На главную страницу Ассоциация Страховой бизнес (АСБ)

НБУ встановив вимоги до управління ризиком третіх сторін у фінсекторі


02.07.2026 

НБУ встановив для банків і банківських груп, надавачів фінансових платіжних послуг та страховиків вимоги до управління ризиком третіх сторін, які передбачають перевірку постачальників і контроль за виконанням ними зобов’язань, повідомив регулятор.

Для банків і надавачів платіжних послуг такі контрагенти визначені як TPSP-постачальники (Third-Party Service Provider) – юридичні або фізичні особи-суб’єкти господарювання, які безпосередньо надають установам послуги. Від роботи окремих таких постачальників можуть залежати безперервність діяльності фінансової установи, виконання нею зобов’язань, кібербезпека та збереження інформації.

Критичною вважатиметься послуга, відмова або збій у наданні якої може суттєво вплинути на безперервність роботи установи, виконання критичних функцій або дотримання законодавства.

Банки до 31 грудня 2026 року мають перевірити чинні договори з TPSP-постачальниками на відповідність законодавчим обмеженням, зокрема щодо зв’язків самих контрагентів та їхніх кінцевих бенефіціарів із державою-агресором, застосування до них санкцій та включення до переліку осіб, пов’язаних із терористичною діяльністю.

У разі виявлення невідповідності банк повинен припинити договірні відносини у найкоротший строк або розробити план поетапного скорочення обсягу послуг і завершення співпраці. Такий план щодо критичного постачальника має затвердити рада банку, а щодо інших контрагентів – відповідний колегіальний орган не пізніше 31 березня 2027 року.

До 30 червня 2027 року банки та відповідальні особи банківських груп мають оновити внутрішні документи з управління ризиками й визначити перелік критичних TPSP-постачальників. Вимоги щодо таких контрагентів застосовуватимуться не пізніше ніж із 1 липня 2027 року, а щодо інших постачальників – із 30 червня 2028 року.

Перед укладенням критичного договору банки оцінюватимуть ділову репутацію TPSP-постачальника, його кінцевих бенефіціарних власників і керівників, прозорість структури власності, фінансову й операційну спроможність постачальника, можливу концентрацію послуг та його здатність забезпечити безперервність роботи.

Після укладення договору вони мають постійно контролювати, зокрема, відсутність ознак небездоганної ділової репутації у постачальника, його бенефіціарів і керівників.

Для кожного критичного TPSP-постачальника банк повинен мати окремі плани на випадок планового та раптового припинення надання критичної послуги й оновлювати їх щонайменше раз на рік.

Для цілей управління ризиком третіх сторін банки мають право не враховувати, зокрема, послуги обов’язкового аудиту, глобальної карткової інфраструктури, клірингу та розрахунків, міжнародних міжбанківських систем, банків-кореспондентів, а також сервіси, які не впливають на їхню операційну діяльність. Водночас ризики, пов’язані з отриманням таких послуг, банки повинні контролювати.

Платіжні установи, крім малих, установи електронних грошей, оператори поштового зв’язку з правом надавати фінансові платіжні послуги, а також філії відповідних іноземних установ повинні привести діяльність у відповідність до нових вимог до 31 березня 2027 року.

Вони мають оцінювати ризики на всіх етапах співпраці, перевіряти перед укладенням критичного договору ділову репутацію TPSP-постачальника, його кінцевих бенефіціарних власників і керівників, документувати результати перевірки, постійно контролювати їхню відповідність установленим вимогам і враховувати можливі збої в планах безперервності надання платіжних послуг.

У разі невідповідності постачальника законодавчим вимогам надавач платіжних послуг має припинити договірні відносини у найкоротший строк. Якщо критичний постачальник має ознаки небездоганної ділової репутації або не відповідає іншим вимогам, надавач може продовжити співпрацю чи підготувати план її поетапного припинення.

Страховики до 30 червня 2027 року повинні оновити внутрішні документи з аутсорсингу та внутрішнього контролю, плани безперервної діяльності й договори аутсорсингу, укладені до набрання постановою чинності.

Перед передаванням важливої функції на аутсорсинг страховик повинен перевірити наявність у потенційного виконавця необхідних дозволів, фінансових ресурсів, кваліфікованих працівників, систем управління ризиками та планів дій на випадок кризових ситуацій або збоїв.

Страховики також мають оцінювати конфлікти інтересів, ризик концентрації послуг, дотримання вимог щодо захисту інформації та персональних даних, а також передбачати відповідні зобов’язання аутсорсера в договорі.

Вимоги затверджено постановами правління НБУ №70, №72 і №73 від 30 червня, які набрали чинності 1 липня.

Як повідомлялося, ухвалення до кінця червня 2026 року нових вимог до управління ризиками, пов’язаними з третіми сторонами, у банках, небанківських фінансових установах і надавачах платіжних послуг було одним зі структурних маяків нової програми розширеного фінансування EFF Міжнародного валютного фонду для України.

Джерело:  Інтерфакс-Україна
URL новини:  https://interfax.com.ua/news/economic/1181553.html

«« Вернуться на первую страницу раздела