Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
– цели, функции (права и обязанности) СВК;
– статус СВК в организационной структуре кредитной организации;
– методы деятельности СВК;
– подчиненность и подотчетность руководителя СВК;
– распределение обязанностей между осуществляющими функции СВК служащими (далее – служащие СВК) в структурных подразделениях кредитной организации;
– обязанность руководителя СВК информировать о выявленных нарушениях при управлении регуляторным риском единоличный и коллегиальный исполнительные органы кредитной организации;
– обязанность руководителя СВК незамедлительно информировать единоличный и коллегиальный исполнительные органы кредитной организации о возникновении регуляторного риска, реализация которого может привести к возникновению существенных убытков у кредитной организации;
– обязанность руководителя СВК информировать единоличный и коллегиальный исполнительные органы кредитной организации о всех случаях, которые препятствуют осуществлению ими своих функций;
– обязанность служащих СВК информировать руководителя СВК о всех случаях, которые препятствуют осуществлению ими своих функций.
Перечисленные требования могут быть основой для оценки качества документарного обеспечения организации системы внутреннего контроля в кредитной организации.
7.1.3.2. Особенности подбора кадров в службу внутреннего аудита и службу внутреннего контроля
Кредитной организации следует установить численный состав, структуру и материально-техническую обеспеченность СВА и СВК в соответствии с характером и масштабом осуществляемых операций, а также уровнем регуляторного риска, принимаемого кредитной организацией.
СВА и СВК должны состоять из служащих, входящих в штат кредитной организации.
Руководитель СВК может являться членом коллегиального исполнительного органа кредитной организации. Если руководитель СВК не является членом коллегиального исполнительного органа кредитной организации, он подотчетен единоличному исполнительному органу кредитной организации (его заместителю, являющемуся членом коллегиального исполнительного органа и не участвующему в принятии решений, связанных с совершением кредитной организацией банковских операций и других сделок).
СВА и СВК осуществляют свои функции в кредитной организации на постоянной основе. Важным условием эффективности системы внутреннего аудита и контроля выступают достаточно высокая профессиональная квалификация и подготовка специалистов кредитной организации, которые участвуют в работе данных служб, поскольку многие недостатки в организации и особенно функционировании системы внутреннего контроля могут быть обусловлены недостаточным вниманием руководства кредитной организации к профессиональному составу служб.
В случаях, когда функции СВК исполняются служащими разных структурных подразделений, кредитная организация должна установить распределение обязанностей по осуществлению внутреннего контроля между указанными структурными подразделениями.
Опыт и знания сотрудников СВА и СВК должны позволять им использовать адекватные методы анализа и прогнозирования факторов риска, эффективности операций, проводить оценку применяемых в кредитной организации процедур принятия решений.
Профессиональную подготовку (переподготовку) руководителей и служащих СВА и СВК рекомендуется осуществлять на регулярной основе.
Руководители СВА и СВК должны соответствовать требованиям, установленным Указанием Банка России от 01.04.2014 № 3223-У «О требованиях к руководителям службы управления рисками, службы внутреннего контроля, службы внутреннего аудита кредитной организации» [45], и определенным п. 1 ч. 1 ст. 16 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» [47] требованиям к деловой репутации.
Лицо, назначаемое на должность руководителя СВА или СВК кредитной организации, должно соответствовать следующим квалификационным требованиям:
– иметь высшее юридическое или экономическое образование, а при отсутствии такого образования – иное высшее образование и квалификацию в области управления рисками или внутреннего контроля, аудита;
– иметь стаж работы не менее одного года в качестве руководителя (его заместителя) подразделения внутреннего контроля, внутреннего аудита или по другим направлениям контроля, осуществления банковских операций, являющихся основными в структуре операций; не менее трех лет в качестве специалиста подразделения кредитной организации по одному из указанных направлений.
С внедрением передовых технологий банковского обслуживания возникает необходимость пересмотра технологии внутреннего контроля в кредитных организациях и ее адаптации к инновациям в предоставлении банковских услуг. Поэтому целесообразно пересмотреть штатное расписание кредитной организации, включив в состав СВК и СВА сотрудников, которые соответствуют квалификационным требованиям, позволяющим обеспечить понимание причин возникновения рисков ЭБ.
Для реализации эффективного внутреннего контроля операций, осуществляемых в рамках ЭБ, сотрудники, занимающиеся вопросами проверок функционирования систем ДБО, должны быть подготовлены на уровне самых квалифицированных специалистов в данной области.
В связи с введением кредитными организациями новых банковских технологий и реализующих их систем необходимо обеспечивать повышение квалификации специалистов, отвечающих за внутренний аудит и контроль в области применения информационных технологий, и осуществлять на регулярной основе их переподготовку, в том числе в рамках взаимодействия с компаниями – разработчиками программно-информационного обеспечения ЭБ и провайдерами интернет-услуг для кредитных организаций.
Органам управления кредитной организации рекомендуется обеспечить участие во внутреннем контроле служащих СВА и СВК в соответствии с обязанностями, регламентированными должностными инструкциями.
Основываясь на сказанном выше, следует отметить, что в части оценки роли совета директоров кредитной организации и исполнительных органов управления в организации внутреннего аудита и контроля необходимо обращать внимание на следующие вопросы:
– имеются ли в кредитной организации документы, определяющие численный состав, структуру и техническую обеспеченность СВА и СВК в соответствии с масштабами деятельности, характером совершаемых банковских операций и применяемых технологий?
– соответствует ли фактическая численность СВА и СВК штатной численности?
– вносились ли изменения в штатное расписание СВА и СВК в связи с применением новых банковских технологий и увеличением объемов проводимых операций?
– определены ли в должностных инструкциях сотрудников СВА и СВК функции контроля рисков при осуществлении операций ЭБ?
– укомплектованы ли СВА и СВК служащими, соответствующими квалификационным требованиям, позволяющим обеспечивать решение задач по применению и развитию ЭБ, а также понимание причин возникновения рисков при использовании данного вида ДБО?
– обучаются ли (проходят ли переподготовку) сотрудники СВА и СВК, отвечающие за внутренний контроль в области применения информационных технологий (включая тематику ЭБ)?
7.1.3.3, Методологическое обеспечение службы внутреннего аудита и службы внутреннего контроля
Основой эффективного функционирования системы внутреннего аудита и контроля являются регламентирующие документы, которые должны достаточно ясно описывать порядок проведения конкретных процедур внутреннего аудита и контроля, устанавливать уровни ответственности и распределять обязанности между подразделениями и сотрудниками кредитной организации, чтобы исключить возможность возникновения конфликта интересов.
Объектом проверок являются любое подразделение и любой служащий кредитной организации. В связи с этим внутренними документами кредитной организации следует предусмотреть порядок планирования работ СВА и СВК.
План проведения проверок должен включать график проверок, учитывать изменения в системе внутреннего контроля и новые направления деятельности кредитной организации. При подготовке годового плана проверок целесообразно учитывать требования Банка России к работе СВА и СВК, условия договора с внешним аудитором кредитной организации, рекомендации внешних надзорных органов.
При составлении графика проверок должна учитываться установленная в кредитной организации периодичность проведения проверок по направлениям деятельности структурных подразделений и кредитной организации в целом.
Также рекомендуется регламентировать внутренними документами работу СВА и СВК в части определения порядка организации, проведения, оформления и реализации материалов проверок.
Рекомендуется отразить во внутренних документах, что состав группы для проверки правильности функционирования СЭБ определяется с учетом объема и особенностей деятельности проверяемого подразделения. В случае привлечения к проверке работников других подразделений такое решение должно быть заблаговременно согласовано с их непосредственными руководителями. При выполнении служебных обязанностей в ходе проверок сотрудники (входящие в рабочую группу СВК) подчиняются только руководителю группы, проводящей