Положение об организации внутреннего контроля в кредитных организациях и банковских группах

Обновлено: 23.06.2024

3.3. Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков.

3.3.1. Контроль за функционированием системы управления банковскими рисками кредитная организация осуществляет на постоянной основе в порядке, установленном внутренними документами.

3.3.2. Оценка банковских рисков предусматривает выявление и анализ внутренних (сложность организационной структуры, уровень квалификации служащих, организационные изменения, текучесть кадров и т.д.) и внешних (изменение экономических условий деятельности кредитной организации, применяемые технологии и т.д.) факторов, оказывающих воздействие на деятельность кредитной организации.

В общем и целом, ИТ и ИБ риски входят в категорию операционных рисков и поэтому должны нами обрабатываться.

Внутренними документами кредитной организации должен быть предусмотрен порядок информирования соответствующих руководителей о факторах, влияющих на повышение банковских рисков.

В документах по обработке рисков ИБ прописываем информирование подразделений банка о выявленных рисках.

3.3.3. Оценка банковских рисков в кредитной организации должна проводиться на консолидированной основе с учетом всех организаций, являющихся по отношению к ней дочерними или зависимыми.

Обработка рисков в банке должна быть для всех их видов, но имеем в виду, что риски ИБ это часть операционных рисков и поэтому мы должны их обрабатывать сами и возможно сообщать о них, тем кто занимается операционными рисками и тем, кто консолидирует все виды банковских рисков.

3.4.3. Кредитная организация должна установить порядок выявления и контроля за областями потенциального конфликта интересов, проверки должностных обязанностей служащих, занимающих должности, предусмотренные частью третьей статьи 11.1 Федерального закона "О банках и банковской деятельности", а также иных служащих кредитной организации, с тем, чтобы исключить возможность сокрытия ими противоправных действий.

Прописываем в правилах ИБ для персонала о недопустимости конфликта интересов и если таковые могут быть, то пусть будет права та сторона, что более выгодна для бизнеса.

3.5. Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности.

Хорошо, что есть расшифровка понятия информационных потоков, в противном случае можно было бы притянуть за уши и мандатный принцип контроля доступа. Далее идет детализация этих требований.

3.5.1. Информация по направлениям деятельности кредитной организации должна быть своевременной, надежной, доступной и правильно оформленной. Информация состоит из сведений о деятельности кредитной организации и ее результатах, данных о соблюдении установленных требований нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации, а также из сведений о событиях и условиях, имеющих отношение к принятию решений. Форма представления информации должна быть определена с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной организации).

Мое мнение, что конфиденциальность нужна банкам больше на словах, чем на деле. В действительности банкам более важна доступность, так как простой ориентированных на клиентов сервисов часто соотносится с прямыми финансовыми убытками. Здесь и говорится о доступности, а также о производных свойствах информации: своевременности и надежности.

Порядок контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации с учетом положений данного и других подпунктов пункта 3.5 настоящего Положения и должен распространяться на все направления ее деятельности.

3.5.2. Внутренний контроль за автоматизированными информационными системами и техническими средствами состоит из общего контроля и программного контроля.

3.5.3. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.

Это можно понимать как контроль доступности систем ( ping ), как контроль производительности систем (счетчики производительности), как контроль целостности систем и данных (хэш-функции), как протоколирование событий (логи). Сюда же использование кластеров (отказоустойчивых или с распределением нагрузки), сюда же резервирование по электропитанию и системы климат-контроля. Вообще, здесь широкое поле для творчества.

Общий контроль состоит из осуществляемых кредитной организацией процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа.

Делаем политики резервного копирования и восстановления данных. Должна быть техническая поддержка для всех важных подсистем банка. Физическая составляющая - это контроль доступа в здания и помещения банка, а также опечатка серверов и рабочих компьютеров.

3.5.4. Программный контроль осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т.п.).

Здесь можно смело рассуждать о двойном контроле, разделении обязанностей, разделении секретов и так далее.

3.5.5. Кредитная организация устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях.

НСД может быть осуществлен на любом уровне модели OSI , поэтому здесь можно говорить практически о чем угодно. Что касается распространения информации, то здесь можно говорить о DLP и о контроле потоков. Что касаемо использования конфиденциальной информации в личных целях, то это можно парировать и организационно, включив требования в правила для персонала.

3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.

Самое сложное, но зато интересное требование - должна быть политика по непрерывности бизнеса, а также регулярно тестируемый план действий в подобных ситуациях. Более чем уверен, что пока гром не грянет, банк не перекрестится. Для описания этого требования имеется даже отдельное приложение.

Приложение №5 целиком посвящено мерам по обеспечению непрерывности бизнеса, но это уже совсем другая история …

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

1. К компетенции совета директоров (наблюдательного совета) в дополнение к установленным Федеральным законом "О банках и банковской деятельности", Федеральным законом "Об акционерных обществах" и Федеральным законом "Об обществах с ограниченной ответственностью" рекомендуется отнесение следующих вопросов:

- создание и функционирование эффективного внутреннего контроля;

- регулярное рассмотрение на своих заседаниях эффективности внутреннего контроля и обсуждение с исполнительными органами кредитной организации вопросов организации внутреннего контроля и мер по повышению его эффективности;

- рассмотрение документов по организации системы внутреннего контроля, подготовленных исполнительными органами кредитной организации, службой внутреннего аудита, иными структурными подразделениями кредитной организации, аудиторской организацией, проводящей (проводившей) аудит;

- принятие мер, обеспечивающих оперативное выполнение исполнительными органами кредитной организации рекомендаций и замечаний службы внутреннего аудита, аудиторской организации, проводящей (проводившей) аудит, и надзорных органов;

- своевременное осуществление проверки соответствия внутреннего контроля характеру и масштабу осуществляемых операций, уровню и сочетанию принимаемых рисков.

Если в составе совета директоров (наблюдательного совета) образован комитет по аудиту, к его компетенции рекомендуется относить, в том числе, следующие вопросы:

- наблюдение за тем, чтобы системы и процессы внутреннего контроля охватывали такие сферы, как порядок составления и представления бухгалтерской (финансовой) и внутренней отчетности, мониторинг выполнения требований законодательства Российской Федерации, а также внутренних документов кредитной организации, эффективность совершаемых операций и других сделок, сохранность активов;

- мониторинг и анализ эффективности деятельности службы внутреннего аудита;

- анализ отчетов службы внутреннего аудита о выполнении планов проверок;

- оценка эффективности выполнения руководителем службы внутреннего аудита возложенных на него функций;

- подготовка рекомендаций органам управления кредитной организации по проведению внешних аудиторских проверок и выбору внешних аудиторов;

- обеспечение своевременного принятия мер по устранению недостатков в системе внутреннего контроля и нарушений требований законодательства Российской Федерации, внутренних документов кредитной организации, а также других недостатков, выявленных внешними аудиторами.

Информация об изменениях:

Указанием Банка России от 24 апреля 2014 г. N 3241-У в пункт 2 внесены изменения

2. К компетенции исполнительных органов рекомендуется отнесение следующих вопросов:

- установление ответственности за выполнение решений общего собрания акционеров и совета директоров (наблюдательного совета), реализацию стратегии и политики кредитной организации в отношении организации и осуществления внутреннего контроля;

- делегирование полномочий на разработку правил и процедур в сфере внутреннего контроля руководителям соответствующих структурных подразделений и контроль за их исполнением;

- проверка соответствия деятельности кредитной организации внутренним документам, определяющим порядок осуществления внутреннего контроля, и оценка соответствия содержания указанных документов характеру и масштабу осуществляемых операций;

- распределение обязанностей подразделений и служащих, отвечающих за конкретные направления (формы, способы осуществления) внутреннего контроля;

- рассмотрение материалов и результатов периодических оценок эффективности внутреннего контроля;

- создание эффективных систем передачи и обмена информацией, обеспечивающих поступление необходимых сведений к заинтересованным в ней пользователям. Системы передачи и обмена информацией включают в себя все документы, определяющие операционную политику и процедуры деятельности кредитной организации;

- создание системы контроля за устранением выявленных нарушений и недостатков внутреннего контроля и мер, принятых для их устранения.

3. Органам управления кредитной организации рекомендуется:

- оценивать риски, влияющие на достижение поставленных целей, и принимать меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки банковских рисков. Для эффективного выявления и наблюдения новых или не контролировавшихся ранее банковских рисков организация системы внутреннего контроля кредитной организации должна своевременно пересматриваться;

ГАРАНТ:

О совершении сделок со связанными с банком лицами и оценке рисков, возникающих при их совершении, см. Указание оперативного характера Банка России от 17 января 2005 г. N 2-Т

- обеспечить участие во внутреннем контроле всех служащих кредитной организации в соответствии с их должностными обязанностями;

- установить порядок, при котором служащие доводят до сведения органов управления и руководителей структурных подразделений кредитной организации (филиала) информацию обо всех нарушениях законодательства Российской Федерации, учредительных и внутренних документов, случаях злоупотреблений, несоблюдения норм профессиональной этики;

- принимать документы по вопросам взаимодействия службы внутреннего аудита с подразделениями и служащими кредитной организации и контролировать их соблюдение;

- исключить принятие правил и (или) осуществление практики, которые могут стимулировать совершение действий, противоречащих законодательству Российской Федерации, целям внутреннего контроля.

1. Общие положения

1.1. Для целей настоящего Положения используются следующие понятия:

Внутренний контроль - деятельность, осуществляемая кредитной организацией (ее органами управления, подразделениями и служащими) и направленная на достижение целей, определенных пунктом 1.2 настоящего Положения.

Система внутреннего контроля - совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, настоящим Положением, учредительными и внутренними документами кредитной организации.

Система органов внутреннего контроля - определенная учредительными и внутренними документами кредитной организации совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля.

1.2. Внутренний контроль осуществляется в целях обеспечения:

1.2.1. Эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками.

(в ред. Указания Банка России от 24.04.2014 N 3241-У)

(см. текст в предыдущей редакции)

Абзацы второй - четвертый утратили силу. - Указание Банка России от 24.04.2014 N 3241-У.

(см. текст в предыдущей редакции)

1.2.2. Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений).

1.2.3. Соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.

1.2.4. Исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России.

1.3. В кредитных организациях банковской группы внутренний контроль осуществляется в соответствии с правилами, установленными настоящим Положением для кредитной организации.

Головная кредитная организация банковской группы обеспечивает единство подходов к организации внутреннего контроля и несет ответственность за обеспечение его эффективной организации в кредитных организациях и некредитных финансовых организациях, являющихся участниками банковской группы.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

от 16 декабря 2003 г. N 242-П

ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ

В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ И БАНКОВСКИХ ГРУППАХ

Список изменяющих документов

(в ред. Указаний Банка России от 30.11.2004 N 1521-У,

от 05.03.2009 N 2194-У, от 24.04.2014 N 3241-У, от 04.10.2017 N 4564-У)

Настоящее Положение разработано на основании Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157; N 52, ст. 5032; 2004, N 27, ст. 2711; N 31, ст. 3233; 2005, N 25, ст. 2426; N 30, ст. 3101; 2006, N 19, ст. 2061; N 25, ст. 2648; 2007, N 1, ст. 9, ст. 10; N 10, ст. 1151; N 18, ст. 2117; 2008, N 42, ст. 4696, ст. 4699; N 44, ст. 4982; N 52, ст. 6229, ст. 6231; 2009, N 1, ст. 25; N 29, ст. 3629; N 48, ст. 5731; 2010, N 45, ст. 5756; 2011, N 7, ст. 907; N 27, ст. 3873; N 43, ст. 5973; N 48, ст. 6728; 2012, N 50, ст. 6954; N 53, ст. 7591, ст. 7607; 2013, N 11, ст. 1076; N 14, ст. 1649; N 19, ст. 2329; N 27, ст. 3438, ст. 3476, ст. 3477; N 30, ст. 4084; N 49, ст. 6336; N 52, ст. 6975) (далее - Федеральный закон "О Центральном банке Российской Федерации (Банке России)"), Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 1998, N 31, ст. 3829; 1999, N 28, ст. 3459, ст. 3469; 2001, N 26, ст. 2586; N 33, ст. 3424; 2002, N 12, ст. 1093; 2003, N 27, ст. 2700; N 50, ст. 4855; N 52, ст. 5033, ст. 5037; 2004, N 27, ст. 2711; N 31, ст. 3233; 2005, N 1, ст. 18, ст. 45; N 30, ст. 3117; 2006, N 6, ст. 636; N 19, ст. 2061; N 31, ст. 3439; N 52, ст. 5497; 2007, N 1, ст. 9; N 22, ст. 2563; N 31, ст. 4011; N 41, ст. 4845; N 45, ст. 5425; N 50, ст. 6238; 2008, N 10, ст. 895; N 15, ст. 1447; 2009, N 1, ст. 23; N 9, ст. 1043; N 18, ст. 2153; N 23, ст. 2776; N 30, ст. 3739; N 48, ст. 5731; N 52, ст. 6428; 2010, N 8, ст. 775; N 27, ст. 3432; N 30, ст. 4012; N 31, ст. 4193; N 47, ст. 6028; 2011, N 7, ст. 905; N 27, ст. 3873, ст. 3880; N 29, ст. 4291; N 48 ст. 6728, ст. 6730; N 49, ст. 7069; N 50, ст. 7351; 2012, N 27, ст. 3588; N 31, ст. 4333; N 50, ст. 6954; N 53, ст. 7605, ст. 7607; 2013, N 11, ст. 1076; N 19, ст. 2317, ст. 2329; N 26, ст. 3207; N 27, ст. 3438, ст. 3477; N 30, ст. 4084; N 40, ст. 5036; N 49, ст. 6336) (далее - Федеральный закон "О банках и банковской деятельности") и в соответствии с решением Совета директоров Банка России (протокол от 28 ноября 2003 года N 27) и устанавливает требования к системам внутреннего контроля в кредитных организациях и банковских группах, порядок оценки Банком России качества систем внутреннего контроля кредитных организаций и банковских групп, а также особенности осуществления Банком России надзора за соблюдением указанных требований.

Ревизии, проводимые Банком России и другими государственными органами, в первую очередь обращают внимание на качество внутреннего контроля в кредитной организации.

Правила организации внутреннего контроля в кредитных организациях и банковских группах установлены Положением ЦБР от 16 декабря 2003 года № 242-П. В соответствии со статьями 10 и 24 Федерального закона «О банках и банковской деятельности» в уставе кредитной организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях.

Внутренний контроль должны осуществлять в соответствии с полномочиями, определенными учредительными и внутренними документами кредитной организации:

- органы управления кредитной организации, предусмотренные ст.11.1 ФЗ «О банках и банковской деятельности»;

- ревизионная комиссия (ревизор);

- главный бухгалтер (его заместители) кредитной организации;

- руководитель (его заместители) и главный бухгалтер (его заместители) филиала кредитной организации;

- подразделения и служащие, осуществляющие внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами кредитной организации, а именно:

1) служба внутреннего контроля – структурное подразделение кредитной организации;

2) ответственный сотрудник (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

3) иные структурные подразделения и (или) ответственные сотрудники кредитной организации, к которым могут относиться:

контролер профессионального участника рынка ценных бумаг;

ответственный сотрудник по правовым вопросам.

В зависимости от специфики решаемых задач внутренний контроль в коммерческих банках подразделяется на:

Административный контроль – контроль за обеспечением процесса распределения деятельности сотрудников во времени в строгом соответствии с определенными руководством кредитной организации полномочиями в принятии решений;

Бухгалтерский контроль – контроль за наличием системы учета ресурсов и результатов финансово-хозяйственной деятельности (ответственность за формирование учетной политики, достоверность бухгалтерской отчетности несет главный бухгалтер банка);

Финансовый контроль – контроль за наличием и движением денежных средств, обеспечивающий обработку, обобщение и передачу информации руководству банка для принятия экономических решений;

Правовой контроль – контроль за соответствием финансово-хозяйственной деятельности и проводимых банковских операций требованиям нормативных и законодательных актов с целью обеспечения минимизации риска;

Управленческий контроль – обеспечение контролирования и координации деятельности отдельных подразделений и кредитной организации в целом посредством процедур и методов оценки управленческих решений, систем управления рисками и информационных систем;

Технологический контроль – обеспечение соответствия проводимых кредитной организацией операций утвержденным регламентам и процедурам.

Автор статьи

Куприянов Денис Юрьевич

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: