НАРЕДБА № 10 ОТ 24 АПРИЛ 2019 Г. ЗА ОРГАНИЗАЦИЯТА, УПРАВЛЕНИЕТО И ВЪТРЕШНИЯ КОНТРОЛ В БАНКИТЕ

Това е резюме на текстовете от нормативния акт, целящо лесно и бързо запознаване на потребителя с нормите в него.

Виж оригиналния текст на документа

Чл. 1

Наредбата определя изискванията към организацията, управлението и вътрешния контрол в банките. Тя се прилага и за клоновете на банки от трети държави, както и за дружествата, които попадат под надзор на консолидирана основа.

Чл. 2

Член 2 от Наредба № 10 предписва, че организацията, управлението и вътрешните правила на банките трябва да отговарят на техния размер, характер, обхват и сложност на дейностите, както и на рисковете, на които са подложени. В допълнение, банките трябва да вземат предвид определени критерии, посочени в Насоките относно вътрешното управление, приети от Европейския банков орган.

Чл. 3

Член 3 от наредбата определя задълженията на управителните и контролни органи на банките да създават подходяща и прозрачна организационна структура, която да осигурява ефективно управление. Структурата трябва да е съобразена със стратегията на банката и нейните рискове, без да затруднява управителите и надзорните органи. Забранява се създаването на сложни и непрозрачни структури без икономическа обосновка, които могат да се използват за незаконни цели.

Чл. 4

Наредба № 10 от 24 април 2019 г. определя задълженията на управителния орган на банката относно организацията и управлението. Тя изисква приемането на правила, които да включват описание на структурата, правомощията на администраторите, стратегията за дейност, управление на риска, счетоводна отчетност, рамка за вътрешен контрол, политика за конфликти на интереси, процедура за подаване на сигнали, етичен кодекс и система за обучение. Управителният орган е задължен да преглежда и оценява тези правила, а членовете на органите да се запознават с тях. Надзорният съвет контролира приложението на политиките и правилата.

Чл. 5

Член 5 от Наредба № 10 определя задълженията на управителния орган на банката относно изграждането на рискова култура. Тази култура трябва да бъде разумна и последователна, съобразена с рисковете и рисковия апетит на банката. Основните елементи на рисковата култура включват принципи и ценности за управление на риска, отговорност на служителите да разбират рисковете, открита комуникация между служителите и подходящи стимули за вземане на решения, свързани с риска. Надзорният съвет следи за прилагането на тези принципи.

Чл. 6

Чл. 6 от Наредба № 10 задължава банките да осигурят разделение на задълженията и да създадат информационни бариери за избягване на конфликти на интереси. Управителният орган на банката трябва да прилага политика за управление на конфликтите на интереси, която да включва идентификация на случаи на конфликт, ред за докладване на конфликти, както и процедури и мерки за предотвратяване и адресиране на конфликти на интереси.

Чл. 7

Член 7 от Наредба № 10 предвижда, че банките трябва да приемат и прилагат писмени процедури за подаване на сигнали от служители за нарушения. Процедурите трябва да осигуряват независим ред за подаване на сигнали, защита на личните данни, докладване на сигналите на управителния орган, защита от несправедливо третиране на сигнализиращите служители и възможност за анонимно подаване на сигнали.

Чл. 8

Наредба № 10 определя рамката за вътрешен контрол в банките, която включва организация на оперативния контрол, структура за управление на риска, служба за нормативно съответствие, включително за превенция на изпирането на пари и финансирането на тероризма, и система за вътрешен одит. Рамката обхваща цялата вътрешна организация на банката, отговорностите на управителните и контролните органи, както и дейностите на всички бизнес линии. Банката трябва да осигури ясен и документиран процес за вземане на решения и разпределение на правомощията. Целите на рамката включват ефективност на операциите, разумно осъществяване на дейността, адекватно управление на рисковете, надеждност на информацията и спазване на законовите изисквания.

Чл. 9

Чл. 9 от Наредба № 10 предвижда, че всяка банка трябва да поддържа надеждна система за отчетност и информация. Тази система трябва да осигурява своевременен достъп до информация според правомощията на длъжностните лица и да регулира движението на информацията в три основни направления: 1. Възходящ ред - за информиране на ръководството за операциите, рисковете и състоянието на банката; 2. Низходящ ред - за информиране на служителите за целите и задачите на банката, както и за утвърдените политики и решения; 3. Хоризонтален ред - за обмен на информация между различните структурни и функционални звена.

Чл. 10

Чл. 10 от Наредба № 10 задължава банките да регистрират всички сделки и операции своевременно и в хронологичен ред. Освен това, банките трябва да водят досиета на сделките, класифицирани по видове операции, клиенти и други критерии, избрани от тях, на хартиен и/или електронен носител.

Чл. 11

Чл. 11 от Наредба № 10 от 24 април 2019 г. определя съдържанието на банковите досиета. Те трябва да включват: опис на документите, вътрешни банкови документи, протоколи, споразумения и договори, финансова информация за клиентите и пазара, както и други важни документи и информация за банката.

Чл. 12

Чл. 12 от Наредба № 10 предвижда, че управителният орган на банката е отговорен за защитата на информацията при използването на информационни и комуникационни технологии. Това включва разграничаване на дейностите по разработване, внедряване и администриране на технологиите, както и контрол на правата за достъп до информация. Освен това, управителният орган трябва да внедри контролни механизми за оценка и управление на операционния риск, свързан с надеждността и сигурността на тези технологии.

Чл. 13

Чл. 13 от Наредба № 10 задължава управителния орган на банката да приеме вътрешни правила за работа с информационни и комуникационни технологии, с цел ограничаване на грешки при разработване и изменение на софтуер, прекъсвания на работата и измами. Банките са длъжни да актуализират тези правила в зависимост от използваните технологии и свързаните рискове.

Чл. 14

Чл. 14 от Наредба № 10 предвижда, че всяка банка е задължена да поддържа подходяща структура за управление на риска. Тази структура трябва да включва идентифициране, оценка и измерване на всички рискове, наблюдение на риска и оценка на съответствието на вътрешните правила с пазарните условия. Освен това, банките трябва да имат политики и процедури за оценка на риска, определяне на лимити и управление на извънредни ситуации, както и да осигурят отчетност и насърчаване на рискова култура. Изискванията за управлението на риска се уреждат допълнително с Наредба № 7 на БНБ.

Чл. 15

Чл. 15 от Наредба № 10 предвижда създаването на служба за нормативно съответствие във всяка банка, която е отговорна за идентифициране, измерване и управление на риска, свързан с нормативното съответствие. Тази служба трябва да бъде независима от бизнес линиите на банката и да се ръководи от лице с висше юридическо или икономическо образование и минимум 5 години опит. Службата разполага с правомощия и ресурси за изпълнение на функциите си, включително достъп до необходимата информация. Основните задължения на службата включват оценка на рисковете, консултиране на управителния орган, проверка на нови продукти и докладване за рисковете, свързани с нормативното съответствие. Управителният орган на банката е задължен да приеме вътрешни правила и годишен план за дейността на службата.

Чл. 15а

Наредба № 10 от 24 април 2019 г. определя изискванията за създаване на служба за нормативно съответствие в банките, която е отговорна за управлението на риска, свързан с нормативното съответствие в областта на ПИП/ПФТ. Службата трябва да бъде независима, ръководена от квалифицирано лице с опит, и да разполага с необходимите правомощия и ресурси. Основните функции включват идентификация и оценка на рисковете, консултиране на управителния орган, проверка на нови продукти и докладване на резултати. Управителният орган на банката е задължен да приеме вътрешни правила и годишен план за дейността на службата.

Чл. 15б

Чл. 15б от Наредба № 10 предвижда, че управителният орган на банката може да обедини службите по чл. 15 и 15а в единна структура, в зависимост от големината и рисковете, на които е изложена банката. Ръководителят на обединената служба трябва да отговаря на определени изисквания и да има достатъчно време за изпълнение на задълженията си. В случай че службите останат отделни, трябва ясно да бъдат разпределени отговорностите и правомощията в вътрешните правила на банката.

Чл. 15в

Управителният орган на банката назначава член за отговорник по спазването на изискванията за предотвратяване на изпирането на пари и финансирането на тероризма (ПИП/ПФТ). Този член трябва да вземе предвид потенциални конфликти на интереси и да предприеме мерки за тяхното избягване. За да изпълнява задълженията си, отговорникът трябва да притежава необходимите знания и опит относно рисковете от ИП/ФТ и да разполага с достатъчно време и ресурси.

Чл. 15г

Чл. 15г от Наредба № 10 определя отговорностите на лицето, отговарящо за вътрешния контрол в банките. Основните задължения включват осигуряване на подходящи политики и процедури за контрол на риска от изпирането на пари и финансирането на тероризма (ПИП/ПФТ), оценка на необходимостта от назначаване на ръководител на службата за нормативно съответствие, периодично докладване на управителния орган за рисковете и съответствието, информиране за сериозни проблеми и осигуряване на достъп до необходимата информация и ресурси. Лицето трябва също да преодолява опасенията, да докладва на надзорния съвет и да предлага промени в организационната структура на службата.

Чл. 15д.

Управителният орган на банката отговаря за одобряване на стратегията за предотвратяване на изпирането на пари и финансирането на тероризъм (ПИП/ПФТ), осигуряване на ресурси за нейното изпълнение, годишно преглеждане на отчета за дейността на отговорното лице и приемане на политики и процедури за контрол и предотвратяване на ИП/ФТ, които се прилагат в цялата банка.

Чл. 15е

Чл. 15е от Наредба № 10 определя задълженията на контролния орган на банката относно контрола и наблюдението на вътрешното управление и контрол. Той трябва да бъде информиран за оценката на риска от изпирането на пари и финансирането на тероризма (ИП/ФТ), да следи за ефективността на политиките и процедурите, да преглежда годишно отчета на отговорното лице и да оценява функционирането на функцията за нормативно съответствие, като взема предвид и одитите.

Чл. 15ж.

Контролният орган на банката трябва да осигури, че лицето, отговорно за идентифицирането, оценяването и управлението на рисковете от изпирането на пари и финансирането на тероризма (ИП/ФТ), притежава необходимите знания, умения и опит. То трябва да е запознато с бизнес модела на банката и рисковете, произтичащи от него, както и да бъде информирано за решения, които могат да повлияят на тези рискове.

Чл. 15з

Контролният орган на банката трябва да има достъп до детайлни и качествени данни и информация, за да изпълнява функциите си свързани с ПИП/ПФТ. Той трябва да разполага с достъп до отчета за дейността на лицето по чл. 15а, ал. 3, отчета на функцията за вътрешен одит, наблюдения на външни одитори и констатации на компетентни органи, както и комуникации със звеното за финансово разузнаване и наложени санкции.

Чл. 16

Член 16 от Наредба № 10 определя вътрешния одит като независима и обективна оценъчна дейност, която оценява банковите сделки, операции и системите за контрол. Целта е да се предостави увереност и консултации за подобряване на дейността на банката. Вътрешният одит подпомага банката в постигането на целите й чрез систематичен подход за оценка и подобряване на ефективността на управлението на риска и контрола. Всички дейности и процеси в банката, включително тези, възложени на външни изпълнители, подлежат на вътрешен одит. Тази дейност се осъществява от специализирана служба за вътрешен одит, която помага на управленските органи при вземане на решения и следи за тяхното изпълнение.

Чл. 17

Член 17 от Наредба № 10 определя функциите на специализираната служба за вътрешен одит в банките. Тя проверява и оценява системата за отчетност, законосъобразността на операциите, съответствието с нормативните изисквания, управлението на риска, качеството на контролните действия и защитата на активите. Вътрешните одитори имат право на неограничен достъп до информация и помещения, могат да изискват документи и да привлекат експерти. Те нямат право да извършват дейности, които проверяват, и служителите на банката са задължени да им съдействат. Контролите, извършвани от администратори, не заменят функциите на вътрешния одит.

Чл. 18

Вътрешните одитори трябва да имат професионални умения в международните стандарти за вътрешен одит, опит в счетоводните стандарти и познания за управление и банкова практика. Те трябва да следват етични правила и да притежават качества като честност, обективност, усърдие и лоялност, както и умения за работа с хора.

Чл. 19

Чл. 19 от Наредба № 10 определя изискванията за ръководителя на специализираната служба за вътрешен одит в банките. Лицето трябва да има висока морална и професионална репутация, висше образование в правото, икономиката или информационните технологии, както и минимум 5 години опит в области, свързани с одит и управление на риска. Ръководителят не може да заема други длъжности в банката и е отговорен за прилагането на международните стандарти за вътрешен одит.

Чл. 20

Управителният орган на банката е задължен да приеме вътрешни правила и годишен план за дейността на специализираната служба за вътрешен одит. Годишният план се изготвя по предложение на ръководителя на службата и е основан на рисковобазиран подход.

Чл. 21

Чл. 21 от Наредба № 10 урежда вътрешните правила за дейността на банките, свързани с правомощията на вътрешните одитори. Вътрешните правила трябва да осигурят независимост на ръководителя на вътрешния одит, неограничен достъп до информация и активи, преки взаимоотношения с управлението, право на подбор на одитори, недопускане на конфликт на интереси и условия за привличане на експерти при специфични проверки.

Чл. 22

Чл. 22 от Наредба № 10 определя задълженията на ръководителя на специализираната служба за вътрешен одит в банките. Той е отговорен за изготвянето на разчети за ресурсите, необходими за изпълнение на годишния план, и за одобряване на програмите за контролни задачи. Вътрешният одит трябва да обхваща всички процеси, обекти и системи в рамките на одитен период, който не надвишава три години. Честотата на одита зависи от значимостта и риска на съответните елементи за банката.

Чл. 23

Според Чл. 23 от Наредба № 10 от 24 април 2019 г., всяка проверка или контролни действия на вътрешните одитори завършват с изготвяне на доклад. Този доклад трябва да съдържа констатации и препоръки за предприемане на мерки срещу нарушения на законите и вътрешните правила, както и за отстраняване на слабости в дейността на банката.

Чл. 24

Чл. 24 от Наредба № 10 определя задълженията на ръководителя на специализираната служба за вътрешен одит. Той е отговорен за утвърждаването на изисквания относно докладите и документите, които се изготвят и събират от вътрешните одитори, съобразно международните стандарти. Информацията, събирана по време на одитните действия, трябва да обосновава констатациите, оценките и препоръките на одиторите.

Чл. 25

Чл. 25 регламентира процеса на връчване и обсъждане на доклада от вътрешния одит. Докладът се предоставя на ръководителя на проверения обект, ръководителя на структурното звено и ръководителя на специализираната служба за вътрешен одит. Ръководителят на проверения обект има право да представи обяснения и възражения в срок, определен от вътрешните правила. Вътрешните одитори дават заключение по тези обяснения. След това ръководителят на специализираната служба представя окончателния доклад на изпълнителните директори. Управителният орган и администраторите са задължени да предприемат мерки за отстраняване на установените нарушения и да уведомят специализираната служба за вътрешен одит.

Чл. 26

Чл. 26 от наредбата предвижда задължения за докладване при констатирани съществени нарушения и слабости в банките. При наличие на такива нарушения или недостатъчни мерки за отстраняването им, докладът се представя на съответния орган за управление. Ако нарушенията са свързани с органите за управление или ако не са предприети мерки, докладът се изпраща на висшестоящия орган и на Българската народна банка.

Чл. 27

Чл. 27 от Наредба № 10 от 24 април 2019 г. определя задължението на ръководителя на специализираната служба за вътрешен одит да представя годишен отчет на общото събрание на акционерите и на различните управителни органи на банката. Този отчет включва основните резултати от одитните действия, предприетите мерки и тяхното изпълнение, както и организационните въпроси и основните задачи за следващата година.

Чл. 28

Органите за управление на банките и свързаните сектори трябва да осигурят ефективни политики и процедури за управление, поддържане на контролни системи, съвместимост на управлението на риска и необходима управленска информация, в съответствие с изискванията на наредбата.

Чл. 29

Органите за управление на банките и свързаните финансови структури са задължени да създават и поддържат вътрешни правила и системи, които да управляват риска и вътрешния одит. Тези системи трябва да бъдат адекватни на структурата на групата и спецификата на контролираните предприятия.

Чл. 30

Наредбата определя, че Българската народна банка оценява организацията и управлението в банките, както и ефективността на вътрешния контрол на индивидуална и консолидирана основа. Подуправителят, отговарящ за банковия надзор, и ръководителят на вътрешния одит провеждат периодични обсъждания за рисковете от дейността на банката и мерките, които трябва да се предприемат, включително взаимодействието с одиторските дружества.

Чл. 31, § 1, § 2, § 7, § 8

Наредбата определя задълженията на ръководителите на специализирани служби за вътрешен одит в банките, които трябва незабавно да информират Българската народна банка за установени нарушения или слабости в управлението на банката. Банките и финансовите институции са длъжни да представят годишни отчети за дейността на вътрешния одит и при поискване доклади от извършени проверки. Наредбата въвежда термини като "международни стандарти за вътрешен одит", "рисков апетит", "рискова култура" и различни видове рискове, свързани с нормативно съответствие. Банките трябва да приведат дейността си в съответствие с наредбата в срок от три месеца след влизането й в сила, а по-късно сроковете за привеждане бяха удължени до 31 декември 2024 г. Наредбата отменя предходната наредба от 2003 г.

§1

Тази наредба определя основни термини, свързани с вътрешния одит и управлението на риска в банките. Включва определения за "Международни стандарти за професионална практика по вътрешен одит", "Рисков апетит", "Рискова култура", "Риск, свързан с нормативно съответствие" и "Риск, свързан с нормативно съответствие в областта на ПИП/ПФТ". Тези термини служат за основа на правилата и практиките, които банките трябва да следват в контекста на вътрешния контрол и управлението на рисковете.

§ 3

Наредба № 10 от 24 април 2019 г. за организацията, управлението и вътрешния контрол в банките е издадена на основание определени членове от Закона за кредитните институции. Тя е приета с Решение № 149 на Управителния съвет на Българската народна банка.

§4

Наредба № 10 от 24 април 2019 г. отменя предходната Наредба № 10 от 2003 г. за вътрешния контрол в банките. Включва преходни и заключителни разпоредби, които се отнасят до изменения и допълнения на настоящата наредба. Последните изменения са обнародвани в Държавен вестник, бр. 12 от 2024 г.

§ 8 от Наредба № 10

В срок до 15.11.2024 г. банките трябва да представят в Българската народна банка (БНБ) необходимите вътрешни правила и процедури за спазване на изискванията на раздел IVа от глава трета, съгласно § 8 от Наредба № 10 от 2019 г. Допълнителните разпоредби влизат в сила на 15.11.2024 г. и са обнародвани в Държавен вестник, брой 97 от 2024 г.