Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Важная роль в создании эффективной системы внутреннего контроля принадлежит СД кредитной организации. Поэтому, учитывая требования Положения Банка России от 16.12.2003 № 242-П «О порядке организации внутреннего контроля в кредитных организациях и банковских группах» [20] (далее – Положение № 242-П), к компетенции СД рекомендуется относить вопросы, приведенные в п. 1 Приложения 1 к Положению № 242-П.

С 2014 г. требования Банка России к организации внутреннего контроля в кредитных организациях изменились. В соответствии с новыми подходами, заложенными в разделах 4 и 4.1 Положения № 242-П, выделяются два уровня внутреннего контроля:

– служба внутреннего аудита (СВА), подотчетная СД банка;

– служба внутреннего контроля (СВК), подотчетная исполнительному органу банка.

Основной функцией СВК является выявление комплаенс-риска, то есть риска возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (регуляторный риск). Таким образом, СВК призвана содействовать менеджерам кредитной организации, решая тактические задачи предотвращения возможных рисков.

Инструментом контроля эффективности действий органов управления банка для акционеров является СВА. К ее функциям в том числе относятся:

– проверка и оценка эффективности системы внутреннего контроля в целом, выполнения решений органов управления кредитной организации (общего собрания акционеров (участников), СД (наблюдательного совета), исполнительных органов);

– проверка эффективности методологии оценки банковских рисков и процедур управления банковскими рисками, установленных внутренними документами кредитной организации, и полноты применения указанных документов;

– проверка надежности функционирования системы внутреннего контроля в отношении использования автоматизированных информационных систем;

– проверка процессов и процедур внутреннего контроля.

Таким образом, чтобы обеспечить эффективность мониторинга внутреннего контроля в области ЭБ со стороны СД, СВА обязана информировать СД о выявляемых при проведении проверок нарушениях (недостатках) по вопросам применения ЭБ, а также представлять СД информацию о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений в данной области. Для этого СВА разрабатывает планы проведения проверок, которые утверждаются СД.

В СД и СВА целесообразно присутствие специалистов, имеющих образование в области информационных технологий.

При наличии таких специалистов в составе СД его члены могут проверить и оценить соответствие организации и функционирования внутреннего аудита в области ЭБ содержанию деятельности кредитной организации, а также принять обоснованные стратегические решения относительно:

– внедрения в кредитной организации новых технологий ЭБ;

– ведения соответствующей маркетинговой политики;

– определения тарифных планов;

– содержания договоров с клиентами, контрагентами и провайдерами.

Внедрение технологий ЭБ существенно повышает квалификационные требования к высшему руководству кредитной организации. Поэтому сотруднику из состава высшего руководства кредитной организации, в круг ответственности которого входят вопросы организации управления информационными технологиями, рекомендуется проходить периодическую подготовку (переподготовку) по вопросам ДБО и особенностей его применения.

Оценивая роль СД кредитной организации в организации внутреннего контроля, необходимо учитывать следующее:

– предусмотрено ли внутренними документами кредитной организации отнесение к компетенции СД вопросов, приведенных в п. 1 Приложения 1 к Положению № 242-П?

– рассматривает ли СД вопросы организации внутреннего аудита и внутреннего контроля и меры повышения их эффективности с учетом особенностей деятельности кредитной организации с применением СЭБ?

– принимались ли СД решения (меры) для обеспечения оперативного выполнения рекомендаций исполнительным органом кредитной организации и устранения замечаний СВА по применению СЭБ?

– утверждены ли СД планы проверок СВА?

– предоставляет ли СВА не реже одного раза в год отчет о выполнении плана проверок?

– информирует ли СВА совет директоров о выявляемых при проведении проверок нарушениях (недостатках) в области применения СЭБ?

– представляет ли СВА совету директоров информацию о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений в области применения СЭБ?

– имеется ли в составе высшего руководства банка куратор по информационным технологиям, получивший образование в области информационных технологий или прошедший специальную переподготовку по данному направлению деятельности?