Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
Шрифт:
Интервал:
Закладка:
– определены ли в Стратегии вопросы развития ЭБ?
– выполняются ли планы, разработанные кредитной организацией, по развитию ЭБ?
– проводится ли кредитной организацией регулярный мониторинг степени достижения поставленных в Стратегии целей по развитию ЭБ?
– предусмотрены ли Стратегией процедуры своевременного реагирования на возможные действия конкурентов кредитной организации или появление новых технологических решений?
7.1.2. Роль совета директоров кредитной организации в организации внутреннего контроля
Важная роль в создании эффективной системы внутреннего контроля принадлежит СД кредитной организации. Поэтому, учитывая требования Положения Банка России от 16.12.2003 № 242-П «О порядке организации внутреннего контроля в кредитных организациях и банковских группах» [20] (далее – Положение № 242-П), к компетенции СД рекомендуется относить вопросы, приведенные в п. 1 Приложения 1 к Положению № 242-П.
С 2014 г. требования Банка России к организации внутреннего контроля в кредитных организациях изменились. В соответствии с новыми подходами, заложенными в разделах 4 и 4.1 Положения № 242-П, выделяются два уровня внутреннего контроля:
– служба внутреннего аудита (СВА), подотчетная СД банка;
– служба внутреннего контроля (СВК), подотчетная исполнительному органу банка.
Основной функцией СВК является выявление комплаенс-риска, то есть риска возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (регуляторный риск). Таким образом, СВК призвана содействовать менеджерам кредитной организации, решая тактические задачи предотвращения возможных рисков.
Инструментом контроля эффективности действий органов управления банка для акционеров является СВА. К ее функциям в том числе относятся:
– проверка и оценка эффективности системы внутреннего контроля в целом, выполнения решений органов управления кредитной организации (общего собрания акционеров (участников), СД (наблюдательного совета), исполнительных органов);
– проверка эффективности методологии оценки банковских рисков и процедур управления банковскими рисками, установленных внутренними документами кредитной организации, и полноты применения указанных документов;
– проверка надежности функционирования системы внутреннего контроля в отношении использования автоматизированных информационных систем;
– проверка процессов и процедур внутреннего контроля.
Таким образом, чтобы обеспечить эффективность мониторинга внутреннего контроля в области ЭБ со стороны СД, СВА обязана информировать СД о выявляемых при проведении проверок нарушениях (недостатках) по вопросам применения ЭБ, а также представлять СД информацию о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений в данной области. Для этого СВА разрабатывает планы проведения проверок, которые утверждаются СД.
В СД и СВА целесообразно присутствие специалистов, имеющих образование в области информационных технологий.
При наличии таких специалистов в составе СД его члены могут проверить и оценить соответствие организации и функционирования внутреннего аудита в области ЭБ содержанию деятельности кредитной организации, а также принять обоснованные стратегические решения относительно:
– внедрения в кредитной организации новых технологий ЭБ;
– ведения соответствующей маркетинговой политики;
– определения тарифных планов;
– содержания договоров с клиентами, контрагентами и провайдерами.
Внедрение технологий ЭБ существенно повышает квалификационные требования к высшему руководству кредитной организации. Поэтому сотруднику из состава высшего руководства кредитной организации, в круг ответственности которого входят вопросы организации управления информационными технологиями, рекомендуется проходить периодическую подготовку (переподготовку) по вопросам ДБО и особенностей его применения.
Оценивая роль СД кредитной организации в организации внутреннего контроля, необходимо учитывать следующее:
– предусмотрено ли внутренними документами кредитной организации отнесение к компетенции СД вопросов, приведенных в п. 1 Приложения 1 к Положению № 242-П?
– рассматривает ли СД вопросы организации внутреннего аудита и внутреннего контроля и меры повышения их эффективности с учетом особенностей деятельности кредитной организации с применением СЭБ?
– принимались ли СД решения (меры) для обеспечения оперативного выполнения рекомендаций исполнительным органом кредитной организации и устранения замечаний СВА по применению СЭБ?
– утверждены ли СД планы проверок СВА?
– предоставляет ли СВА не реже одного раза в год отчет о выполнении плана проверок?
– информирует ли СВА совет директоров о выявляемых при проведении проверок нарушениях (недостатках) в области применения СЭБ?
– представляет ли СВА совету директоров информацию о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений в области применения СЭБ?
– имеется ли в составе высшего руководства банка куратор по информационным технологиям, получивший образование в области информационных технологий или прошедший специальную переподготовку по данному направлению деятельности?
7.1.3. Общие процедуры организации внутреннего аудита и внутреннего контроля
7.1.3.1 Документарное обеспечение системы внутреннего контроля
В руководствах зарубежных органов банковского регулирования и надзора, а также в нормативных актах Банка России особое внимание уделяется качеству документов, которые необходимо разработать в целях обеспечения банковской деятельности.
В соответствии со ст. 10 и 24 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» [47] в уставе кредитной организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях.
Для организации эффективной работы системы внутреннего контроля должны быть утверждены Положение о системе внутреннего контроля, Положение о СВА и Положение о внутреннем контроле.
Положение о СВА должно определять:
– цели и сферу деятельности СВА;
– принципы и методы деятельности СВА, отвечающие требованиям данного Положения;
– статус СВА в организационной структуре кредитной организации, ее задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями кредитной организации, в том числе осуществляющими контрольные функции;
– подчиненность и подотчетность руководителя СВА совету директоров;
– обязанность руководителя СВА информировать о выявляемых при проведении проверок нарушениях и недостатках совет директоров, единоличный и коллегиальный исполнительные органы и руководителя структурного подразделения кредитной организации, в котором проводилась проверка;
– обязанность руководителя СВА информировать совет директоров, единоличный и коллегиальный исполнительные органы о всех случаях, которые препятствуют осуществлению СВА своих функций;
– обязанность служащих СВА информировать руководителя СВА о всех случаях, которые препятствуют осуществлению СВА своих функций.
В соответствии с Положением № 242-П кредитная организация обязана обеспечить постоянство деятельности, независимость и беспристрастность СВА, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления СВА своих функций.
СВА должна состоять из служащих, входящих в штат кредитной организации. При этом должна быть обеспечена независимость СВА, то есть должен быть определен порядок, при котором СВА:
– действует под непосредственным контролем СД;
– не осуществляет деятельность, подвергаемую проверкам;
– по собственной инициативе докладывает СД о вопросах, возникающих в ходе осуществления СВА своих функций, и предложениях по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительным органам кредитной организации.
Во внутренних документах кредитной организации должны быть предусмотрены:
– подотчетность руководителя СВА совету директоров кредитной организации;
– право руководителя СВА взаимодействовать с соответствующими руководителями кредитной организации (ее подразделений) для оперативного решения вопросов и устанавливать порядок такого взаимодействия;
– невозможность функционального подчинения руководителю (его заместителям) СВА иных подразделений кредитной организации, а также совмещения служащими СВА (включая руководителя и его заместителей) своей деятельности с деятельностью в других подразделениях кредитной организации.
Кредитная организация должна обеспечить беспристрастность СВА, в том числе решение поставленных перед СВА задач без вмешательства со стороны органов управления, подразделений и служащих кредитной организации, не являющихся служащими СВА.
Положение о СВК[124], регулирующее деятельность данного подразделения, утверждается единоличным исполнительным