) встановлюється шляхом підтвердження керівником підрозділу внутрішнього аудиту банку/керівником перевірки виконання об'єктом аудиту всіх та в повній мірі рекомендацій (пропозицій), що надавалися за результатами аудиту.

27. Звіт про аудиторську перевірку (аудит) надається керівникам структурних підрозділів [учасникам процесів, які підлягали перевірці (аудиту)], правлінню банку, раді банку та аудиторському комітету (у разі його створення) для вжиття своєчасних і належних організаційних (коригувальних) заходів.

VI. Взаємовідносини між зовнішнім і внутрішнім аудитором

28. Керівник підрозділу внутрішнього аудиту банку має забезпечити можливість обміну інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку з питань проведення внутрішнього аудиту, у тому числі порядку застосування відповідних процедур аудиту.

29. Взаємовідносини та обмін інформацією між підрозділом внутрішнього аудиту банку та зовнішнім аудитором банку, органами державної влади та управління, які в межах компетенції здійснюють нагляд за діяльністю банків, мають відбуватися з дотриманням вимог законодавства України та внутрішніх документів банку щодо зберігання, захисту, використання та розкриття інформації, що становить банківську та комерційну таємницю.

30. Рада банку має забезпечити надання підрозділу внутрішнього аудиту банку плану та програми перевірки річної фінансової звітності, консолідованої фінансової звітності та іншої інформації щодо фінансово-господарської діяльності банку, що здійснюється зовнішнім аудитором банку.

31 . Керівники банку на вимогу зовнішнього аудитора банку мають забезпечити надання йому звітів про проведені Національним банком перевірки банку та звіти зовнішнього та внутрішнього аудиту банку.

VII. Контроль за діяльністю підрозділу внутрішнього аудиту банку

32. Рада банку в межах своїх наглядових обов'язків (або аудиторський комітет у разі його створення) повинна (повинен):

1) здійснювати нагляд за діяльністю підрозділу внутрішнього аудиту банку та забезпечити оцінку ефективності та якості роботи цього підрозділу шляхом проведення внутрішньої та зовнішньої оцінок.

Внутрішня оцінка має проводитися не рідше ніж один раз на рік шляхом розгляду та затвердження звіту про роботу підрозділу внутрішнього аудиту банку за звітний рік, проведення періодичних самооцінок, оцінки роботи підрозділу материнською компанією (у разі наявності) або оцінок, що надаються іншими кваліфікованими працівниками банку, які володіють достатніми знаннями у сфері внутрішнього аудиту та залучаються у разі потреби для такої оцінки.

Зовнішня оцінка має проводитися не рідше ніж один раз на п'ять років кваліфікованим незалежним експертом (групою експертів), який(і) не є працівником(ами) банку;

2) забезпечити контроль за проведенням внутрішньої та зовнішньої оцінки функції внутрішнього аудиту, розробити та застосовувати власні методики для внутрішньої оцінки якості роботи підрозділу внутрішнього аудиту банку, що включатимуть проведення періодичних внутрішніх оцінок, що здійснюються відповідно до вимог програми забезпечення та підвищення якості внутрішнього аудиту;

3) забезпечити своєчасність реагування керівників банку на рекомендації (пропозиції) підрозділу внутрішнього аудиту банку;

4) забезпечити контроль [у тому числі шляхом проведення повторних аудиторських перевірок (аудиту) та моніторингу виконання заходів] за прийняттям правлінням банку заходів з усунення виявлених підрозділом внутрішнього аудиту банку порушень і недоліків у діяльності банку;

5) забезпечити контроль за своєчасним інформуванням правлінням та керівниками структурних підрозділів банку підрозділу внутрішнього аудиту банку про значні зміни у стратегії, методах та процедурах управління ризиками банку, запровадження нових продуктів і змін в операційній діяльності банку на ранньому етапі їх застосування. Інформувати керівника підрозділу внутрішнього аудиту банку про ініціювання службових розслідувань та їх результати, надавати інформацію щодо результатів перевірок органів контролю банку;

6) здійснювати контроль за діяльністю правління банку щодо своєчасного забезпечення підрозділу внутрішнього аудиту банку достатніми ресурсами для виконання річного плану проведення аудиторських перевірок (аудиту).

33. Рада банку (або аудиторський комітет у разі його створення) не повинна (не повинен) уважати роботу підрозділу внутрішнього аудиту банку задовільною виключно на тій підставі, що Національний банк не виявив недоліків у діяльності підрозділу внутрішнього аудиту банку.

Перевірка, що здійснюється Національним банком, не замінює необхідності оцінювання радою банку [аудиторським комітетом (у разі його створення) або залученим зовнішнім оцінювачем] діяльності підрозділу внутрішнього аудиту банку.

34. Банк зобов'язаний подавати до Національного банку:

1) протягом десяти робочих днів після затвердження в установленому порядку план проведення аудиторських перевірок (аудиту) на наступний звітний рік, але не пізніше останнього робочого дня першого місяця року;

2) протягом десяти робочих днів після затвердження в установленому порядку зміни до річного плану проведення аудиторських перевірок (аудиту) (у разі їх унесення);

3) два рази на рік протягом 15 днів місяця, наступного за звітним періодом (півроку), звіт про роботу підрозділу внутрішнього аудиту банку згідно з додатком до цього Положення.

{Абзац п'ятий пункту 34 розділу VII виключено на підставі Постанови Національного банку № 151 від 15.07.2022}

34-1. Документи, передбачені цим Положенням, подаються до Національного банку в один із таких способів:

1) на паперових носіях з одночасним поданням електронних копій цих документів без накладання кваліфікованого електронного підпису (далі - електронні копії документів, КЕП відповідно);

2) у формі електронного документа, підписаного шляхом накладання КЕП, або електронної копії документа, засвідченої КЕП, - на офіційну електронну поштову скриньку Національного банку або іншими засобами електронного зв'язку, які використовуються Національним банком для електронного документообігу.

Документи на вимогу Національного банку також подаються в електронній формі у форматі, визначеному Національним банком.

34-2. Електронні копії документів мають створюватись у вигляді файлів, які містять скановані з паперових носіїв зображення документів.

Сканування з паперових носіїв зображення документів здійснюється з урахуванням таких вимог:

1) документ сканується у файл формату pdf;

2) сканована копія кожного окремого документа зберігається як окремий файл;

3) файл повинен мати коротку назву латинськими літерами, що відображає зміст та реквізити документа;

4) документ, що містить більше однієї сторінки, сканується в один файл;

5) роздільна здатність сканування не нижче ніж 300 dpi.

Електронні копії документів можуть подаватися на цифрових носіях або надсилатися засобами електронної пошти Національного банку.

35. Звіт про роботу підрозділу внутрішнього аудиту банку, зокрема, повинен містити інформацію щодо перевірки процесів, упроваджених структурними підрозділами банку, його профільними комітетами та керівництвом банку для здійснення діяльності банку, які протягом звітного періоду підлягали перевірці.

36. Національний банк здійснює оцінку якості роботи підрозділу внутрішнього аудиту банку, у тому числі дотримання ним у своїй діяльності належних принципів та стандартів, шляхом:

1) проведення інспекційних перевірок банку;

2) перевірок банку з питань дотримання ним вимог законодавства у сфері запобігання легалізації кримінальних доходів/фінансування тероризму;

3) здійснення безвиїзного банківського нагляду, у тому числі шляхом аналізу звіту про роботу підрозділу внутрішнього аудиту банку;

4) підтримання в межах законодавства України постійного зв'язку з керівником підрозділу внутрішнього аудиту та внутрішніми аудиторами банку для обговорення ризиків банку, виявлених обома сторонами, розуміння застосування банком заходів, спрямованих на зниження ризиків, здійснення постійного моніторингу дій банку на виявлені проблеми;

5) проведення зустрічей за участю керівників банку та керівника підрозділу внутрішнього аудиту банку для обговорення ефективності запропонованих банком заходів, які мають бути реалізовані ним з огляду на рекомендації, висунуті вимоги Національного банку.

Недоліки, виявлені в діяльності підрозділу внутрішнього аудиту банку враховуються Національним банком під час визначення ризику банку.

37. Національний банк має право ініціювати проведення зустрічі з керівником підрозділу внутрішнього аудиту банку, у тому числі з тим, якого було звільнено не за власним бажанням, не за згодою сторін або не у зв’язку із закінченням строку трудового договору (контракту).

38. Національний банк має право висувати банку письмову вимогу, адресовану раді банку, щодо:

1) проведення підрозділом внутрішнього аудиту банку аудиторської перевірки (аудиту) з окремих питань діяльності або за визначений період діяльності банку;

2) надання Національному банку інформації з питань, що належать до компетенції підрозділу внутрішнього аудиту банку, за формою та у встановлений ним у письмовому запиті строк;

3) приведення діяльності підрозділу внутрішнього аудиту банку у відповідність до вимог законодавства України, у тому числі нормативно-правових актів Національного банку з питань внутрішнього аудиту банку;

4) заміни керівника підрозділу внутрішнього аудиту у зв’язку з невідповідністю його професійної придатності та/або ділової репутації кваліфікаційним вимогам, установленим Національним банком.

39. Банк на письмову вимогу Національного банку зобов'язаний вжити заходів щодо приведення діяльності підрозділу внутрішнього аудиту банку у відповідність до вимог законодавства України, у тому числі нормативно-правових актів Національного банку з питань внутрішнього аудиту, та письмово проінформувати про це Національний банк у встановлений ним у вимозі строк.

40. Національний банк має право вимагати внесення змін до вжитих банком заходів, якщо він уважає їх такими, що не забезпечать ефективну роботу підрозділу внутрішнього аудиту банку.

41. У разі невиконання банком вимог Національного банку щодо усунення порушень чи недоліків у діяльності підрозділу внутрішнього аудиту банку Національний банк має право застосувати до банку заходи впливу відповідно до статті 73 Закону України "Про банки і банківську діяльність".

ЗВІТ
про роботу підрозділу внутрішнього аудиту

____________________________________
(назва банку)

на "_______" _____________________ 20_______ року

__________
-1Інформація також надається в разі погодження керівника підрозділу внутрішнього аудиту банку, що було здійснено Комітетом з питань нагляду та регулювання діяльності банків, нагляду (оверсайту) платіжних систем або Комісією Національного банку України з питань нагляду та регулювання діяльності банків, нагляду (оверсайта) платіжних систем (Комісією Національного банку України з питань нагляду та регулювання діяльності банків або Комісією з питань нагляду та регулювання діяльності банків при територіальному управлінні Національного банку України).
-2Інформація надається у звіті про роботу підрозділу внутрішнього аудиту банку за перше півріччя звітного року.

Таблиця 1. Перелік проведених/у процесі проведення перевірок протягом звітного періоду (рядок 11 додатка до Положення)

__________
-3Додатково зазначити найменування суб'єкта перевірки, якщо таке не зазначено в назві аудиторського звіту.

Таблиця 2. Найбільш ризикові питання, що були висвітлені в аудиторських звітах протягом звітного періоду (рядок 12 додатка до Положення)

"____" _____________ 20___ року