НАРЕДБА № 10 ОТ 24 АПРИЛ 2019 Г. ЗА ОРГАНИЗАЦИЯТА, УПРАВЛЕНИЕТО И ВЪТРЕШНИЯ КОНТРОЛ В БАНКИТЕ

Глава първа.
ПРЕДМЕТ

Чл. 1. (1) С наредбата се определят изискванията към организацията, управлението и вътрешния контрол в банките.

(2) Разпоредбите на наредбата се прилагат и за:

1. клоновете на банки от трети държави;

2. дружествата, попадащи в надзора на консолидирана основа.

Глава втора.
ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ НА ДЕЙНОСТТА

Раздел I.
Общи изисквания

Чл. 2. (1) Организацията, управлението и вътрешните правила на банките следва да съответстват на големината, естеството, мащаба и сложността на извършваните от тях дейности и на рисковете, на които са изложени.

(2) (Изм. - ДВ, бр. 12 от 2024 г.) За целите на ал. 1 банките вземат предвид критериите по т. 19 от Насоките относно вътрешното управление (EBA/GL/2021/05), приети от Европейския банков орган.

Чл. 3. (1) Управителните и контролните органи на банката съобразно тяхната компетентност създават подходяща и прозрачна организационна и оперативна структура, която осигурява ефективното и разумно управление на банката.

(2) Структурата на банката следва да бъде съобразена със стратегията ѝ по отношение на риска и нейния рисков апетит и да не затруднява управителните и контролните органи при управлението и контрола на рисковете, пред които е изложена, както и Българската народна банка при осъществяването на ефективен надзор върху нейната дейност.

(3) Банките не могат да създават необосновано сложни и непрозрачни структури, които нямат ясна икономическа обосновка и които могат да се използват за незаконна цел.

Раздел II.
Вътрешни правила

Чл. 4. (1) Управителният орган на банката приема и прилага правила за организацията и управлението на банката, които включват най-малко:

1. подробно описание на управленската и организационната структура на банката, включително ясно разпределение на функциите и отговорностите между структурните звена, взаимоотношенията между тях и реда за вземане на решения;

2. изчерпателно посочване на правомощията и отговорностите на администраторите и на лицата, заемащи ключови позиции в банката, както и описание на изискванията за заемане на длъжностите, осигуряващи наличието на знания, умения и професионален опит, необходими за изпълнение на техните задължения;

3. стратегията и плана за дейността на банката, които отчитат нейните дългосрочни финансови интереси и платежоспособност;

4. политиката и структурата за управление и контрол на риска, включително определяне на рисковия апетит на банката;

5. реда за изготвяне и обхвата на управленската информация;

6. подходящи и надеждни системи за счетоводна и финансова отчетност, включително ефективна организация на финансовия и оперативния контрол;

7. ефективна рамка за вътрешен контрол, която включва независими служби за управление на риска, нормативно съответствие и вътрешен одит;

8. политика за установяване, управление и предотвратяване на конфликти на интереси;

9. процедура за подаване на сигнали от служители за извършени нарушения в банката;

10. кодекса за етично поведение на администраторите и служителите, включващ високи етични и професионални стандарти, съответстващи на специфичните нужди и характеристики на банката;

11. системата за обучение, оценка и стимулиране на висшия ръководен персонал и служителите, изпълняващи контролни функции.

(2) Управителният орган на банката периодично преглежда и оценява правилата по ал. 1, като при установяване на непълноти, слабости и/или необходимост от тяхното подобряване приема изменения и допълнения в тях. Заключенията от оценката и предприетите мерки се отразяват в протокола от заседанието.

(3) При встъпване в длъжност членовете на управителните и контролните органи на банката и служителите на банката, спрямо които те се прилагат, се запознават с правилата по ал. 1, което се удостоверява писмено или по друг подходящ начин. Изискването по предходното изречение се прилага и при всяка следваща промяна в правилата.

(4) Надзорният съвет на банката, съответно членовете на съвета на директорите, които не са изпълнителни членове, наблюдава и контролира прилагането на политиките, правилата и процедурите за организацията и управлението на банката относно:

1. рисковата култура на банката;

2. счетоводната и финансовата отчетност;

3. рамката за вътрешен контрол;

4. политиката за установяване, управление и предотвратяване на конфликт на интереси;

5. годишния план за дейността на специализираната служба за вътрешен одит;

6. кодекса за етично поведение;

7. други въпроси, предвидени в устава и вътрешните актове на банката.

Чл. 5. (1) Управителният орган на банката изгражда разумна и последователна рискова култура съобразно рисковете, пред които е изложена банката, и нейния рисков апетит.

(2) Рисковата култура включва най-малко:

1. основните принципи, ценности и очаквания на управителните и контролните органи относно поемането и управлението на риска;

2. отговорността на служителите на всички нива да познават и разбират основните рискове, на които е изложена банката, нейния рисков апетит и капацитета ѝ за поемане на риск;

3. открита и конструктивна комуникация между служителите;

4. подходящи стимули при вземане на решения за поемане на рискове, съобразени с рисковия профил и дългосрочните цели на банката.

(3) Надзорният съвет на банката, съответно членовете на съвета на директорите, които не са изпълнителни членове, следи за последователното прилагане на рисковата култура.

Раздел III.
Конфликт на интереси

Чл. 6. (1) Всяка банка следва да осигури разделение на задълженията и създаване на подходящи информационни бариери във всички случаи, при които може да възникне конфликт на интереси, както и недопускане съвместяване на дейностите по одобряване, изпълнение и отчитане на операциите.

(2) Управителният орган на банката приема и прилага ефективна политика за установяване, управление и предотвратяване на съществуващи и потенциални конфликти на интереси между интересите на банката и частните интереси на служителите, включително на членовете на управителните и контролните органи, които могат да окажат негативно влияние върху изпълнението на техните задължения и отговорности, която включва:

1. посочване на случаите и взаимоотношенията, при които може да възникне конфликт на интереси, като финансови интереси (притежаване на акции или участия в дружества, които са клиенти на банката), взаимоотношения с лица, притежаващи квалифицирано дялово участие в банката, със служители на банката или с дружества, включени в обхвата на пруденциалната консолидация, с консултантски, одиторски и други дружества, с които банката има договорни отношения, както и случаите на потенциално политическо влияние;

2. условията и реда за докладване на всеки случай, който може да доведе или вече е довел до възникване на конфликт на интереси, включително звеното, на което се докладва, както и конкретни задължения на служителите в банката за незабавното му разкриване;

3. процедури, мерки и изисквания за документиране и отговорности за установяване и предотвратяване на конфликти на интереси, за оценка на тяхната значимост и за предприемане на действия за тяхното адресиране.

Раздел IV.
Процедура за подаване на сигнали

Чл. 7. (1) Всяка банка приема и прилага подходящи и ефективни писмени процедури за подаване на сигнали от нейните служители за действителни или потенциални нарушения в банката.

(2) Процедурите трябва да осигуряват:

1. наличието на самостоятелен и независим ред за подаване на сигнали, достъпен за всички служители на банката;

2. защита на личните данни за лицето, което подава сигнал за нарушението, и за лицето, за което се сигнализира, че е извършило нарушението;

3. докладване на постъпилите от служителите сигнали на управителния и/или контролния орган на банката и на други лица, на които са им възложени такива функции;

4. че сигналите са взети предвид от банката и при необходимост са изпратени на Българската народна банка или на други компетентни органи или лица;

5. защита от несправедливо третиране на служителите, които подават сигнали;

6. поверителност на подаваната информация, освен когато разкриването ѝ се изисква от закона в случаите на образувано административно или наказателно производство;

7. документиране на сигналите и проследяване на резултатите от проверките по всеки от тях.

(3) Банката е длъжна да осигури възможност за анонимно докладване съгласно ал. 2, т. 3, ако е поискано от служителя, подал сигнала.

Глава трета.
РАМКА ЗА ВЪТРЕШЕН КОНТРОЛ

Раздел I.
Общи положения

Чл. 8. (1) Рамката за вътрешен контрол на всяка банка включва:

1. организация на оперативния контрол;

2. структура за управление на риска;

3. служба за нормативно съответствие;

3а. (нова - ДВ, бр. 12 от 2024 г.) служба за нормативно съответствие във връзка с превенцията на изпирането на пари и финансирането на тероризма (ПИП/ПФТ);

4. система за вътрешен одит.

(2) Рамката за вътрешен контрол трябва да обхваща цялата вътрешна организация, включително отговорностите на управителните и контролните органи на банката, дейностите на всички бизнес линии и структурни звена, в това число службите за вътрешен контрол и възлагането на дейности на външни изпълнители.

(3) Всяка банка осигурява ясен, прозрачен и документиран процес за вземане на решения и ясно разпределение на правомощията и отговорностите, които се обхващат от рамката за вътрешен контрол.

(4) Рамката за вътрешен контрол трябва да осигурява:

1. ефективни и ефикасни операции;

2. разумно осъществяване на дейността;

3. адекватно идентифициране, измерване и редуциране на рисковете;

4. надеждност на финансовата и нефинансовата информация и на отчетността;

5. сигурни административни и счетоводни процедури;

6. спазване на законовите и подзаконовите актове, надзорните изисквания и приетите от банката вътрешни политики, правила, процедури и решения.

Раздел II.
Отчетност и информация

Чл. 9. Всяка банка поддържа надеждна система за отчетност и информация, която следва най-малко да осигурява своевременен достъп до информация съобразно правомощията на длъжностните лица, и нейното движение:

1. във възходящ ред - за информиране на ръководството относно операциите, рисковете и текущото състояние на банката;

2. в низходящ ред - за информиране на служителите относно целите и задачите на банката, както и за утвърдените от ръководството политики, правила и решения;

3. в хоризонтален ред - за доставяне и обмен на необходимата информация между отделните структурни и функционални звена на банката.

Чл. 10. (1) Всички банкови сделки и операции се регистрират своевременно и изчерпателно в хронологичен ред.

(2) Банките водят досиета на сделките по видове операции, клиенти и други избрани от тях критерии на хартиен и/или електронен носител.

Чл. 11. Банковите досиета следва да съдържат:

1. опис на документите в досието;

2. вътрешни банкови документи, протоколи, споразумения, договори и др.;

3. финансова и друга информация относно клиентите и пазара;

4. други документи и информация от съществено значение за банката.

Чл. 12. (1) За защита на информацията при използването на информационни и комуникационни технологии управителният орган на банката осигурява разграничаване на:

1. дейностите по разработване, внедряване и изменение на информационни и комуникационни технологии, както и тяхното администриране и поддръжка;

2. правата за достъп до информация.

(2) Управителният орган на банката осигурява въвеждането и прилагането на подходящи контролни механизми за оценка и управление на операционния риск, свързан с надеждността и сигурността на информационните и комуникационните технологии.

Чл. 13. (1) Управителният орган на банката приема вътрешни правила за работа с информационни и комуникационни технологии, които следва да ограничават:

1. грешки при разработване и изменение на програмни продукти, администриране и ползване на бази данни;

2. прекъсвания на работата вследствие на вътрешни и/или външни фактори;

3. измами и неразрешен достъп до информация.

(2) Банките актуализират своите вътрешни правила и процедури за работа с информационни и комуникационни технологии в съответствие с прилаганите от тях технологии и свързаните с тях рискове.

Раздел III.
Структура за управление на риска

Чл. 14. (1) Всяка банка поддържа подходяща структура за управление на риска, която включва:

1. идентифициране, оценка и измерване на всички рискове за банката, както и на вътрешните и външните източници на риск;

2. измерване и наблюдение на риска и моделите за оценка на рисковете;

3. наблюдение и периодична оценка за съответствие на вътрешните правила за управление на риска съобразно пазарните условия и добрите банкови практики;

4. политики и процедури за оценка на риска, определяне и спазване на лимити по отношение на риска, както и за допускане на изключения в случаи на извънредни ситуации;

5. обхват, структура и честота на изготвяне на отчетността за риска;

6. рискова култура.

(2) Изискванията към структурата за управлението на риска се уреждат с Наредба № 7 на БНБ за организацията и управлението на рисковете в банките (ДВ, бр. 40 от 2014 г.).

Раздел IV.
Нормативно съответствие

Чл. 15. (1) Всяка банка създава служба за нормативно съответствие, която осигурява адекватно идентифициране, измерване и управление на риска, свързан с нормативното съответствие.

(2) Службата за нормативно съответствие трябва да е независима от бизнес линиите и структурните звена, попадащи в обхвата на дейностите, които тя наблюдава и контролира.

(3) (Изм. - ДВ, бр. 12 от 2024 г.) Службата за нормативно съответствие се ръководи от лице с добра репутация, висше юридическо или икономическо образование и най-малко 5 години професионален опит по специалността в лица по § 1, т. 2 - 5 от допълнителните разпоредби на Наредба № 20 от 2019 г. за изискванията към членовете на управителния и контролния орган на кредитна институция, както и за оценка на тяхната пригодност и на лицата, заемащи ключови позиции (ДВ, бр. 40 от 2019 г.).

(4) Службата за нормативно съответствие трябва да разполага с подходящ статут и с достатъчно правомощия и ресурси за изпълнение на своите функции, включително достъп до цялата информация, която ѝ е необходима за осъществяване на нейната дейност.

(5) Службата за нормативно съответствие:

1. идентифицира и измерва риска, свързан с нормативното съответствие, на който банката е изложена или може да бъде изложена;

2. извършва редовна оценка на промените в законовите и подзаконовите актове, приложими за банката, и влиянието, което имат върху дейността ѝ;

3. консултира управителния и контролния орган на банката при приемането на мерки за постигане на съответствие с приложимите закони, правила, разпоредби и стандарти и изготвя оценка на въздействието на промените в нормативните и регулаторните изисквания върху дейността на банката;

4. извършва проверка за съответствието на всички нови продукти и нови процедури със закона и приложимите нормативни актове;

5. докладва относно риска, свързан с нормативното съответствие на управителните и контролните органи;

6. сътрудничи и обменя информация със структурата за управление на риска относно риска, свързан с нормативното съответствие, и неговото управление.

(6) Управителният орган на банката приема вътрешни правила и годишен план за дейността на службата за нормативно съответствие.

Раздел IV "а".
Нормативно съответствие във връзка с ПИП/ПФТ
(Нов - ДВ, бр. 12 от 2024 г.)

Чл. 15а. (Нов - ДВ, бр. 12 от 2024 г.) (1) Всяка банка създава служба за нормативно съответствие във връзка с ПИП/ПФТ, която осигурява адекватно идентифициране, измерване и управление на риска, свързан с нормативното съответствие в тази област.

(2) Службата по ал. 1 трябва да е независима от бизнес линиите и структурните звена, попадащи в обхвата на дейностите, които тя наблюдава и контролира.

(3) Службата по ал. 1 се ръководи от лице, което притежава:

1. добра репутация, висше юридическо или икономическо образование и най-малко 5 години професионален опит по специалността в лица по § 1, т. 2 - 5 от допълнителните разпоредби на Наредба № 20 от 2019 г. за изискванията към членовете на управителния и контролния орган на кредитна институция, както и за оценка на тяхната пригодност и на лицата, заемащи ключови позиции, включително познаване на приложимата правна и регулаторна рамка в областта на ПИП/ПФТ, идентифициране, оценка и управление на рисковете от ИП/ФТ и прилагане на политиките, механизмите за контрол и процедурите за ПИП/ПФТ;

2. достатъчно знания и разбиране за рисковете от ИП/ФТ, свързани с бизнес модела на банката, необходими, за да изпълнява ефективно функциите си;

3. достатъчно време, за да изпълнява функциите си ефективно, независимо и автономно.

(4) Лицето по ал. 3 следва да бъде назначено на длъжност с ръководни функции и да разполага с достатъчни правомощия да предлага по собствена инициатива на вниманието на управителния и на контролния орган на банката всички необходими и подходящи мерки за осигуряване на нормативно съответствие и ефективност на вътрешните процедури за ПИП/ПФТ.

(5) Банката следва да осигури непрекъсваемостта на дейността на службата по ал. 1, както и да определи заместник на лицето по ал. 3, който по нейна преценка притежава необходимите знания, умения и експертен опит за изпълнение на функциите на това лице.

(6) Службата по ал. 1 трябва да разполага с подходящ статут и с достатъчно правомощия и ресурси за изпълнение на своите функции, включително достъп до цялата информация, която ѝ е необходима за осъществяване на нейната дейност.

(7) Службата по ал. 1 изпълнява най-малко следните функции:

1. идентифицира и измерва риска, свързан с нормативното съответствие в областта на ПИП/ПФТ, на който банката е изложена или може да бъде изложена;

2. извършва редовна оценка на промените в законовите и подзаконовите актове, приложими за банката, и влиянието, което имат върху дейността ѝ;

3. консултира управителния и контролния орган на банката при приемането на мерки за постигане на съответствие с приложимите закони, правила, разпоредби и стандарти в областта на ПИП/ПФТ и изготвя оценка на въздействието на промените в нормативните и регулаторните изисквания върху дейността на банката;

4. извършва проверка за съответствието на всички нови продукти и нови процедури с приложимите нормативни актове;

5. докладва резултатите от оценката на рисковете за цялата дейност и индивидуалните оценки на рисковете от ИП/ФТ, свързани с нормативното съответствие в областта на ПИП/ПФТ, на управителните и контролните органи на банката и предлага мерки, които следва да се предприемат за ограничаване на тези рискове;

6. сътрудничи и обменя информация със структурите за управление на риска и нормативно съответствие относно риска, свързан с нормативното съответствие в областта на ПИП/ПФТ, и неговото управление.

(8) Управителният орган на банката приема вътрешни правила и годишен план за дейността на службата по ал. 1.

(9) Лицето по ал. 3 изготвя отчет за дейността на службата по ал. 1 най-малко веднъж годишно. Съдържанието на отчета следва да е съобразено с мащаба и естеството на дейностите на банката, включително нейните клонове и дъщерни дружества.

Чл. 15б. (Нов - ДВ, бр. 12 от 2024 г.) (1) Съобразено с големината, естеството, мащаба и сложността на извършваните от банката дейности и на рисковете, на които тя е изложена, управителният орган на банката би могъл да обедини службите по чл. 15 и 15а в единна структура. В такъв случай ръководителят на обединената служба следва да отговаря на изискванията по чл. 15, ал. 3 и чл. 15а, ал. 3, както и да е налице възможност той да отделя необходимото време за адекватно изпълнение на своите задължения.

(2) Когато управителният орган на банката прецени, че службите по чл. 15 и 15а следва да бъдат отделни, във вътрешните правила на банката трябва ясно да бъдат разпределени техните отговорности и правомощия.

Чл. 15в. (Нов - ДВ, бр. 12 от 2024 г.) (1) Управителният орган на банката определя един от членовете си за лице, отговорно за спазването на относимите изисквания за ПИП/ПФТ, като при това следва да установи и вземе под внимание потенциални конфликти на интереси и да предприеме стъпки за тяхното избягване или ограничаване.

(2) Лицето по ал. 1 трябва да отговаря на следните условия:

1. да притежава достатъчно знания, умения и опит по отношение на рисковете от ИП/ФТ и прилагането на политиките, механизмите за контрол и процедурите за ПИП/ПФТ с добро разбиране за бизнес модела на банката и сектора, в който тя осъществява дейността си;

2. да отделя достатъчно време и да разполага с достатъчно ресурси за ефективно изпълнение на задълженията си във връзка с ПИП/ПФТ.

Чл. 15г. (Нов - ДВ, бр. 12 от 2024 г.) Отговорностите на лицето по чл. 15в включват най-малко следното:

1. осигуряване, че политиките, процедурите и мерките за вътрешен контрол във връзка с ПИП/ПФТ са подходящи и пропорционални, като се вземат под внимание характеристиките на банката и рисковете от ИП/ФТ, на които е изложена;

2. извършване заедно с управителния орган на банката на преценка дали би било целесъобразно да се назначи отделен ръководител на службата за нормативно съответствие във връзка с ПИП/ПФТ, или е допустимо тази позиция да се съвместява с друга;

3. осигуряване, че се извършва периодично докладване пред управителния орган на банката относно дейностите, извършени от лицето по чл. 15а, ал. 3, и че на този орган се предоставят достатъчно всеобхватна и своевременна информация и данни относно рисковете от ИП/ФТ и съответствието във връзка с ПИП/ПФТ, които са му необходими за изпълнението на възложените му роля и функции; тази информация следва да обхваща и ангажиментите на банката по отношение на БНБ и комуникацията със звеното за финансово разузнаване, без да се засяга поверителността на докладите за съмнителни сделки и трансакции, и каквито и да е свързани с ИП/ФТ констатации на компетентния орган срещу банката, включително наложени надзорни мерки или административни наказания;

4. информиране на управителния орган на банката за всякакви сериозни или значителни проблеми и нарушения във връзка с ПИП/ПФТ и препоръчване на действия за отстраняването им;

5. осигуряване, че лицето по чл. 15а, ал. 3:

а) разполага с пряк достъп до цялата необходима за изпълнение на задачите му информация;

б) разполага с достатъчно човешки и технически ресурси и инструменти за подходящо изпълнение на възложените му задачи, и

в) е добре информирано за свързаните с ПИП/ПФТ инциденти и недостатъци, установени от системите за вътрешен контрол и от националните, а в случая на групи - чуждестранни, надзорни органи;

6. осигуряване, че всички опасения, изразени от лицето по чл. 15а, ал. 3, се преодоляват надлежно, а ако това не е възможно, същите се разглеждат от управителния орган на банката;

7. при банките с двустепенна система на управление - подробно докладване относно задачите в областта на ПИП/ПФТ, и редовно, а когато е необходимо - и незабавно, информиране на надзорния съвет на банката;

8. изготвяне на предложения до управителния орган за извършване на промени в организационната структура на службата за нормативно съответствие по чл. 15а при отчитане на обема на извършваните от нея дейности.

Чл. 15д. (Нов - ДВ, бр. 12 от 2024 г.) Управителният орган на банката:

1. одобрява цялостната стратегия за ПИП/ПФТ на банката, като упражнява и контрол върху нейното прилагане;

2. осигурява спазване на стратегията по т. 1 и необходимите човешки и технически ресурси за нейното изпълнение;

3. преглежда най-малко веднъж годишно отчета за дейността на лицето по чл. 15а, ал. 3 и получава по-често междинни актуализации за дейностите, които излагат банката на по-високи рискове от ИП/ФТ;

4. приема политики, правила и процедури за контрол и предотвратяване на ИП/ФТ за банката, които се прилагат от нейните клонове и дъщерни дружества.

Чл. 15е. (Нов - ДВ, бр. 12 от 2024 г.) Контролният орган на банката отговаря за упражняване на контрол и наблюдение над прилагането на рамката за вътрешно управление и вътрешен контрол, за да осигури съответствие с приложимите изисквания в контекста на дейностите по ПИП/ПФТ, като в тази връзка следва най-малко:

1. да бъде информиран за резултатите от оценката на риска от ИП/ФТ за цялата дейност на банката и рисковия ѝ профил;

2. да упражнява контрол и наблюдение доколко политиките и процедурите за ПИП/ПФТ са подходящи и ефективни с оглед рисковете от ИП/ФТ, на които е изложена банката, и да осъществява подходящи действия, за да се осигури, че се предприемат коригиращи мерки, когато е необходимо;

3. да преглежда най-малко веднъж годишно отчета за дейността на лицето по чл. 15а, ал. 3 и да получава по-често междинни актуализации за дейностите, които излагат банката на по-високи рискове от ИП/ФТ;

4. да оценява най-малко веднъж годишно ефективното функциониране на функцията, отговорна за нормативното съответствие във връзка с ПИП/ПФТ, включително като взема под внимание заключенията на евентуални свързани с ПИП/ПФТ вътрешни и/или външни одити, включително по отношение на целесъобразността на човешките и техническите ресурси, разпределени на лицето по чл. 15а, ал. 3.

Чл. 15ж. (Нов - ДВ, бр. 12 от 2024 г.) Контролният орган на банката следва да осигури, че лицето по чл. 15в:

1. разполага със знанията, уменията и опита, необходими за идентифициране, оценяване и управление на рисковете от ИП/ФТ, на които е изложена банката, и за прилагането на политиките, механизмите за контрол и процедурите за ПИП/ПФТ;

2. познава добре бизнес модела на банката и сектора, в който тя осъществява дейността си, както и степента, до която този бизнес модел излага банката на рискове от ИП/ФТ;

3. е своевременно информирано за решения, които може да засегнат рисковете, на които е изложена банката.

Чл. 15з. (Нов - ДВ, бр. 12 от 2024 г.) Контролният орган на банката следва да има достъп до и да взема предвид данни и информация с достатъчна степен на детайлност и качество, за да може да изпълнява ефективно функциите си във връзка с ПИП/ПФТ. Той следва да разполага най-малко със своевременен и пряк достъп до отчета за дейността на лицето по чл. 15а, ал. 3, отчета на функцията за вътрешен одит, констатациите и наблюденията на външни одитори, където е приложимо, както и констатациите на компетентните органи, съответни комуникации със звеното за финансово разузнаване и наложените надзорни мерки или санкции.

Раздел V.
Вътрешен одит. Специализирана служба за вътрешен одит

Подраздел I. Общи изисквания

Чл. 16. (1) Вътрешният одит е независима и обективна оценъчна дейност на банковите сделки и операции и системите за контрол за предоставяне на увереност и консултации, предназначена да подобрява дейността на банката.

(2) Вътрешният одит помага на банката да постигне целите си чрез прилагането на систематичен и дисциплиниран подход за оценяване и подобряване ефективността на процесите за управление на риска, контрол и управление.

(3) Всички дейности, включително възложените на външни изпълнители, всяко структурно звено и всеки процес в банката трябва да бъдат обект на вътрешен одит.

(4) Вътрешният одит се осъществява от специализирана служба за вътрешен одит, която подпомага органите на управление при вземане на решения и следи за тяхното изпълнение.

Чл. 17. (1) При изпълнение на своите функции специализираната служба за вътрешен одит проверява и оценява:

1. системата за изготвяне на отчетност и информация, полезността на изготвяните анализи, информационните и комуникационните технологии и качеството на данните;

2. законосъобразността на операциите, спазването на вътрешните правила и процедури и изпълнението на управленските решения;

3. съответствието на вътрешните контролни политики и процедури с нормативните и регулаторните изисквания, както и с решенията на управителните и контролните органи;

4. точността и ефективността на прилагането на вътрешните политики и процедури;

5. системите за управление на риска, методологиите за оценка на риска и адекватността на капитала;

6. целесъобразността, качеството и ефективността на контролните действия, извършвани от звената, отговарящи за оперативен контрол върху бизнес звената при извършване на сделки и операции, структурата за управление на риска и службата за нормативно съответствие;

7. надеждността и навременността на предоставяната на Българската народна банка отчетност;

8. защитата на активите на банката от безстопанственост и злоупотреби;

9. изпълнението на договорите и поетите ангажименти;

10. подбора и квалификацията на кадрите, както и съответствието на длъжностните характеристики и правомощията.

(2) При осъществяване на своята дейност служителите от специализираната служба за вътрешен одит (вътрешни одитори) имат право:

1. на неограничен достъп до:

а) служебните помещения и активите на банката;

б) решенията на органите за управление, комитетите и другите длъжностни лица и структури;

в) отчетността и информационните и комуникационните технологии;

2. да изискват и да събират сведения, справки и други документи във връзка с изпълнението на възложените им задачи;

3. да привличат експерти при извършване на специфични контролни действия.

(3) Вътрешните одитори не могат да имат правомощия и отговорности за дейностите и обектите, които проверяват, и тяхната длъжност не може да бъде съвместявана с други длъжности в банката.

(4) Администраторите и служителите на банката са длъжни да съдействат на вътрешните одитори при осъществяване на тяхната дейност.

(5) Извършваните от администратори и други лица с управленски функции прегледи и контролни действия в рамките на техните компетенции не могат да заместват функциите на вътрешния одит.

Чл. 18. (1) Вътрешните одитори следва да притежават:

1. професионални умения в прилагането на международните стандарти за професионална практика по вътрешен одит, процедурите и техниките за извършване на одит;

2. познания и опит в прилагането на счетоводните стандарти;

3. познания за принципите на управление и добрата банкова практика.

(2) От вътрешните одитори се изисква да се ръководят от установените правила и най-добри практики за етично поведение, да бъдат честни, обективни, усърдни, лоялни, както и да умеят да контактуват и да работят с хора.

Чл. 19. (1) (Изм. - ДВ, бр. 12 от 2024 г.) За ръководител на специализираната служба за вътрешен одит се избира лице с висока морална и професионална репутация, висше образование в сферата на правото, икономиката или информационните технологии и най-малко 5 години опит във вътрешния или външния одит, счетоводството, нормативното съответствие или управлението на риска в лица по § 1, т. 2 - 5 от допълнителните разпоредби на Наредба № 20 от 2019 г. за изискванията към членовете на управителния и контролния орган на кредитна институция, както и за оценка на тяхната пригодност и на лицата, заемащи ключови позиции.

(2) Ръководителят на специализираната служба за вътрешен одит не може да съвместява други длъжности в банката.

(3) Ръководителят на специализираната служба за вътрешен одит осигурява и отговаря за прилагането на международните стандарти за професионална практика по вътрешен одит и ефективността на вътрешната одиторска дейност.

Чл. 20. (1) Управителният орган на банката приема вътрешни правила и годишен план за дейността на специализираната служба за вътрешен одит.

(2) Годишният план по ал. 1 се приема по предложение на ръководителя на специализираната служба за вътрешен одит въз основа на рисковобазиран подход.

Чл. 21. (1) Вътрешните правила за дейността уреждат правомощията на вътрешните одитори, реда за извършване на контролни действия, тяхното документиране и докладване на резултатите.

(2) Вътрешните правила следва да осигуряват:

1. независимост и инициатива на ръководителя на специализираната служба за вътрешен одит при планиране и възлагане на проверки;

2. неограничен достъп до активите и информацията;

3. преки взаимоотношения на ръководителя на специализираната служба за вътрешен одит с органите за управление;

4. право на ръководителя на специализираната служба за вътрешен одит за подбор на вътрешните одитори в съответствие с изискванията за квалификация;

5. недопускане конфликт на интереси при изпълнение на задачите от вътрешните одитори;

6. условия за привличане на експерти при извършване на специфични контролни действия.

Чл. 22. (1) За изпълнение на годишния план ръководителят на специализираната служба за вътрешен одит изготвя необходимите разчети за ресурсите и одобрява програмите за изпълнение на конкретните контролни задачи.

(2) Всички процеси, обекти и системи за вътрешен одит следва да бъдат обхванати в рамките на един одитен период с продължителност не повече от три години. Честотата на вътрешния одит върху отделните процеси, обекти и системи за контрол се определя според значимостта им и риска за банката.

Подраздел II. Документиране на контролните действия и докладване на резултатите

Чл. 23. Всяка проверка или други контролни действия на вътрешните одитори приключват с изготвяне на доклад, който съдържа констатации и препоръки за предприемане на мерки срещу нарушения на законите и вътрешните правила и за отстраняване на слабости в дейността.

Чл. 24. (1) Ръководителят на специализираната служба за вътрешен одит в съответствие с международните стандарти за професионална практика по вътрешен одит утвърждава изисквания относно докладите и документите, изготвяни и събирани от вътрешните одитори.

(2) Събираната в хода на одитните действия информация следва да обосновава направените констатации, оценки и препоръки.

Чл. 25. (1) Докладът по чл. 23 се връчва на ръководителя на проверения обект, на ръководителя на структурното звено, включено в одитния процес, и на ръководителя на специализираната служба за вътрешен одит.

(2) Ръководителят на проверения обект представя обяснения и/или възражения относно направените констатации и препоръки в срокове, установени във вътрешните правила.

(3) По представените от ръководителя на проверения обект писмени обяснения или възражения вътрешните одитори дават заключение.

(4) След извършване на процедурите по предходните алинеи ръководителят на специализираната служба за вътрешен одит представя доклада и документите по ал. 2 и 3 на изпълнителните директори.

(5) Управителният орган и администраторите налагат мерки за отстраняване на констатираните нарушения и слабости и уведомяват за тях специализираната служба за вътрешен одит.

Чл. 26. (1) В случай на констатирани съществени нарушения и слабости или когато не са предприети достатъчни мерки за тяхното отстраняване, както и при нарушения и слабости, допуснати от изпълнителни директори или прокуристи, докладът се представя на съответния орган за управление.

(2) В случай на констатирани нарушения и слабости на органите за управление или ако в случаите по ал. 1 не са предприети достатъчни мерки от тези органи, докладът се представя на висшестоящия орган съгласно устава, както и на Българската народна банка.

Подраздел III. Годишен отчет за дейността

Чл. 27. (1) Ръководителят на специализираната служба за вътрешен одит представя на общото събрание на акционерите, съвета на директорите на банката, съответно на надзорния съвет и управителния съвет, годишен отчет за дейността на специализираната служба за вътрешен одит.

(2) Годишният отчет информира за основните резултати от одитните действия на вътрешните одитори, за предприетите мерки и тяхното изпълнение. Той обхваща и въпросите на организацията и основните задачи за решаване през следващата година и в перспектива.

Глава четвърта.
ОРГАНИЗАЦИЯ, УПРАВЛЕНИЕ И ВЪТРЕШЕН КОНТРОЛ НА КОНСОЛИДИРАНА ОСНОВА

Чл. 28. Органите за управление на банки, финансови холдинги, финансови холдинги със смесена дейност и холдинги със смесена дейност, върху които Българската народна банка осъществява надзор на консолидирана основа, осигуряват:

1. приемане и прилагане на ефективни и надеждни политики, правила и процедури за организацията и управлението;

2. поддържане на системи за контрол и прилагане на процедури в съответствие с изискванията на тази наредба по отношение на пряко и/или съвместно контролираните дружества, включително в тези, които не са обхванати от Закона за кредитните институции;

3. съвместимост и съгласуваност на системите за управление на риска на консолидирана основа; и

4. необходимия обхват управленска информация.

Чл. 29. Органите за управление на банките, финансовите холдинги, финансовите холдинги със смесена дейност и холдингите със смесена дейност са длъжни да поддържат вътрешни правила и системи за управление на риска и вътрешния одит, адекватни на организацията на групата и спецификата на контролираните предприятия.

Глава пета.
ВЗАИМООТНОШЕНИЯ С ОРГАНА ЗА БАНКОВ НАДЗОР

Чл. 30. (1) Българската народна банка оценява организацията, управлението, вътрешните правила и ефективността на вътрешния контрол в банките на индивидуална и консолидирана основа.

(2) Подуправителят, ръководещ управление "Банков надзор", или упълномощени от него лица и ръководителят на специализираната служба за вътрешен одит провеждат периодични обсъждания и консултации относно рисковете от дейността на банката, мерките, които следва да бъдат предприети, както и взаимоотношенията с одиторските дружества, които извършват независим финансов одит на банката съгласно чл. 76, ал. 1 от Закона за кредитните институции.

Чл. 31. (1) Ръководителят на специализираната служба за вътрешен одит незабавно информира Българската народна банка за установени нарушения или слабости в управлението на банката, които са довели или могат да доведат до съществени вреди за банката.

(2) Банките, финансовите холдинги, финансовите холдинги със смесена дейност и холдингите със смесена дейност представят на Българската народна банка годишните отчети за дейността на вътрешния одит и при поискване доклади от извършени проверки и други контролни действия.

Допълнителни разпоредби

§ 1. По смисъла на тази наредба:

1. "Международни стандарти за професионална практика по вътрешен одит" са Международните стандарти за професионална практика по вътрешен одит, издадени от Глобалния институт на вътрешните одитори, САЩ, и техният превод на български език, публикувани от Института на вътрешните одитори в България.

2. "Рисков апетит" е съвкупното ниво на общия риск и на отделните видове риск, които банката е готова да поеме или поддържа в рамките на своя рисков капацитет в съответствие със своя бизнес модел за постигане на стратегическите си цели.

3. "Рискова култура" са нормите, отношението и поведението на управителните органи и служителите на банката, свързани с осведомеността за рисковете, поемането и управлението на риска, както и за контролните механизми, които формират решенията, свързани с риска.

4. "Риск, свързан с нормативно съответствие" е рискът от налагане на мерки и санкции, както и рискът от реализиране на съществени финансови загуби или от увреждане на репутацията на банката поради неспазване на закона, стандарти, етични кодекси за поведение и вътрешни правила, приложими към дейността на банката.

5. (нова - ДВ, бр. 12 от 2024 г.) "Риск, свързан с нормативно съответствие в областта на ПИП/ПФТ" е рискът от налагане на мерки и санкции в тази област, както и рискът от реализиране на съществени финансови загуби или от увреждане на репутацията на банката, поради неспазване на закона, насоките, препоръките и другите мерки на европейските надзорни органи, приети за спазване от БНБ на основание чл. 79а, ал. 1, т. 2 от Закона за кредитните институции, стандарти, етични кодекси за поведение и вътрешни правила, приложими към дейността на банката.

Преходни и Заключителни разпоредби

§ 2. Банките са длъжни да приведат дейността си в съответствие с изискванията на наредбата в тримесечен срок от влизането ѝ в сила.

§ 3. Наредбата се издава на основание чл. 11а, ал. 1, чл. 73, ал. 6 и чл. 74, ал. 3 и 4 във връзка с § 13 от преходните и заключителните разпоредби на Закона за кредитните институции и е приета с Решение № 149 от 24 април 2019 г. на Управителния съвет на Българската народна банка.

§ 4. Тази наредба отменя Наредба № 10 от 2003 г. за вътрешния контрол в банките (обн., ДВ, бр. 108 от 2003 г.; изм., бр. 102 от 2006 г.).

Преходни и Заключителни разпоредби
КЪМ НАРЕДБА ЗА ИЗМЕНЕНИЕ И ДОПЪЛНЕНИЕ НА НАРЕДБА № 10 ОТ 2019 Г. ЗА ОРГАНИЗАЦИЯТА, УПРАВЛЕНИЕТО И ВЪТРЕШНИЯ КОНТРОЛ В БАНКИТЕ

(ОБН. - ДВ, БР. 12 ОТ 2024 Г.)

§ 7. Банките привеждат дейността си в съответствие с изискванията на наредбата в срок до 31 декември 2024 г.

§ 8. В рамките на срока по § 7 банките представят в БНБ съответните вътрешни правила и процедури, необходими за осигуряване спазването на изискванията на раздел IVа от глава трета.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .