Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

– имеются ли в кредитной организации документы, определяющие численный состав, структуру и техническую обеспеченность СВА и СВК в соответствии с масштабами деятельности, характером совершаемых банковских операций и применяемых технологий?

– соответствует ли фактическая численность СВА и СВК штатной численности?

– вносились ли изменения в штатное расписание СВА и СВК в связи с применением новых банковских технологий и увеличением объемов проводимых операций?

– определены ли в должностных инструкциях сотрудников СВА и СВК функции контроля рисков при осуществлении операций ЭБ?

– укомплектованы ли СВА и СВК служащими, соответствующими квалификационным требованиям, позволяющим обеспечивать решение задач по применению и развитию ЭБ, а также понимание причин возникновения рисков при использовании данного вида ДБО?

– обучаются ли (проходят ли переподготовку) сотрудники СВА и СВК, отвечающие за внутренний контроль в области применения информационных технологий (включая тематику ЭБ)?

Основой эффективного функционирования системы внутреннего аудита и контроля являются регламентирующие документы, которые должны достаточно ясно описывать порядок проведения конкретных процедур внутреннего аудита и контроля, устанавливать уровни ответственности и распределять обязанности между подразделениями и сотрудниками кредитной организации, чтобы исключить возможность возникновения конфликта интересов.

Объектом проверок являются любое подразделение и любой служащий кредитной организации. В связи с этим внутренними документами кредитной организации следует предусмотреть порядок планирования работ СВА и СВК.

План проведения проверок должен включать график проверок, учитывать изменения в системе внутреннего контроля и новые направления деятельности кредитной организации. При подготовке годового плана проверок целесообразно учитывать требования Банка России к работе СВА и СВК, условия договора с внешним аудитором кредитной организации, рекомендации внешних надзорных органов.

При составлении графика проверок должна учитываться установленная в кредитной организации периодичность проведения проверок по направлениям деятельности структурных подразделений и кредитной организации в целом.

Также рекомендуется регламентировать внутренними документами работу СВА и СВК в части определения порядка организации, проведения, оформления и реализации материалов проверок.

Рекомендуется отразить во внутренних документах, что состав группы для проверки правильности функционирования СЭБ определяется с учетом объема и особенностей деятельности проверяемого подразделения. В случае привлечения к проверке работников других подразделений такое решение должно быть заблаговременно согласовано с их непосредственными руководителями. При выполнении служебных обязанностей в ходе проверок сотрудники (входящие в рабочую группу СВК) подчиняются только руководителю группы, проводящей проверку (руководителю проверки).

Внутренние документы кредитной организации должны предусматривать разработку отдельной программы проверки каждого направления (вопроса) деятельности кредитной организации в области технологий ЭБ. Данная программа должна содержать цели проверки и определять ключевые банковские риски и механизмы обеспечения полноты и эффективности контроля в области технологий ЭБ. В ходе проверки программа может быть скорректирована с учетом предложений руководства кредитной организации или руководителя рабочей группы.

При оформлении результатов проверок каждому члену рабочей группы рекомендуется подробно документировать свою работу и делать заключения по каждому из проверяемых вопросов. Рабочие материалы по проверке отдельных участков (отчеты) до их включения в общий акт проверяющим целесообразно согласовать с сотрудниками проверяемого подразделения. Отчет с визами члена рабочей группы и сотрудника проверяемого подразделения следует передавать руководителю рабочей группы и хранить в деле по проверке.

Результаты проверок оформляются общим актом, который подписывается руководителем рабочей группы и руководителем проверяемого подразделения. При наличии разногласий по акту со стороны представителей проверяемого подразделения составляется протокол разногласий, в котором указываются возражения. Протокол разногласий подписывается руководителем подразделения. О наличии разногласий делается пометка в акте рядом с подписью руководителя проверяемого подразделения. О проведенных в период проверки мероприятиях по устранению выявленных нарушений и недостатков в работе делается соответствующая запись в акте.

Отдельно следует выделять повторяющиеся недостатки и нарушения, выявленные в ходе предыдущей проверки.

В целях повышения качества проверок рекомендуется разрабатывать внутренние методики проверки вопросов в разрезе направлений контроля над отдельными областями технологий ЭБ.