Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

В добавление к сказанному отмечается, что «…руководство банка обязано регулярно убеждаться в том, что работа на всех участках банка ведется в соответствии с установленными политикой и процедурами, а те в свою очередь остаются адекватными. В этом обычно заключается главная роль функции внутреннего аудита». Учитывая комментарии к первому принципу, нетрудно представить требуемый уровень компетентности руководства кредитной организации и службы ВК, равно как и ее специалистов, а также требования к их технологическому и техническому оснащению, программам и методикам проведения проверок и т. п.

Принцип 6. Чтобы система внутреннего контроля была эффективной, требуется надлежащее разделение обязанностей. На персонал не должны возлагаться конфликтующие обязанности. Области потенциальных конфликтов интересов следует идентифицировать, минимизировать и обеспечить их тщательный независимый мониторинг.

Этим принципом определяется еще один компонент эффективности ВК — надлежащее разделение обязанностей, которое предназначено прежде всего для снижения вероятности финансовых потерь. Смысл его в том, чтобы лица, осуществляющие управление финансовыми средствами, не могли тайно воспользоваться ими в личных целях, а лица, ответственные за операции, следствием которых могут быть финансовые потери, не имели возможности их скрыть. Этот принцип подтверждает целесообразность активного участия службы ВК (и СБ) в ЖЦ внедряемой СЭБ с самого начала, чтобы предусмотреть правильное разделение прав и полномочий доступа к внутрибанковским компьютерным системам, операционному программному обеспечению, файлам банковских данных и регламентных отчетов, а также наличие физических и логических (программных) средств ограничений возможностей пользователей БАС и СЭБ вместе с порядками их внедрения, сопровождения, изменения и т. п. Тем самым будет оказано содействие требуемому разделению обязанностей с «контрольного» уровня, учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».

Кроме того, в комментарии к этому принципу сказано, что «.. должны осуществляться периодические проверки обязанностей и функций основных исполнителей, чтобы у них не было возможностей скрыть непредусмотренные действия». Фактически такие процедуры реализуются действиями администраторов автоматизированных систем и информационной безопасности, поэтому к ним, к их должностным обязанностям (равно как и к их исполнению) руководству кредитной организации целесообразно привлекать внимание службы ВК, не забывая о значимости следования принципу «четырех глаз». Последнее необходимо документировать в положениях о «заинтересованных» структурных подразделениях кредитной организации и должностных инструкциях ответственных исполнителей, о чем также логично позаботиться исполнительным органам, которые руководствуются содержанием упоминавшегося внутрибанковского мета-процесса.

Принцип 7. Чтобы система внутреннего контроля была эффективной, требуется адекватная и полная внутренняя финансовая, операционная и правовая информация, равно как и внешняя рыночная информация о событиях и условиях, которые следует учитывать при принятии решений. Информация должна быть надежной, своевременной, доступной и предоставленной в требуемом формате.