|
|
Приложение к постановлению Правления Национального банка Кыргызской Республики от 15 июня 2017 года № 2017-П-12/25-3-(НПА) |
ПРАВИЛА
формирования системы внутреннего контроля и внутреннего аудита в банках и небанковских финансово-кредитных организациях, лицензируемых и регулируемых Национальным банком Кыргызской Республики
(В редакции постановлений Правления Нацбанка КР от 14 августа 2019 года № 2019-П-12/42-1, 17 августа 2022 года № 2022-П-33/52-3, 12 апреля 2024 года № 2024-П-12/17-2, 5 июля 2024 года № 2024-П-12/28-2-(НПА))
1. Общие положения
1. Настоящие Правила по формированию системы внутреннего контроля и внутреннего аудита в банках и небанковских финансово-кредитных организациях, лицензируемых и регулируемых Национальным банком Кыргызской Республики (далее - Правила) устанавливают требования по организации системы внутреннего контроля и внутреннего аудита в банках и микрофинансовых компаниях, имеющих право на привлечение депозитов, в том числе в банках и микрофинансовых компаниях, осуществляющих операции в соответствии с исламскими принципами банковского дела и финансирования или имеющих «исламское окно», в ОАО «Финансовая компания кредитных союзов», гарантийных фондах (далее – банк), лицензируемых и регулируемых Национальным банком Кыргызской Республики (далее - Национальный банк).
(В редакции постановления Правления Нацбанка КР от 17 августа 2022 года № 2022-П-33/52-3, 5 июля 2024 года № 2024-П-12/28-2-(НПА))
2. Целью Правил является определение требований к формированию у банка системы внутреннего контроля, обеспечивающих осуществление эффективного контроля со стороны Совета директоров, Правления банка за деятельностью банка и его финансовым состоянием, в том числе путем обеспечения:
- надлежащей практики корпоративного управления и надлежащего уровня деловой этики и культуры;
- соблюдения банком и его работниками требований законодательства и нормативных правовых актов Кыргызской Республики;
- соблюдения банком и его работниками требований политик и иных внутренних документов банка;
- эффективного управления рисками банка посредством своевременного их выявления, измерения, контроля и мониторинга для обеспечения соответствия капитала банка уровню принимаемых им рисков;
- своевременного обнаружения и устранения недостатков в деятельности банка и его работников;
- создания в банке адекватных механизмов для решения непредвиденных или чрезвычайных ситуаций.
3. В Правилах используются следующие понятия:
Внутренний аудит - это деятельность (независимая экспертная функция) по проверке и оценке достаточности (адекватности) и эффективности системы внутреннего контроля банка, осуществляемая независимой службой внутреннего аудита, которая создается для проведения внутреннего аудита и содействия органам управления банка в обеспечении эффективного и безопасного функционирования банка на основе объективной оценки и рекомендаций по совершенствованию системы внутреннего контроля банка.
Внутренний контроль - непрерывный процесс, проводимый банком в целях обеспечения упорядоченного и эффективного осуществления деятельности в соответствии с требованиями законодательства Кыргызской Республики и внутренних документов банка.
Система внутреннего контроля банка - комплекс (систем) взаимоувязанных контрольных мер на всех уровнях управления и сферах деятельности банка для обеспечения достижения целей и организации безопасной деятельности банка.
Конфликт интересов - ситуация, при которой возникает противоречие между личной заинтересованностью должностных лиц банка и (или) его работников и надлежащим исполнением ими своих должностных полномочий или имущественными и иными интересами банка и (или) его работников и (или) клиентов, которые могут повлечь за собой возникновение рисков неблагоприятных последствий для банка и (или) его клиентов.
2. Организация системы внутреннего контроля
4. Организация системы управления рисками формируется в соответствии с требованиями Положения "О минимальных требованиях по управлению рисками в банках Кыргызской Республики".
5. Система внутреннего контроля банка должна позволять банку на постоянной основе опознавать и оценивать риски, которые могут неблагоприятно повлиять на достижение целей деятельности банка.
6. Система внутреннего контроля банка должна включать следующие компоненты:
- соответствующая организационная структура банка, предусматривающая компетенцию, разделение полномочий и ответственность органов управления, структурных подразделений и должностных лиц банка, систему вознаграждений в банке;
- соответствующая внутренняя информационная система и система информирования органов управления, позволяющие своевременно принимать решения, обеспечение информационной безопасности;
- постоянное наблюдение за системой управления рисками и оценки рисков;
- соответствующие процедуры внутреннего контроля;
- периодическая самооценка системы внутреннего контроля в целях выявления ее недостатков и совершенствования.
7. Внутренний контроль - направлен на достижение банком следующих целей:
- эффективность и результативность деятельности, эффективность управления активами и пассивами, обеспечение сохранности активов, эффективное управление рисками;
- обеспечение достоверности, полноты, объективности и своевременности составления и представления финансовой, регулятивной и иной отчетности для внутренних и внешних пользователей;
- соблюдение законодательства Кыргызской Республики и внутренних документов банка.
8. Материнская/банковская холдинговая компания банковской группы обязана организовать систему внутреннего контроля в банковской группе на консолидированной основе таким образом, чтобы обеспечить своевременное получение информации о деятельности участников банковской группы в целях осуществления оценки эффективности деятельности таких участников и соблюдения ими требований законодательства и внутренних документов.
9. Совет директоров банка обязан обеспечить надлежащую организацию и функционирование системы внутреннего контроля банка и в целях эффективного выполнения возложенных обязанностей должен осуществлять мониторинг и контроль за вопросами управления рисками, деятельностью служб внутреннего аудита и комплаенс-контроля, соблюдения требований законодательства Кыргызской Республики и внутренних документов банка, в том числе посредством уполномоченных по данным вопросам Комитетов.
10. Совет директоров банка осуществляет мониторинг, контроль и оценку деятельности Правления банка. Совет директоров банка проводит нижеследующие мероприятия:
1) в целях осуществления мониторинга, контроля и оценки деятельности Правления банка утверждает критерии оценки деятельности Правления банка, которые включают, но не ограничиваются нижеследующим:
- соответствие деятельности банка внутренним документам (политикам) банка;
- устойчивость финансового состояния банка;
- эффективность банковских операций;
- качество работы банка по рассмотрению обращений клиентов, возникающих в процессе предоставления банковских услуг;
- соблюдение требований законодательства Кыргызской Республики;
2) осуществляет мониторинг и контроль соответствия профессионального уровня Правления банка видам, уровню сложности деятельности банка и его риск-аппетиту;
3) получает управленческую информацию и заслушивает отчет Правления банка о результатах деятельности, который должен содержать достаточную/исчерпывающую информацию на следующие вопросы (но не ограничиваясь ими):
- о достижении Правлением банка целей, установленных в стратегии банка с указанием при наличии причин, препятствующих их достижению;
- об оценке внутренних и внешних условий функционирования банка и подконтрольных ему организаций и их изменений;
- о соответствии деятельности банка стратегии и политикам, утвержденным Советом директоров банка;
- об уровне устойчивости/волатильности доходности банка;
- о доходности банка в части установления того, что доходность банка является результатом реализации стратегии банка или результатом операций банка, которые увеличивают краткосрочную доходность, но вызывают риск в долгосрочной перспективе;
- о состоянии внутреннего контроля в части его способностей позволять Правлению банка своевременно выявлять некорректные, неполные или несанкционированные операции, недостатки в деятельности по обеспечению сохранности активов, ошибки в формировании финансовой и регуляторной отчетности, нарушения внутренних документов банка, законодательства Кыргызской Республики, не допускать конфликтов интересов, внутренних злоупотреблений и мошенничества в отношении связанных структур;
- об эффективности системы управления рисками банка;
- о состоянии и достаточности внутренних моделей и информационных систем для управления банком и его рисками, их способностях эффективно осуществлять идентификацию, измерение, оценку и управление рисками, присущими банку с указанием, при необходимости, потребностей в их оптимизации;
- об оценке достаточности капитала банка для поддержания своего риск-аппетита и стратегии;
- о состоянии финансовой отчетности на предмет отражения в ней полной, точной и достоверной оценки финансового состояния банка;
- о контроле и мониторинге за предоставлением в Национальный банк регуляторной отчетности на предмет своевременности, достоверности и полноты;
- о соответствии результатов деятельности и текущего риск-аппетита допустимому уровню риска, определенному в стратегии банка;
- о своевременности, полноте и качестве устранения Правлением банка нарушений и недостатков, выявленных службой комплаенс-контроля, внутренним, внешним аудитором и органами банковского надзора;
- об исполнении Правлением банка рекомендаций служб комплаенс-контроля, риск-менеджмента, внутреннего аудита, а также внешнего аудита и органов банковского надзора.
В зависимости от итогов комплексного обсуждения и оценки Совет директоров банка выносит соответствующие решения по каждому вопросу, направленному на улучшение деятельности банка и обеспечение финансовой устойчивости банка, с указанием необходимости выработки и (или) реализации конкретных мер, ответственных лиц и сроков их исполнения, а также возлагает на соответствующее (соответствующие) уполномоченное лицо осуществление мониторинга и контроля исполнения решений Совета директоров банка.
11. Для всех структурных подразделений банка, филиалов и дочерних компаний банка устанавливается соответствующая контрольная среда.
12. Эффективная система внутреннего контроля должна обеспечивать постоянную идентификацию (выявление), оценку рисков, сопровождающих деятельность банка и принятие адекватных и своевременных мер по минимизации рисков. Система внутреннего контроля должна подвергаться корректировке по мере выявления любых новых или ранее не контролируемых рисков (например, вследствие внедрения новых финансовых услуг и продуктов и др.).
13. Меры контроля включают совокупность контрольных действий и ответственности всех уровней управления и исполнения операций банка и должны обеспечивать соответствующий контроль за распределением полномочий и обязанностей при совершении операций и сделок банка.
Контрольные действия должны быть неотъемлемой частью ежедневных действий всех работников банка и отражены во всех операциях банка.
3. Требования к процедурам внутреннего контроля
14. В банке должны быть разработаны и утверждены внутренние документы, содержащие политику, методики и процедуры внутреннего контроля, которые должны быть последовательными, иметь надлежащую степень детализации, согласно масштабам и сложности деятельности банка, применяться единообразно во всех его подразделениях.
Указанные внутренние документы необходимо не реже чем один раз в год подвергать оценке согласно существенным для банка изменений в его деятельности и состоянии и по результатам оценки при необходимости вносить соответствующие корректировки.
15. Для обеспечения эффективности контрольных мер Правление банка осуществляет:
- своевременное доведение соответствующих внутренних документов (политик, процедур) до сведения тех работников банка, которые должны их использовать в процессе своей работы;
- организацию обучения работников банка соответствующим процедурам внутреннего контроля банка. Обучение включает в себя разъяснение взаимосвязи между выполнением индивидуальных обязанностей каждого работника и общих задач, предусмотренных политикой банка.
16. Банк обязан осуществлять предварительный контроль до фактического совершения банковских и иных операций (сделок) и использует следующие виды внутреннего контроля:
- в области подбора должностных лиц банка, подлежащих согласованию с Национальным банком путем тщательного анализа квалификации и профессионального опыта в финансово-экономической и/или юридической сфере, необходимых для выполнения определенной работы (должностных обязанностей), и подбора из числа кандидатов наиболее подготовленных и квалифицированных специалистов, обладающих безупречной репутацией;
- в области привлечения и размещения денежных средств посредством предварительного анализа эффективности проводимых банком операций путем определения оптимальных средств и методов для их выполнения с целью предотвращения либо ограничения возможных потерь;
- в области материальных ресурсов путем обеспечения банка необходимыми техническими средствами, оборудованием, современными автоматизированными информационными системами и технологиями исходя из финансовых возможностей банка и в соответствии с внутренними документами банка;
- в области разграничения обязанностей и полномочий путем разработки и утверждения единообразных внутренних документов, определяющих методики, процедуры, порядок проведения банковских и иных операций (сделок), задачи, функции и полномочия подразделений (бизнес-линий, бизнес-процессов) и их руководителей, должностных инструкций работников, а также установления и регулярного пересмотра лимитов и иных ограничений;
- в иных областях, определенных во внутренних документах банка.
17. Текущий контроль за совершаемыми банковскими и иными операциями (сделками) и иной деятельностью, соблюдением установленных процедур принятия решений по осуществлению банковских и иных операций (сделок), установленного документооборота осуществляется в течение операционного дня банка в процессе исполнения работником возложенных на него обязанностей. Текущий контроль проводится для предупреждения фактов отклонений от требований законодательства, внутренних документов банка, своевременного и достоверного отражения банковских и иных операций (сделок) в бухгалтерском учете, обеспечения целевого использования средств и сохранности имущества банка.
18. Последующий контроль осуществляется после совершения банковских и иных операций (сделок). В процессе последующего контроля проверяются обоснованность и правильность совершения операций (сделок), соответствие документов установленным формам и требованиям по их оформлению, соответствие выполняемых работниками обязанностей их должностным инструкциям, соблюдение установленных процедур сверки, согласования и визирования документов, оценивается эффективность обеспечения информационной безопасности, анализируется распределение обязанностей между работниками, выявляются причинно-следственные связи нарушений и недостатков и определяются меры по их устранению, корректируются планируемые и прогнозируемые показатели.
Порядок осуществления предварительного, текущего и последующего контроля должен быть установлен банком во внутренних документах в соответствии со спецификой решаемых задач.
19. Контрольные действия включают как минимум следующее:
- контроль, осуществляемый Советом директоров/Правлением банка, путем запросов отчетов и информации о результатах деятельности структурных подразделений, разъяснения руководителей структурных подразделений в целях выявления недостатков внутреннего контроля, нарушений, ошибок;
- контрольные действия, осуществляемые руководителями структурных подразделений банка, путем проверки отчетов подчиненных служащих на постоянной и периодической (ежедневной, еженедельной и/или ежемесячной) основе;
- контроль физического наличия, осуществляемый путем проверок ограничений доступа к материальным ценностям (денежной наличности, ценных бумаг и т.п.), пересчета материальных ценностей, разделение ответственности за хранение и использование материальных ценностей, обеспечение охраны помещений для хранения материальных ценностей;
- правовой контроль, осуществляемый путем экспертной оценки договорных отношений по осуществляемым банковским и иным операциям (сделкам) и иной деятельности;
- проверку на соответствие установленным лимитам;
- систему согласования и санкционирования операций и сделок, проверку их надлежащего отражения в бухгалтерском учете и отчетности;
- технологический контроль, осуществляемый в процессе подготовки и осуществления банковских и иных операций (сделок) и иной деятельности в автоматизированном режиме путем проверки соблюдения соответствующих технических кодексов и стандартов в области информационных систем и информационных технологий;
- контролирование деятельности организации-поставщика услуг по договору аутсорсинга;
- проверку соблюдения политик и процедур банка при совершении операций и сделок банка.
20. Контрольные действия в рамках разделения обязанностей должны способствовать исключению конфликта интересов и условия его возникновения, совершения противоправных действий, а также недопущение предоставления одному и тому же структурному подразделению или работнику возможности:
- совершать банковские операции и другие сделки и одновременно осуществлять их отражение в учете;
- санкционировать выплату денежных средств и осуществлять их фактическую выплату;
- оценивать достоверность и полноту документов, представляемых при выдаче кредита, и осуществлять мониторинг возврата кредита;
- совершать действия в любых других сферах деятельности, где может возникать конфликт интересов.
21. Сферы потенциальных конфликтов интересов должны быть определены, минимизированы и подвержены независимому отслеживанию.
22. Чтобы обеспечить разделение ответственности при принятии каких-либо решений и при проведении операций и, тем самым, обеспечить защиту против мошеннических действий, ни один работник не должен проводить операции от начала и до конца (например, работник, ответственный за одобрение кредита не должен быть допущен к проведению расчетно-кассовых операций по выдаче кредита или работник, санкционирующий проведение операции, не должен осуществлять сверку остатков по этой операции с главной книгой).
23. Система внутреннего контроля должна быть обеспечена квалифицированными специалистами, необходимыми информационными системами и программно-техническими средствами, позволяющими осуществлять сбор, обработку, анализ, передачу и защиту информации, используемой для внутреннего контроля.
Банк должен осуществлять постоянный анализ действующих информационных систем на предмет их возможности обеспечить функционирование системы внутреннего контроля в соответствии с требованиями, установленными настоящими Правилами, и своевременно проводить необходимую доработку (актуализацию) этих систем либо внедрять новые.
24. Порядок контроля за управлением и обеспечением безопасных информационных потоков, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях, устанавливается внутренними документами банка с учетом настоящих Правил и распространяется на все направления деятельности и операции банка. Для этого банк должен:
1) владеть адекватными и исчерпывающими финансовыми и другими необходимыми данными в оперативном режиме, а также обладать информацией о событиях и условиях рынка, которые могут влиять на принятие решений руководством банка;
2) обеспечить внутренний контроль за автоматизированными информационными системами и техническими средствами, включающий в себя:
- общий контроль автоматизированных систем, который предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы. Общий контроль состоит из осуществляемых банком процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа;
- программный контроль, который осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных, контроль создания транзитных счетов (счета, на которых временно хранятся средства), контроль записей, удаленных вручную в информационных системах и т.п.).
(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2)
25. Контроль обеспечения своевременности, достоверности и достаточности финансовой информации банка требует проверки как минимум следующего:
- системы бухгалтерского учета в банке на предмет соответствия Международным стандартам финансовой отчетности и требованиям законодательства Кыргызской Республики;
- в банке, осуществляющем операции в соответствии с исламскими принципами банковского дела и финансирования - системы бухгалтерского учета в банке на предмет соответствия стандартам Организации бухгалтерского учета и аудита для исламских финансовых институтов (AAOIFI) (в случае отсутствия определенных стандартов - на предмет соответствия стандартам МСФО при условии, что они не будут противоречить стандартам Шариата, утвержденных AAOIFI) и безопасным стандартам банковской практики, принятым в Кыргызской Республике;
- наличия в банке внутреннего документа (руководство) по проведению бухгалтерских записей и проводок;
- осуществления бухгалтерских записей на ежедневной основе и отражения каждой операции банка;
- наличия отчетности, отражающей финансовое состояние банка на каждый день;
- совпадения данных лицевых счетов, особенно относящиеся к депозитам, кредитам, валютным операциям и другим операциям, с данными главной книги банка;
- осуществления регулярных сверок работниками, которые не вовлечены в процесс санкционирования или отражение операций в финансовой отчетности;
- наличия документации, сформированной таким образом, что любая операция банка может быть прослежена от начала и до ее завершения или текущего состояния;
- наличие подтверждения первичными документами всех операций банка и подтверждения любых изменений в проведении операции соответствующими записями;
- осуществления регулярного контроля операций, проводимых через транзитные счета.
(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2)
26. Мониторинг системы внутреннего контроля банка осуществляется на постоянной основе, которое как минимум включает следующее:
- мониторинг системы внутреннего контроля банка, основывающийся на проведении мер по предотвращению, обнаружению и своевременному устранению нарушений и ошибок в действиях работников и работе систем (обработки и хранения информации, охранных систем безопасности и др.) банка. Порядок проведения отмеченных мер (методика, правила, периодичность, порядок рассмотрения результатов мониторинга и т.д.) должен быть определен во внутренних документах банка;
- оценку риска внутреннего контроля (т.е., риска того, что предусмотренные меры контроля не позволят предотвратить, обнаружить и устранить возможные нарушения и ошибки). Важно рассматривать такие качества, как компетентность и честность конкретного работника, что должно быть присуще всем работникам банка, необходимые на этой должности и соответствующие этой должности функциональные обязанности;
- исполнение плана по восстановлению деятельности на случай непредвиденных обстоятельств с использованием дублирующих (резервных) автоматизированных систем и/или устройств, включая восстановление критических для деятельности банка систем, поддерживаемых внешним поставщиком (провайдером) услуг. Внутренними документами должен быть определен порядок проверки исполнения этих планов, а также проверки планов в части их выполнимости в случаях возникновения непредвиденных обстоятельств, а также перечень возможных непредвиденных обстоятельств, в отношении которых разрабатываются планы действий;
- устранение недостатков в деятельности работников, работе систем и банка в целом. Приоритетом должно выступать выявление условий и причин, которые привели к намеренным или непреднамеренным действиям, повлекших негативные последствия;
- наличие процедур внутреннего контроля, которые являются необходимыми, но не остаточным условием. Правление банка должно обеспечить, чтобы эти процедуры своевременно и квалифицированно исполнялись.
По результатам мониторинга соответствующими службами банка составляется отчет с указанием выявленных недостатков и предлагаемых мер для повышения эффективности отдельных контрольных процедур и/или системы внутреннего контроля банка в рамках плановых проверок.
27. В банке в обязательном порядке на постоянной основе действуют службы внутреннего аудита, риск-менеджмента и комплаенс-контроля, подотчетные Совету директоров.
4. Организация системы комплаенс-контроля
28. В целях эффективного выполнения банком комплаенс-контроля Совет директоров банка обязан создать службу по комплаенс-контролю. Совет директоров банка с учетом рекомендаций Комитета по назначениям и вознаграждениям, назначает руководителя службы комплаенс-контроля и ее работников, определяет размер оплаты труда, а также определяет количественный и персональный состав данной службы.
Кандидат на должность руководителя службы комплаенс-контроля банка согласовывается с Национальным банком в порядке, установленном нормативными правовыми актами Национального банка.
29. Во избежание конфликта интересов в функции руководителя службы комплаенс-контроля, не должно быть включено управление деятельностью подразделений (бизнес-линиями, бизнес-процессами) и работников банка, генерирующих риски (за исключением операционного, репутационного, стратегического рисков), осуществляющих управление рисками, ответственных за бухгалтерский учет и финансовую отчетность в банке, включая управление службой внутреннего аудита.
30. Правление банка получает от службы комплаенс-контроля информацию о нарушениях и недостатках, выявленных в процессе управления комплаенс-риском, с указанием причин их возникновения и рекомендаций по их устранению.
Правление банка по результатам анализа полученной информации обеспечивает принятие корректирующих или дисциплинарных мер, направленных на обеспечение эффективности функционирования системы управления комплаенс-риском.
По итогам проведенной работы руководитель службы комплаенс-контроля предоставляет отчет Совету директоров банка по мере необходимости, но не реже одного раза в год. При этом, руководитель службы комплаенс-контроля готовит отчет по вопросам противодействия финансированию террористической деятельности и легализации (отмыванию) преступных доходов, а также проведению операций, имеющих признаки подозрительных операций (ПФТД/ЛПД) в соответствии с требованиями Положения "О минимальных требованиях к организации внутреннего контроля в коммерческих банках в целях противодействия легализации (отмыванию) преступных доходов и финансированию террористической или экстремистской деятельности".
(В редакции постановления Правления Нацбанка КР от 14 августа 2019 года № 2019-П-12/42-1)
31. Служба комплаенс-контроля разрабатывает проект комплаенс-программы (плана) и предоставляет проект комплаенс-программы (плана) Совету директоров банка для утверждения.
32. Служба комплаенс-контроля оперативно информирует Совет директоров банка о любых существенных нарушениях (событиях, сделках), которые могут привести к возникновению комплаенс-риска.
33. Служба комплаенс-контроля действует на основании положения о данной службе, утверждаемого Советом директоров. Работники службы комплаенс-контроля не могут выполнять другую работу, не связанную с осуществлением комплаенс-контроля.
34. Служба комплаенс-контроля осуществляет, но не ограничивается следующими функциями:
1) разработка порядка, способов и процедур выявления, измерения, мониторинга и контроля за комплаенс-рисками банка, в том числе на консолидированной основе;
2) формирование комплаенс-программы (плана), определяющей планируемую деятельность подразделения по комплаенс-контролю, в том числе:
- по осуществлению внедрения и (или) проверки соответствующих политик и процедур банка;
- по осуществлению периодических проверок (не реже 1 раза в квартал) соблюдения банком законодательства Кыргызской Республики, регламентирующего вопросы оказания банковских услуг и проведения банковских операций, а также законодательства иностранных государств, оказывающего существенное влияние на деятельность банка в целях определения степени подверженности банка комплаенс-риску;
- по обучению персонала по вопросам управления комплаенс-риском;
3) содействие Правлению банка в управлении комплаенс-риском банка;
4) контроль за проведением мониторинга соответствия деятельности банка и его работников политикам и процедурам управления комплаенс-риском согласно законодательству Кыргызской Республики;
5) контроль за организацией работы банка по рассмотрению жалоб (заявлений) клиентов банка;
6) консультирование руководства и работников банка о законах, правилах и стандартах, применяемых к банку и имеющих отношение к управлению комплаенс-рисками, в том числе о последних изменениях в них;
7) контроль за организацией работы банка по ознакомлению всех работников банка с требованиями внутренних документов банка, регламентирующих порядок оказания банковских услуг и проведения банковских операций;
8) организация обучения работников банка по вопросам комплаенс-контроля;
9) координация деятельности дочерних организаций банка по вопросам управления комплаенс-риском;
10) реализация в банке программы внутреннего контроля в сфере ПФТД/ЛПД, согласно требованиям нормативных правовых актов Национального банка по ПФТД/ЛПД;
11) предоставление заключения в процессе внедрения новых банковских продуктов и услуг;
12) разработка и осуществление мероприятий по контролю за использованием инсайдерской и конфиденциальной информации;
13) разработка и осуществление мероприятий по выявлению, оценке и контролю конфликтов интересов;
14) мониторинг соблюдения банком и его работником рекомендаций по устранению выявленных нарушений и недостатков в работе банка, связанных с управлением комплаенс-риском и представление соответствующей информации Совету директоров банка (уполномоченному Комитету);
15) разработка и ведение системы отчетности по комплаенс-рискам и предоставление на периодической основе информации по вопросам управления комплаенс-рисками банка Совету директоров банка (уполномоченному Комитету, правлению банка);
16) разработка порядка взаимодействия и координации работы управлению комплаенс-рисками со структурными подразделениями банка, в том числе со службой внутреннего аудита.
(В редакции постановления Правления Нацбанка КР от 14 августа 2019 года № 2019-П-12/42-1)
35. К банку по определению прав и обязанностей работников по взаимодействию со службой комплаенс-контроля устанавливаются следующие требования:
- работники подразделений банка должны оказывать службе комплаенс-контроля содействие в осуществлении ею своих функций. Правление банка по представлению руководителя службы комплаенс-контроля устанавливает порядок взаимодействия структурных подразделений банка со службой комплаенс-контроля;
- работники банка, которым стали известны факты нарушений банковского законодательства при осуществлении банковской деятельности, допущенных работниками банка при проведении банковских операций (сделок), обязаны довести эти факты до сведения своего непосредственного руководителя и службы комплаенс-контроля;
- если при осуществлении банковских операций (сделок) у работников возникают сомнения о соответствии конкретной операции (сделки) или ее части требованиям действующего банковского законодательства и стандартов профессиональной деятельности при предоставлении банковских услуг, они могут обратиться за консультацией к службе комплаенс-контроля;
- работники банка не могут без предварительного уведомления службы комплаенс-контроля принимать участие в проведении операций (сделок) банка на финансовых рынках других стран, в совершении которых они являются заинтересованными лицами, выполнять банковские операции (сделки) в своих интересах и за свой счет.
5. Организация внутреннего аудита банка
36. Система внутреннего аудита представляет собой систему организации, политики, процедур и методов, принятых банком для проверки и объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками по всем аспектам деятельности банка в целях обеспечения эффективной деятельности банка и предоставления действенных рекомендаций по ее улучшению.
37. Служба внутреннего аудита обязана осуществлять проверку деятельности банка, включая систему внутреннего контроля и оценку эффективности бизнес-процессов банка.
Служба внутреннего аудита не должна вовлекаться в осуществление банковских и иных операций (сделок) и иной деятельности банка, подлежащей внутреннему аудиту, разработку (подготовку) внутренних документов банка (за исключением регулирующих деятельность службы внутреннего аудита), а также привлекаться для осуществления ежедневных процедур внутреннего контроля. Руководитель и работники службы внутреннего аудита не имеют права подписывать от имени банка платежные инструкции и (или) кассовые, бухгалтерские и иные документы, в соответствии с которыми банк принимает банковские риски, либо визировать такие документы, за исключением документов, относящихся к выполнению непосредственных функций службы внутреннего аудита.
Совет директоров банка с учетом рекомендаций Комитета по назначениям и вознаграждениям, назначает руководителя и работников службы внутреннего аудита, определяет размер оплаты труда, а также определяет количественный и персональный состав данной службы.
Кандидат на должность руководителя службы внутреннего аудита банка согласовывается с Национальным банком в порядке, установленном нормативными правовыми актами Национального банка.
38. Деятельность службы внутреннего аудита должна регулироваться внутренним документом банка, при этом в нем определяются:
- цель и сфера деятельности службы внутреннего аудита;
- принципы (стандарты) и методы деятельности службы внутреннего аудита;
- задачи, функции, права и обязанности службы внутреннего аудита;
- права и обязанности руководителя службы внутреннего аудита;
- условия и порядок информирования службой внутреннего аудита Совета директоров (наблюдательного совета), Комитета по аудиту, Правления банка, а также руководителя подразделения банка, в котором проводился внутренний аудит, о результатах проверок службы внутреннего аудита;
- условия и порядок информирования службой внутреннего аудита Совета директоров (наблюдательного совета), Комитета по аудиту и Правления банка о случаях, которые препятствуют осуществлению службой внутреннего аудита своих функций;
- условия и порядок привлечения службы внутреннего аудита к оказанию консультаций при осуществлении текущей деятельности банка;
- ответственность руководителя службы внутреннего аудита за неисполнение (ненадлежащее исполнение) возложенных на него обязанностей;
- порядок взаимодействия службы внутреннего аудита с подразделениями и работниками банка, полномочия службы внутреннего аудита по доступу в помещения банка, к документам банка, а также по получению от работников банка информации и разъяснений, которые могут потребоваться для осуществления службой внутреннего аудита своих функций;
- порядок информирования службы внутреннего аудита об осуществляемых и планируемых банковских и иных операциях (сделках) и иной деятельности банка, принимаемых решениях и внутренних документах банка, а также о других вопросах деятельности банка, необходимых для осуществления службой внутреннего аудита своих функций;
- условия и порядок принятия решений о привлечении сторонней организации для выполнения работ по осуществлению внутреннего аудита в банке (аутсорсинг внутреннего аудита) по отдельным операциям или направлениям деятельности (бизнес-линиям, бизнес-процессам) в случае принятия такого решения Советом директоров банка.
39. Деятельность службы внутреннего аудита в банке должна осуществляться в соответствии со следующими принципами:
- независимость и объективность.
Внутренний аудит банка является независимым от текущей деятельности банка.
Внутренние аудиторы независимы, беспристрастны, непредвзяты в своей работе и не допускают конфликта интересов.
Для обеспечения беспристрастности внутренние аудиторы не должны вовлекаться в выбор и осуществление мер внутреннего контроля и управления рисками.
Внутренние аудиторы не участвуют в проведении аудита деятельности или функций, осуществлявшихся ими в течение последних двенадцати месяцев в этом банке и его дочерних организациях. Аудитор принимавший участие в деятельности банка подлежащей аудиторской проверке не вправе рассматривать отдельные документы или операции, которые ранее были приняты или осуществлены с его непосредственным участием.
Вознаграждение работников внутреннего аудита не должно быть связано с финансовыми показателями банка. Вознаграждение за работу руководителя или работников подразделения внутреннего аудита не должно создавать конфликта интересов и ущерба для независимой оценки предметов аудита. При возникновении конфликта интересов, работники внутреннего аудита должны уведомлять Комитет по аудиту;
- профессионализм и компетентность.
Профессиональная компетентность работников подразделения внутреннего аудита банка является основой эффективного внутреннего аудита банка.
Работники подразделения внутреннего аудита должны владеть достаточными знаниями о банковской деятельности и методах внутреннего аудита, иметь навыки сбора необходимой и достаточной информации, ее анализу и оценке для выполнения своих должностных обязанностей.
Работники службы внутреннего аудита должны обладать знаниями Международных стандартов аудита и Международных стандартов финансовой отчетности. В банке, осуществляющих операции в соответствии с исламскими принципами банковского дела и финансирования сотрудники службы внутреннего аудита должны обладать знаниями Международных стандартов аудита, Международных стандартов финансовой отчетности и стандартов Организации бухгалтерского учета и аудита для исламских финансовых институтов (AAOIFI);
- профессиональная этика.
Внутренние аудиторы в своей деятельности соблюдают кодекс этики и требования законодательства Кыргызской Республики, руководствуются международными стандартами внутреннего аудита.
40. Служба внутреннего аудита обязана:
- разработать внутренний документ банка, регулирующий деятельность службы внутреннего аудита;
- разработать план работы службы внутреннего аудита, внести его на утверждение Совета директоров (наблюдательного совета), а также информировать Совет директоров (наблюдательный совет) и Комитет по аудиту о его выполнении;
- определять наиболее рисковые операции и направления деятельности (бизнес-линии, бизнес-процессы) для подготовки плана работы службы внутреннего аудита;
- оценивать в ходе проверок эффективность системы внутреннего контроля на консолидированной основе, включая проверку процедур внутреннего контроля по направлениям деятельности (бизнес-линиям, бизнес-процессам);
- оценивать в ходе проверок эффективность системы управления рисками на консолидированной основе, включая проверку полноты применения и правильности методики оценки банковских рисков, процедур управления банковскими рисками, в том числе в организациях, входящих в состав банковской группы и (или) банковского холдинга, головной организацией которой (которого) является этот банк;
- оценивать достоверность и полноту представляемой банку информации о деятельности организаций, входящих в состав банковской группы и (или) банковского холдинга, головной организацией которой (которого) является этот банк, в целях осуществления банком оценки уровня рисков таких участников, а также оценки эффективности их деятельности и соблюдения ими требований законодательства и внутренних документов;
- проверять организацию деятельности информационных систем, управления информационными потоками (получением и передачей информации) и обеспечением информационной безопасности, включая контролирование целостности баз данных и их защиту от несанкционированного доступа и (или) использования, наличие планов действий на случай непредвиденных обстоятельств;
- проверять организацию работы по противодействию финансированию террористической деятельности и легализации (отмыванию) преступных доходов;
- проверять соблюдение банковского законодательства и внутренних документов банка при осуществлении деятельности банка;
- проверять достоверность, полноту, объективность и своевременность представления отчетности и иных сведений в соответствии с банковским законодательством в Национальный банк и иные государственные органы;
- проверять достоверность, полноту, объективность и своевременность представления управленческой отчетности и иной информации органам управления банка в соответствии с внутренними документами банка;
- проверять сохранность активов и вложений, включая фактическое наличие и отражение в учете;
- проверять организацию работы с обращениями граждан и юридических лиц;
- проверять соблюдение банковского законодательства о банковской, коммерческой и иной охраняемой законодательством тайне;
- проверять соблюдение требований Национального банка по раскрытию информации;
- выявлять конфликт интересов в банке, сферы и условия его возникновения и оценивать эффективность принимаемых банком мер по их исключению;
- проверять эффективность принятых мер по исправлению выявленных нарушений и недостатков в деятельности банка по результатам предыдущих проверок, а также проверок со стороны Национального банка и внешних аудиторов, в том числе в организации бизнес-процессов, внутреннего контроля и управления рисками, и выполнение рекомендаций по их совершенствованию;
- проверять другие вопросы, предусмотренные внутренними документами банка;
- информировать Комитет по аудиту и Правление банка о результатах проверок, проведенных службой внутреннего аудита;
- информировать Комитет по аудиту и Правление банка о состоянии системы внутреннего контроля, об обеспечении соблюдения законности и эффективности деятельности банка;
- вносить свои предложения по повышению эффективности деятельности банка, включая внутренний контроль, управление рисками, организацию бизнес-процессов.
(В редакции постановления Правления Нацбанка КР от 14 августа 2019 года № 2019-П-12/42-1)
41. В банке, осуществляющем операции в соответствии с исламскими принципами банковского дела и финансирования, в случаях отсутствия отдела, ответственного за осуществление мониторинга соблюдения стандартов шариата, уполномоченный внутренний аудитор, проверяющий соблюдение стандартов шариата, проводит аудит по соблюдению банка стандартов шариата и предоставляет отчеты Совету директоров, Шариатскому совету, Комитету по аудиту и копию - Правлению банка.
42. Программа обеспечения качества службы внутреннего аудита представляет собой свод мероприятий, имеющих целью обеспечить эффективность осуществления цели и задач службы внутреннего аудита и дальнейшего совершенствования ее деятельности на основе выявленных проблем.
43. Программа проведения внутреннего аудита должна:
- быть подготовлена до проведения аудита в письменной форме с четко определенными целями аудита;
- быть одобрена Комитетом по аудиту;
- предусматривать объем работ, достаточный для достижения целей аудита;
- включать детальные подпрограммы и соответствующие процедуры для каждой аудируемой операции;
- включать описание необходимых действий, которые зависят от фактического объема и сложности аудируемой операции;
- предусматривать прямую сверку финансовой отчетности банка, в особенности кредитных и депозитных счетов;
- включать другие необходимые меры для качественного и исчерпывающего исполнения задач службы внутреннего аудита.
44. Минимальный объем программы проведения внутреннего аудита включает, но не ограничивается проверкой следующего:
- соответствия проведенной операции установленным политикам и процедурам;
- наличия соответствующих распоряжений и одобрений (санкций) Правления банка относительно проведения операции;
- правильности отражения на счетах бухгалтерского учета активов и обязательств банка;
- правильности отражения доходов и расходов банка;
- правильности отражения на счетах бухгалтерского учета прочей собственности банка (залогового имущества) и оценку эффективности контроля за физическим наличием залогового имущества;
- правильности отражения внебалансовых обязательств банка, а также полноты внесистемного учета (например, учет списанных кредитов и др.);
- наличия четкой и соответствующим образом санкционированной документации на каждую операцию от начала до конца;
- безопасности и адекватности информационных систем, включая компьютерное оборудование, программное обеспечение, входящей и исходящей информации, планов действий в непредвиденных обстоятельствах;
- соблюдения законодательства Кыргызской Республики, нормативных правовых актов Национального банка и внутренних документов банка.
45. Периодичность проверок внутреннего аудита зависит от риска, связанного с аудируемой операцией, при этом должны быть приняты во внимание сам вид операции, ее сложность, связанные с аудируемой операцией активы или пассивы с точки зрения их соответствия, обоснованности и эффективности, наличие и адекватность политик и процедур для проведения операции и мер внутреннего контроля.
46. Рабочие документы результатов внутреннего аудита должны включать программу аудита операции, аналитическую часть, какие процедуры осуществлены, степень тестирования (сплошное, выборочное), заключения/выводы и информацию, подтверждающую выводы, сделанные внутренним аудитором.
47. Аудиторский отчет должен:
- быть подготовлен в короткие сроки после завершения внутреннего аудита;
- содержать цели, масштаб аудита, заключение и детальные рекомендации для решения каждой выявленной проблемы. Рекомендации должны включать краткое описание выявленных проблем с указанием причин их возникновения, а также рисков, влияющих на деятельность банка в целом, необходимые корректирующие меры, включая пересмотр соответствующих политик и процедур банка, сроки осуществления корректирующих мероприятий и ответственных лиц;
- напрямую направляться Совету директоров и Комитету по аудиту. После рассмотрения Комитетом по аудиту данный отчет передается Правлению банка.
48. Эффективность внутреннего аудита зависит от последующих мер, предпринимаемых Правлением и Советом директоров для обеспечения уверенности в том, что все принятые рекомендации рассматриваются своевременно и соответствующим образом. Совет директоров ответственен за создание соответствующей политики в отношении последующих мер по исполнению рекомендаций, направленных на усиление системы внутреннего контроля.
49. На основании аудиторского отчета Комитет по аудиту утверждает план мероприятий по внедрению корректирующих мер в систему внутреннего контроля банка и предусматривают меры по отслеживанию эффективности и своевременности их внедрения, которые одобрены Советом директоров.
50. Внутренний аудит высокорисковых (например, операции с наличностью, перевод денежных средств) операций и сфер деятельности банка проводится не реже одного раза в год. Внутренний аудит сфер деятельности и операций банка с низкими рисками - не менее одного раза в 3 года.
51. В конце каждого года служба внутреннего аудита представляет Совету директоров банка обзор-отчет об исполнении запланированных мероприятий по внутреннему аудиту банка за отчетный год. С учетом результатов за отчетный год служба внутреннего аудита предоставляет план проведения внутреннего аудита на предстоящий год Совету директоров в течение 1 месяца после окончания финансового года.
52. Ежегодно служба внутреннего аудита должна представлять в Национальный банк утвержденный Советом директоров план проведения внутреннего аудита на предстоящий год, основанный на выявленных текущих рисках банка.
6. Заключительные положения
53. Совет директоров банка обеспечивает доведение до руководящих работников банка и работников банка стратегии, политик и иных внутренних документов банка. Руководители структурных подразделений банка должны нести персональную ответственность за доведение до своих работников важности функции внутреннего контроля и необходимости исполнения внутренних документов банка.
54. Совет директоров проводит оценку соответствия установленным квалификационным требованиям и требованиям к деловой репутации для руководителей служб комплаенс-контроля, внутреннего аудита, риск-менеджмента с периодичностью, достаточной для обеспечения поддержания их квалификации и деловой репутации на должном уровне.
55. Национальный банк может проводить плановые и внеплановые беседы с руководителями служб комплаенс-контроля, риск-менеджмента и внутреннего аудита по вопросам, связанным с деятельностью банка.
56. В случае увольнения руководителей служб внутреннего аудита, комплаенс-контроля, риск-менеджмента банк обязан уведомить Национальный банк в течение трех рабочих дней о факте увольнения с описанием причины увольнения.