НАРЕДБА № 10 ОТ 24 АПРИЛ 2019 Г. ЗА ОРГАНИЗАЦИЯТА, УПРАВЛЕНИЕТО И ВЪТРЕШНИЯ КОНТРОЛ В БАНКИТЕ
Издадена от Управителния съвет на Българската народна банка
Обн. ДВ. бр.40 от 17 Май 2019г.
In order to view this page you need Adobe Flash Player 9 (or higher) equivalent support!
Чл. 1. (1) С наредбата се определят изискванията към организацията, управлението и вътрешния контрол в банките.
(2) Разпоредбите на наредбата се прилагат и за:
1. клоновете на банки от трети държави;
2. дружествата, попадащи в надзора на консолидирана основа.
Глава втора.
ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ НА ДЕЙНОСТТА
Чл. 2. (1) Организацията, управлението и вътрешните правила на банките следва да съответстват на големината, естеството, мащаба и сложността на извършваните от тях дейности и на рисковете, на които са изложени.
(2) За целите на ал. 1 банките вземат предвид критериите по т. 19 от Насоките относно вътрешното управление (EBA/GL/2017/11), приети от Европейския банков орган.
Чл. 3. (1) Управителните и контролните органи на банката съобразно тяхната компетентност създават подходяща и прозрачна организационна и оперативна структура, която осигурява ефективното и разумно управление на банката.
(2) Структурата на банката следва да бъде съобразена със стратегията и по отношение на риска и нейния рисков апетит и да не затруднява управителните и контролните органи при управлението и контрола на рисковете, пред които е изложена, както и Българската народна банка при осъществяването на ефективен надзор върху нейната дейност.
(3) Банките не могат да създават необосновано сложни и непрозрачни структури, които нямат ясна икономическа обосновка и които могат да се използват за незаконна цел.
Раздел II.
Вътрешни правила
Чл. 4. (1) Управителният орган на банката приема и прилага правила за организацията и управлението на банката, които включват най-малко:
1. подробно описание на управленската и организационната структура на банката, включително ясно разпределение на функциите и отговорностите между структурните звена, взаимоотношенията между тях и реда за вземане на решения;
2. изчерпателно посочване на правомощията и отговорностите на администраторите и на лицата, заемащи ключови позиции в банката, както и описание на изискванията за заемане на длъжностите, осигуряващи наличието на знания, умения и професионален опит, необходими за изпълнение на техните задължения;
3. стратегията и плана за дейността на банката, които отчитат нейните дългосрочни финансови интереси и платежоспособност;
4. политиката и структурата за управление и контрол на риска, включително определяне на рисковия апетит на банката;
5. реда за изготвяне и обхвата на управленската информация;
6. подходящи и надеждни системи за счетоводна и финансова отчетност, включително ефективна организация на финансовия и оперативния контрол;
7. ефективна рамка за вътрешен контрол, която включва независими служби за управление на риска, нормативно съответствие и вътрешен одит;
8. политика за установяване, управление и предотвратяване на конфликти на интереси;
9. процедура за подаване на сигнали от служители за извършени нарушения в банката;
10. кодекса за етично поведение на администраторите и служителите, включващ високи етични и професионални стандарти, съответстващи на специфичните нужди и характеристики на банката;
11. системата за обучение, оценка и стимулиране на висшия ръководен персонал и служителите, изпълняващи контролни функции.
(2) Управителният орган на банката периодично преглежда и оценява правилата по ал. 1, като при установяване на непълноти, слабости и/или необходимост от тяхното подобряване приема изменения и допълнения в тях. Заключенията от оценката и предприетите мерки се отразяват в протокола от заседанието.
(3) При встъпване в длъжност членовете на управителните и контролните органи на банката и служителите на банката, спрямо които те се прилагат, се запознават с правилата по ал. 1, което се удостоверява писмено или по друг подходящ начин. Изискването по предходното изречение се прилага и при всяка следваща промяна в правилата.
(4) Надзорният съвет на банката, съответно членовете на съвета на директорите, които не са изпълнителни членове, наблюдава и контролира прилагането на политиките, правилата и процедурите за организацията и управлението на банката относно:
1. рисковата култура на банката;
2. счетоводната и финансовата отчетност;
3. рамката за вътрешен контрол;
4. политиката за установяване, управление и предотвратяване на конфликт на интереси;
5. годишния план за дейността на специализираната служба за вътрешен одит;
6. кодекса за етично поведение;
7. други въпроси, предвидени в устава и вътрешните актове на банката.
Чл. 5. (1) Управителният орган на банката изгражда разумна и последователна рискова култура съобразно рисковете, пред които е изложена банката, и нейния рисков апетит.
(2) Рисковата култура включва най-малко:
1. основните принципи, ценности и очаквания на управителните и контролните органи относно поемането и управлението на риска;
2. отговорността на служителите на всички нива да познават и разбират основните рискове, на които е изложена банката, нейния рисков апетит и капацитета и за поемане на риск;
3. открита и конструктивна комуникация между служителите;
4. подходящи стимули при вземане на решения за поемане на рискове, съобразени с рисковия профил и дългосрочните цели на банката.
(3) Надзорният съвет на банката, съответно членовете на съвета на директорите, които не са изпълнителни членове, следи за последователното прилагане на рисковата култура.
Раздел III.
Конфликт на интереси
Чл. 6. (1) Всяка банка следва да осигури разделение на задълженията и създаване на подходящи информационни бариери във всички случаи, при които може да възникне конфликт на интереси, както и недопускане съвместяване на дейностите по одобряване, изпълнение и отчитане на операциите.
(2) Управителният орган на банката приема и прилага ефективна политика за установяване, управление и предотвратяване на съществуващи и потенциални конфликти на интереси между интересите на банката и частните интереси на служителите, включително на членовете на управителните и контролните органи, които могат да окажат негативно влияние върху изпълнението на техните задължения и отговорности, която включва:
1. посочване на случаите и взаимоотношенията, при които може да възникне конфликт на интереси, като финансови интереси (притежаване на акции или участия в дружества, които са клиенти на банката), взаимоотношения с лица, притежаващи квалифицирано дялово участие в банката, със служители на банката или с дружества, включени в обхвата на пруденциалната консолидация, с консултантски, одиторски и други дружества, с които банката има договорни отношения, както и случаите на потенциално политическо влияние;
2. условията и реда за докладване на всеки случай, който може да доведе или вече е довел до възникване на конфликт на интереси, включително звеното, на което се докладва, както и конкретни задължения на служителите в банката за незабавното му разкриване;
3. процедури, мерки и изисквания за документиране и отговорности за установяване и предотвратяване на конфликти на интереси, за оценка на тяхната значимост и за предприемане на действия за тяхното адресиране.
Раздел IV.
Процедура за подаване на сигнали
Чл. 7. (1) Всяка банка приема и прилага подходящи и ефективни писмени процедури за подаване на сигнали от нейните служители за действителни или потенциални нарушения в банката.
(2) Процедурите трябва да осигуряват:
1. наличието на самостоятелен и независим ред за подаване на сигнали, достъпен за всички служители на банката;
2. защита на личните данни за лицето, което подава сигнал за нарушението, и за лицето, за което се сигнализира, че е извършило нарушението;
3. докладване на постъпилите от служителите сигнали на управителния и/или контролния орган на банката и на други лица, на които са им възложени такива функции;
4. че сигналите са взети предвид от банката и при необходимост са изпратени на Българската народна банка или на други компетентни органи или лица;
5. защита от несправедливо третиране на служителите, които подават сигнали;
6. поверителност на подаваната информация, освен когато разкриването и се изисква от закона в случаите на образувано административно или наказателно производство;
7. документиране на сигналите и проследяване на резултатите от проверките по всеки от тях.
(3) Банката е длъжна да осигури възможност за анонимно докладване съгласно ал. 2, т. 3, ако е поискано от служителя, подал сигнала.
Глава трета.
РАМКА ЗА ВЪТРЕШЕН КОНТРОЛ
Чл. 8. (1) Рамката за вътрешен контрол на всяка банка включва:
1. организация на оперативния контрол;
2. структура за управление на риска;
3. служба за нормативно съответствие;
4. система за вътрешен одит.
(2) Рамката за вътрешен контрол трябва да обхваща цялата вътрешна организация, включително отговорностите на управителните и контролните органи на банката, дейностите на всички бизнес линии и структурни звена, в това число службите за вътрешен контрол и възлагането на дейности на външни изпълнители.
(3) Всяка банка осигурява ясен, прозрачен и документиран процес за вземане на решения и ясно разпределение на правомощията и отговорностите, които се обхващат от рамката за вътрешен контрол.
(4) Рамката за вътрешен контрол трябва да осигурява:
1. ефективни и ефикасни операции;
2. разумно осъществяване на дейността;
3. адекватно идентифициране, измерване и редуциране на рисковете;
4. надеждност на финансовата и нефинансовата информация и на отчетността;
5. сигурни административни и счетоводни процедури;
6. спазване на законовите и подзаконовите актове, надзорните изисквания и приетите от банката вътрешни политики, правила, процедури и решения.
Раздел II.
Отчетност и информация
Чл. 9. Всяка банка поддържа надеждна система за отчетност и информация, която следва най-малко да осигурява своевременен достъп до информация съобразно правомощията на длъжностните лица, и нейното движение:
1. във възходящ ред - за информиране на ръководството относно операциите, рисковете и текущото състояние на банката;
2. в низходящ ред - за информиране на служителите относно целите и задачите на банката, както и за утвърдените от ръководството политики, правила и решения;
3. в хоризонтален ред - за доставяне и обмен на необходимата информация между отделните структурни и функционални звена на банката.
Чл. 11. Банковите досиета следва да съдържат:
1. опис на документите в досието;
2. вътрешни банкови документи, протоколи, споразумения, договори и др.;
3. финансова и друга информация относно клиентите и пазара;
4. други документи и информация от съществено значение за банката.
Чл. 12. (1) За защита на информацията при използването на информационни и комуникационни технологии управителният орган на банката осигурява разграничаване на:
1. дейностите по разработване, внедряване и изменение на информационни и комуникационни технологии, както и тяхното администриране и поддръжка;
2. правата за достъп до информация.
(2) Управителният орган на банката осигурява въвеждането и прилагането на подходящи контролни механизми за оценка и управление на операционния риск, свързан с надеждността и сигурността на информационните и комуникационните технологии.
Чл. 13. (1) Управителният орган на банката приема вътрешни правила за работа с информационни и комуникационни технологии, които следва да ограничават:
1. грешки при разработване и изменение на програмни продукти, администриране и ползване на бази данни;
2. прекъсвания на работата вследствие на вътрешни и/или външни фактори;
3. измами и неразрешен достъп до информация.
(2) Банките актуализират своите вътрешни правила и процедури за работа с информационни и комуникационни технологии в съответствие с прилаганите от тях технологии и свързаните с тях рискове.
Раздел III.
Структура за управление на риска
Чл. 14. (1) Всяка банка поддържа подходяща структура за управление на риска, която включва:
1. идентифициране, оценка и измерване на всички рискове за банката, както и на вътрешните и външните източници на риск;
2. измерване и наблюдение на риска и моделите за оценка на рисковете;
3. наблюдение и периодична оценка за съответствие на вътрешните правила за управление на риска съобразно пазарните условия и добрите банкови практики;
4. политики и процедури за оценка на риска, определяне и спазване на лимити по отношение на риска, както и за допускане на изключения в случаи на извънредни ситуации;
5. обхват, структура и честота на изготвяне на отчетността за риска;
6. рискова култура.
(2) Изискванията към структурата за управлението на риска се уреждат с Наредба № 7 на БНБ за организацията и управлението на рисковете в банките (ДВ, бр. 40 от 2014 г.).
Раздел IV.
Нормативно съответствие
Чл. 15. (1) Всяка банка създава служба за нормативно съответствие, която осигурява адекватно идентифициране, измерване и управление на риска, свързан с нормативното съответствие.
(2) Службата за нормативно съответствие трябва да е независима от бизнес линиите и структурните звена, попадащи в обхвата на дейностите, които тя наблюдава и контролира.
(3) Службата за нормативно съответствие се ръководи от лице с добра репутация, висше юридическо или икономическо образование и най-малко 5 години професионален опит по специалността в банковия или финансовия сектор.
(4) Службата за нормативно съответствие трябва да разполага с подходящ статут и с достатъчно правомощия и ресурси за изпълнение на своите функции, включително достъп до цялата информация, която и е необходима за осъществяване на нейната дейност.
(5) Службата за нормативно съответствие:
1. идентифицира и измерва риска, свързан с нормативното съответствие, на който банката е изложена или може да бъде изложена;
2. извършва редовна оценка на промените в законовите и подзаконовите актове, приложими за банката, и влиянието, което имат върху дейността и;
3. консултира управителния и контролния орган на банката при приемането на мерки за постигане на съответствие с приложимите закони, правила, разпоредби и стандарти и изготвя оценка на въздействието на промените в нормативните и регулаторните изисквания върху дейността на банката;
4. извършва проверка за съответствието на всички нови продукти и нови процедури със закона и приложимите нормативни актове;
5. докладва относно риска, свързан с нормативното съответствие на управителните и контролните органи;
6. сътрудничи и обменя информация със структурата за управление на риска относно риска, свързан с нормативното съответствие, и неговото управление.
(6) Управителният орган на банката приема вътрешни правила и годишен план за дейността на службата за нормативно съответствие.
Раздел V.
Вътрешен одит. Специализирана служба за вътрешен одит
Подраздел I. Общи изисквания
Чл. 16. (1) Вътрешният одит е независима и обективна оценъчна дейност на банковите сделки и операции и системите за контрол за предоставяне на увереност и консултации, предназначена да подобрява дейността на банката.
(2) Вътрешният одит помага на банката да постигне целите си чрез прилагането на систематичен и дисциплиниран подход за оценяване и подобряване ефективността на процесите за управление на риска, контрол и управление.
(3) Всички дейности, включително възложените на външни изпълнители, всяко структурно звено и всеки процес в банката трябва да бъдат обект на вътрешен одит.
(4) Вътрешният одит се осъществява от специализирана служба за вътрешен одит, която подпомага органите на управление при вземане на решения и следи за тяхното изпълнение.
Чл. 17. (1) При изпълнение на своите функции специализираната служба за вътрешен одит проверява и оценява:
1. системата за изготвяне на отчетност и информация, полезността на изготвяните анализи, информационните и комуникационните технологии и качеството на данните;
2. законосъобразността на операциите, спазването на вътрешните правила и процедури и изпълнението на управленските решения;
3. съответствието на вътрешните контролни политики и процедури с нормативните и регулаторните изисквания, както и с решенията на управителните и контролните органи;
4. точността и ефективността на прилагането на вътрешните политики и процедури;
5. системите за управление на риска, методологиите за оценка на риска и адекватността на капитала;
6. целесъобразността, качеството и ефективността на контролните действия, извършвани от звената, отговарящи за оперативен контрол върху бизнес звената при извършване на сделки и операции, структурата за управление на риска и службата за нормативно съответствие;
7. надеждността и навременността на предоставяната на Българската народна банка отчетност;
8. защитата на активите на банката от безстопанственост и злоупотреби;
9. изпълнението на договорите и поетите ангажименти;
10. подбора и квалификацията на кадрите, както и съответствието на длъжностните характеристики и правомощията.
(2) При осъществяване на своята дейност служителите от специализираната служба за вътрешен одит (вътрешни одитори) имат право:
1. на неограничен достъп до:
а) служебните помещения и активите на банката;
б) решенията на органите за управление, комитетите и другите длъжностни лица и структури;
в) отчетността и информационните и комуникационните технологии;
2. да изискват и да събират сведения, справки и други документи във връзка с изпълнението на възложените им задачи;
3. да привличат експерти при извършване на специфични контролни действия.
(3) Вътрешните одитори не могат да имат правомощия и отговорности за дейностите и обектите, които проверяват, и тяхната длъжност не може да бъде съвместявана с други длъжности в банката.
(4) Администраторите и служителите на банката са длъжни да съдействат на вътрешните одитори при осъществяване на тяхната дейност.
(5) Извършваните от администратори и други лица с управленски функции прегледи и контролни действия в рамките на техните компетенции не могат да заместват функциите на вътрешния одит.
Чл. 18. (1) Вътрешните одитори следва да притежават:
1. професионални умения в прилагането на международните стандарти за професионална практика по вътрешен одит, процедурите и техниките за извършване на одит;
2. познания и опит в прилагането на счетоводните стандарти;
3. познания за принципите на управление и добрата банкова практика.
(2) От вътрешните одитори се изисква да се ръководят от установените правила и най-добри практики за етично поведение, да бъдат честни, обективни, усърдни, лоялни, както и да умеят да контактуват и да работят с хора.
Чл. 19. (1) За ръководител на специализираната служба за вътрешен одит се избира лице с висока морална и професионална репутация, подходяща квалификация в областта на одита и счетоводството и най-малко 5 години опит в областите, свързани с финансовия одит.
(2) Ръководителят на специализираната служба за вътрешен одит не може да съвместява други длъжности в банката.
(3) Ръководителят на специализираната служба за вътрешен одит осигурява и отговаря за прилагането на международните стандарти за професионална практика по вътрешен одит и ефективността на вътрешната одиторска дейност.
Чл. 21. (1) Вътрешните правила за дейността уреждат правомощията на вътрешните одитори, реда за извършване на контролни действия, тяхното документиране и докладване на резултатите.
(2) Вътрешните правила следва да осигуряват:
1. независимост и инициатива на ръководителя на специализираната служба за вътрешен одит при планиране и възлагане на проверки;
2. неограничен достъп до активите и информацията;
3. преки взаимоотношения на ръководителя на специализираната служба за вътрешен одит с органите за управление;
4. право на ръководителя на специализираната служба за вътрешен одит за подбор на вътрешните одитори в съответствие с изискванията за квалификация;
5. недопускане конфликт на интереси при изпълнение на задачите от вътрешните одитори;
6. условия за привличане на експерти при извършване на специфични контролни действия.
Подраздел II. Документиране на контролните действия и докладване на резултатите
Чл. 25. (1) Докладът по чл. 23 се връчва на ръководителя на проверения обект, на ръководителя на структурното звено, включено в одитния процес, и на ръководителя на специализираната служба за вътрешен одит.
(2) Ръководителят на проверения обект представя обяснения и/или възражения относно направените констатации и препоръки в срокове, установени във вътрешните правила.
(3) По представените от ръководителя на проверения обект писмени обяснения или възражения вътрешните одитори дават заключение.
(4) След извършване на процедурите по предходните алинеи ръководителят на специализираната служба за вътрешен одит представя доклада и документите по ал. 2 и 3 на изпълнителните директори.
(5) Управителният орган и администраторите налагат мерки за отстраняване на констатираните нарушения и слабости и уведомяват за тях специализираната служба за вътрешен одит.
Подраздел III. Годишен отчет за дейността
Глава четвърта.
ОРГАНИЗАЦИЯ, УПРАВЛЕНИЕ И ВЪТРЕШЕН КОНТРОЛ НА КОНСОЛИДИРАНА ОСНОВА
Чл. 28. Органите за управление на банки, финансови холдинги, финансови холдинги със смесена дейност и холдинги със смесена дейност, върху които Българската народна банка осъществява надзор на консолидирана основа, осигуряват:
1. приемане и прилагане на ефективни и надеждни политики, правила и процедури за организацията и управлението;
2. поддържане на системи за контрол и прилагане на процедури в съответствие с изискванията на тази наредба по отношение на пряко и/или съвместно контролираните дружества, включително в тези, които не са обхванати от Закона за кредитните институции;
3. съвместимост и съгласуваност на системите за управление на риска на консолидирана основа; и
4. необходимия обхват управленска информация.
Глава пета.
ВЗАИМООТНОШЕНИЯ С ОРГАНА ЗА БАНКОВ НАДЗОР
§ 1. По смисъла на тази наредба:
1. "Международни стандарти за професионална практика по вътрешен одит" са Международните стандарти за професионална практика по вътрешен одит, издадени от Глобалния институт на вътрешните одитори, САЩ, и техният превод на български език, публикувани от Института на вътрешните одитори в България.
2. "Рисков апетит" е съвкупното ниво на общия риск и на отделните видове риск, които банката е готова да поеме или поддържа в рамките на своя рисков капацитет в съответствие със своя бизнес модел за постигане на стратегическите си цели.
3. "Рискова култура" са нормите, отношението и поведението на управителните органи и служителите на банката, свързани с осведомеността за рисковете, поемането и управлението на риска, както и за контролните механизми, които формират решенията, свързани с риска.
4. "Риск, свързан с нормативно съответствие" е рискът от налагане на мерки и санкции, както и рискът от реализиране на съществени финансови загуби или от увреждане на репутацията на банката поради неспазване на закона, стандарти, етични кодекси за поведение и вътрешни правила, приложими към дейността на банката.
Преходни и Заключителни разпоредби
§ 2. Банките са длъжни да приведат дейността си в съответствие с изискванията на наредбата в тримесечен срок от влизането и в сила.
§ 3. Наредбата се издава на основание чл. 11а, ал. 1, чл. 73, ал. 6 и чл. 74, ал. 3 и 4 във връзка с § 13 от преходните и заключителните разпоредби на Закона за кредитните институции и е приета с Решение № 149 от 24 април 2019 г. на Управителния съвет на Българската народна банка.
§ 4. Тази наредба отменя Наредба № 10 от 2003 г. за вътрешния контрол в банките (обн., ДВ, бр. 108 от 2003 г.; изм., бр. 102 от 2006 г.).
