Глава първа
ОБЩИ ПОЛОЖЕНИЯ
Предмет
Чл. 1.
(1) С наредбата се определят изискванията към организацията и дейността на вътрешния контрол в банките и банковите групи.
(2) Разпоредбите на наредбата се прилагат и за клоновете на чуждестранни банки.
Чл. 2.
(1) Вътрешният контрол е непрекъснат процес, осъществяван от органите за управление и от лицата, заети с вътрешноконтролни функции.
(2) Вътрешният контрол по смисъла на тази наредба се разглежда като съвкупност от системи за контрол, които да осигуряват:
1. постигане на целите и задачите;
2. икономичното и ефективно използване на ресурсите;
3. адекватен контрол на различните рискове;
4. опазване на активите;
5. надеждност и цялостност на финансовата и управленската информация; и
6. законосъобразност на дейността, съблюдаване на политиката, плановете, вътрешните правила и процедури.
Глава втора
СИСТЕМИ ЗА ВЪТРЕШЕН КОНТРОЛ
Раздел I
Общи изисквания
Чл. 3.
(1) Организацията на вътрешния контрол в банките следва да съответства на:
1. обема на извършваните операции;
2. разнообразието на сделките и видовете рискове, произтичащи от тях;
3. степента и обхвата на упражнявания от ръководството контрол върху дейността;
4. обхвата и надеждността на отчетността и информацията.
(2) Организацията на вътрешния контрол се подчинява на изискванията за икономичност, ефективност и разумна достатъчност на контрола.
Чл. 4. Елементи на вътрешния контрол са системите за:
1. управленски контрол;
2. контрол на риска;
3. отчетност и информация; и
4. вътрешен одит.
Раздел II
Управленски контрол
Чл. 5. Компетентният орган за управление на банката приема и периодично преглежда:
1. организационната структура на банката;
2. (изм., ДВ, бр. 102 от 2006 г. - в сила от деня на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) реда за определяне и делегиране на правомощията и отговорностите на администраторите;
3. стратегията и плана за дейността на банката;
4. (изм., ДВ, бр. 102 от 2006 г. - в сила от деня на влизане в сила на Договора за присъединяване на Република България към Европейския съюз) политиката за управление и контрол на риска;
5. реда за изготвяне и обхвата на управленската информация;
6. организацията на оперативния контрол, вкл. правилата и процедурите по одобряване, изпълнение и отчитане на операциите;
7. вътрешните правила и процедури за наблюдение на риска и ефективността на контролните системи и докладване на установените слабости в организацията и дейността на структурните звена;
8. кодекса за етично поведение на администраторите и служителите;
9. системата за обучение, оценка и стимулиране на лицата, заети с контролни функции.
Чл. 6. Компетентният орган за управление следва да осигури разделение на задълженията във всички случаи, при които може да възникне конфликт на интереси, както и недопускане съвместяване на дейностите по одобряване, изпълнение и отчитане на операциите.
Раздел III
Контрол на риска
Чл. 7. Всяка банка поддържа подходяща система за контрол на риска, която включва:
1. определяне на количествено измеримите и неизмеримите за банката рискове, както и на вътрешните и външните източници на риск;
2. управление на риска и моделите за оценка на рисковете;
3. периодичен преглед на рисковата матрица на банката;
4. наблюдение и периодична оценка за съответствие на вътрешните правила за управление на риска, съобразно пазарните условия и добрата банкова практика;
5. ред и процедури за оценка на риска, определяне и спазване на рисковите лимити, както и за допускане на изключения в случаи на извънредни ситуации;
6. вид, структура и периодичност на отчетите за риска.
Раздел IV
Отчетност и информация
Чл. 8. Всяка банка поддържа система за отчетност и информация, която следва най-малко да осигурява бърз достъп до информация съобразно правомощията на длъжностните лица, и нейното движение:
а) във възходящ ред - за информиране на ръководството относно операциите, рисковете и текущото състояние на банката;
б) в низходящ ред - за информиране на служителите относно целите и задачите на банката, както и за утвърдените от ръководството политика, правила и решения;
в) в хоризонтален ред - за доставяне и обмен на необходимата информация между отделните структурни и функционални звена на банката.
Чл. 9.
(1) Всички банкови сделки и операции се регистрират своевременно и изчерпателно в хронологичен ред.
(2) Банките водят електронни файлове и досиета на сделките по видове операции, клиенти и други избрани от тях критерии.
Чл. 10. Банковите досиета следва да съдържат:
1. опис на документите в досието;
2. вътрешни банкови документи, протоколи, споразумения, договори и др.;
3. финансова и друга информация относно клиентите и пазара;
4. други документи и информация от съществено значение за банката.
Чл. 11.
(1) За защита на информацията при използването на електронни информационни системи ръководството осигурява разграничаване на дейностите по:
1. разработване, внедряване и изменение на електронни информационни системи;
2. поддръжка на електронни информационни системи;
3. администриране на електронни информационни системи; и
4. потребление на информация;
(2) Електронните информационни системи следва да осигуряват:
1. подходящи нива на достъп до информация съобразно правомощията на длъжностните лица;
2. адекватни контролни процедури и условия за извършване на вътрешен и външен одит.
Чл. 12.
(1) Компетентният орган за управление приема вътрешни правила за работа с електронни информационни системи, които следва да ограничават:
1. грешки при разработване и изменение на програмни продукти, администриране и ползване на база данни;
2. прекъсвания на работата вследствие на вътрешни и външни фактори;
3. измами и неразрешен достъп до информация.
(2) Банките актуализират своите вътрешни правила и процедури за работа с електронни информационни системи в съответствие с прилаганите от тях информационни технологии и свързаните с тях рискове.
Глава трета
ВЪТРЕШЕН ОДИТ. СПЕЦИАЛИЗИРАНА СЛУЖБА ЗА ВЪТРЕШЕН КОНТРОЛ
Раздел I
Общи изисквания
Чл. 13.
(1) Вътрешният одит е независима оценъчна дейност на банковите сделки и операции и системите за контрол, която се осъществява от специализирана служба за вътрешен контрол.
(2) Специализираната служба за вътрешен контрол подпомага органите на управление при вземане на решения и следи за тяхното изпълнение.
Чл. 14.
(1) При изпълнение на своите функции специализираната служба за вътрешен контрол проверява и оценява:
1. системата за отчетност и информация, полезността на изготвяните анализи, електронните информационни системи и верността на данните;
2. законосъобразността на операциите, спазването на вътрешните правила и процедури и изпълнението на управленските решения;
3. вътрешните контролни процедури при извършване на сделки;
4. резултатите и ефективността от дейността;
5. системите за управление на риска, методите за оценка на риска и достатъчността на капитала;
6. надеждността и навременността на надзорните отчети;
7. защитата на активите на банката от безстопанственост и злоупотреби;
8. изпълнението на договорите и поетите ангажименти;
9. подбора и квалификацията на кадрите, както и съответствието на длъжностните характеристики и правомощията.
(2) При осъществяване на своята дейност проверителите от специализираната служба за вътрешен контрол (вътрешни проверители) имат право:
1. на неограничен достъп до:
а) служебните помещения и активите на банката;
б) решенията на органите за управление и другите длъжностни лица;
в) отчетността и информационните системи;
2. да изискват и да събират сведения, справки и други документи във връзка с изпълнението на възложените им задачи;
3. да привличат експерти при извършване на специфични контролни действия.
(3) Вътрешните проверители не могат да имат правомощия и отговорности за дейностите и обектите, които проверяват, и тяхната длъжност не може да бъде съвместявана с други длъжности в банката.
(4) Администраторите и служителите на банката са длъжни да съдействат на вътрешните проверители при осъществяване на тяхната дейност.
(5) Извършваните от администратори и други лица с управленски функции прегледи и контролни действия в рамките на техните компетенции не могат да заместват функциите на вътрешния одит.
Чл. 15.
(1) Вътрешните проверители следва да притежават:
1. професионални умения в прилагането на стандартите за професионална практика на вътрешен одит, процедурите и техниките за извършване на одит;
2. познания и опит в прилагането на счетоводните стандарти;
3. познания за принципите на управление и добрата банкова практика.
(2) От вътрешните проверители се изисква да се ръководят от установените правила и най-добри практики за етично поведение, да бъдат честни, обективни, усърдни, лоялни, както и да умеят да контактуват и работят с хора.
Чл. 16.
(1) За ръководител на специализираната служба за вътрешен контрол се избира лице с висока морална и професионална репутация, и достатъчен банков и одиторски опит, необходим за тази длъжност.
(2) Ръководителят на специализираната служба за вътрешен контрол не може да съвместява други длъжности в банката.
(3) Ръководителят на специализираната служба за вътрешен контрол осигурява и отговаря за прилагането на принципите и стандартите за професионална практика на вътрешен одит и ефективността на вътрешната одиторска дейност.
Чл. 17. Компетентният орган за управление на банката приема вътрешни правила и годишен план за дейността на специализираната служба за вътрешен контрол.
Чл. 18.
(1) Вътрешните правила за дейността уреждат правомощията на вътрешните проверители, реда за извършване на контролни действия, тяхното документиране и докладване на резултатите.
(2) Правилата следва да осигуряват:
1. независимост и инициатива на ръководителя на специализираната служба за вътрешен контрол при планиране и възлагане на проверки;
2. неограничен достъп до активите и информацията;
3. преки взаимоотношения на ръководителя на специализираната служба за вътрешен контрол с органите за управление;
4. право на ръководителя на специализираната служба за вътрешен контрол за подбор на вътрешните проверители в съответствие с изискванията за квалификация;
5. недопускане конфликт на интереси при изпълнение на задачите от вътрешните проверители;
6. условия за привличане на експерти при извършване на специфични контролни действия.
Чл. 19.
(1) За изпълнение на годишния план ръководителят на специализираната служба за вътрешен контрол изготвя необходимите разчети за ресурсите и одобрява програмите за изпълнение на конкретните контролни задачи.
(2) Всички обекти на контрол следва да бъдат обхванати в рамките на един контролен период с продължителност не повече от две години. Честотата на контролните действия върху отделни обекти и системи за контрол се определя според значимостта им и риска за банката.
Раздел II
Документиране на контролните действия и докладване на резултатите
Чл. 20. Всяка проверка или други контролни действия на вътрешните проверители приключват с изготвяне на доклад, който съдържа констатации и препоръки за предприемане на мерки срещу нарушения на законите и вътрешните правила и за отстраняване на слабости в дейността.
Чл. 21.
(1) Ръководителят на специализираната служба за вътрешен контрол в съответствие с принципите и стандартите за професионална практика на вътрешен одит утвърждава изисквания относно докладите и документите, изготвяни и събирани от вътрешните проверители.
(2) Събираната в хода на контролните действия информация следва да обосновава направените констатации, оценки и препоръки.
Чл. 22.
(1) Докладът по чл. 20 се връчва на ръководителя на проверения обект и на ръководителя на специализираната служба за вътрешен контрол.
(2) Ръководителят на проверения обект представя обяснения и/или възражения относно направените констатации и препоръки в срокове, установени в правилата.
(3) По представените от ръководителя на проверения обект писмени обяснения или възражения вътрешните проверители дават заключение.
(4) След извършване на процедурите по предходните алинеи ръководителят на специализираната служба за вътрешен контрол представя доклада и документите по алинеи 2 и 3 на изпълнителните директори.
(5) Компетентните органи и администратори налагат мерки за отстраняване на констатираните нарушения и слабости и уведомяват за тях специализираната служба за вътрешен контрол.
Чл. 23.
(1) В случай на констатирани съществени нарушения и слабости или когато не са предприети достатъчни мерки за тяхното отстраняване, както и при нарушения и слабости, допуснати от изпълнителни директори или прокуристи, докладът се представя на компетентния орган за управление.
(2) В случай на констатирани нарушения и слабости на компетентния орган за управление или ако в случаите по ал. 1 не са предприети достатъчни мерки от този орган, докладът се представя на висшестоящия орган съгласно устава, както и на управление "Банков надзор" при Българска народна банка.
Раздел III
Годишен отчет за дейността
Чл. 24.
(1) Ръководителят на специализираната служба за вътрешен контрол представя на общото събрание на акционерите, съвета на директорите на банката, съответно на надзорния съвет и управителния съвет, годишен отчет за дейността на специализираната служба за вътрешен контрол.
(2) Годишният отчет информира за основните резултати от контролните действия на вътрешните проверители, за предприетите мерки и тяхното изпълнение. Той обхваща въпросите на организацията и основните задачи за решаване през следващата година и в перспектива.
Глава четвърта
ВЪТРЕШЕН КОНТРОЛ В БАНКОВИ ГРУПИ
Чл. 25. Органите за управление на банки, върху които се осъществява надзор на консолидирана основа, осигуряват:
1. поддържане на системи за контрол и прилагане на процедури в съответствие с изискванията на тази наредба по отношение на пряко и/или съвместно контролираните дружества;
2. съвместимост и съгласуваност на системите за оценка и контрол на риска на консолидирана основа; и
3. необходимия обхват управленска информация и реда за изготвяне на отчетите за надзор на консолидирана основа.
Чл. 26. Органите за управление в банките по чл. 25 са длъжни да осигуряват системи за контрол, адекватни на организацията на банковата група и спецификата на контролираните предприятия.
Глава пета
ВЗАИМООТНОШЕНИЯ С БАНКОВИЯ НАДЗОР
Чл. 27.
(1) Органите за банков надзор оценяват системите, организацията и ефективността на вътрешния контрол в банките и банковите групи.
(2) Органите за банков надзор и ръководителят на специализираната служба за вътрешен контрол провеждат периодични обсъждания и консултации относно рисковете от дейността на банката, мерките, които следва да бъдат предприети, както и взаимоотношенията с външните проверители.
Чл. 28.
(1) Ръководителят на специализираната служба за вътрешен контрол незабавно информира управление "Банков надзор" при Българска народна банка за установени нарушения или слабости в управлението на банката, които са довели или могат да доведат до съществени вреди.
(2) Банките и банковите групи представят на органите за банков надзор годишните отчети от дейността на вътрешния контрол и при поискване доклади от извършени проверки и други контролни действия.
ДОПЪЛНИТЕЛНИ РАЗПОРЕДБИ
§ 1. "Рисковата матрица" е таблица за оценяване на идентифицираните в банката рискове, където всеки риск се оценява за неговата вероятност от сбъдване и степен на влияние върху финансовото състояние на банката.
§ 2. "Стандарти за професионална практика на вътрешен одит" са стандартите, издадени от Института на вътрешните одитори, Алтамонти спрингс, Флорида - САЩ.
ПРЕХОДНИ И ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ
§ 3. Наредбата се издава на основание чл.59 във връзка с § 12 от преходните и заключителните разпоредби на Закона за банките и е приета с решение на УС на БНБ № 100 от 26.ХI.2003 г.
§ 4. Тази наредба отменя Наредба № 10 от 3.VI.1993 г. за вътрешния контрол в банките (ДВ, бр. 51 от 1993 г.).
§ 5. Банките са длъжни да приведат дейността си в съответствие с изискванията на тази наредба в шестмесечен срок от влизането й в сила.