Сведения о передаче отдельных функций службы внутреннего контроля в кредитных организациях, входящих в состав банковской группы, содержащие перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля, представляются в территориальные учреждения Банка России по месту обслуживания каждой из указанных кредитных организаций, входящих в состав банковской группы.
Независимость службы внутреннего контроля.
Кредитная организация обеспечивает независимость службы внутреннего контроля в соответствии с порядком, в котором должно быть установлено, что служба внутреннего контроля:
- действует под непосредственным контролем совета директоров (наблюдательного совета);
- не осуществляет деятельность, подвергаемую проверкам, за исключением случаев, предусмотренных абзацем пятым настоящего подпункта;
- по собственной инициативе докладывает совету директоров (наблюдательному совету) о вопросах, возникающих в ходе осуществления службой внутреннего контроля своих функций, и предложениях по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительному органу кредитной организации;
- подлежит независимой проверке аудиторской организацией или советом директоров (наблюдательным советом), если такая проверка предусмотрена уставом кредитной организации.
Во внутренних документах кредитной организации должно быть предусмотрено:
- порядок утверждения положения о службе внутреннего контроля, годовых и текущих планов проверок, отчетов о выполнении планов проверок в соответствии со статьями 48 и 65 Федерального закона "Об акционерных обществах" и со статьей 32 Федерального закона "Об обществах с ограниченной ответственностью";
- подотчетность руководителя службы внутреннего контроля совету директоров (наблюдательному совету) кредитной организации;
- подчиненность руководителя подразделения внутреннего контроля филиала кредитной организации (при наличии подразделения внутреннего контроля в филиале) или служащего филиала кредитной организации, выполняющего функции представителя службы внутреннего контроля кредитной организации в соответствующем филиале, руководителю службы внутреннего контроля кредитной организации;
- право руководителя службы внутреннего контроля взаимодействовать с соответствующими руководителями кредитной организации (ее подразделений) для оперативного решения вопросов и порядок такого взаимодействия;
- невозможность функционального подчинения руководителю (его заместителям) службы внутреннего контроля иных подразделений кредитной организации, а также совмещения служащими службы внутреннего контроля (включая руководителя и его заместителей) своей деятельности с деятельностью в других подразделениях кредитной организации;
- участие службы внутреннего контроля в разработке внутренних документов кредитной организации.
Служба внутреннего контроля не вправе участвовать в совершении банковских операций и других сделок.
Руководитель и служащие службы внутреннего контроля не имеют права подписывать от имени кредитной организации платежные (расчетные) и бухгалтерские документы, а также иные документы, в соответствии с которыми кредитная организация принимает банковские риски, либо визировать такие документы.
Беспристрастность службы внутреннего контроля.
Кредитная организация обеспечивает решение поставленных перед службой внутреннего контроля задач без вмешательства со стороны органов управления, подразделений и служащих кредитной организации, не являющихся служащими службы внутреннего контроля.
Руководитель (его заместители) и служащие службы внутреннего контроля, ранее занимавшие должности в других структурных подразделениях кредитной организации, не должны участвовать в проверке деятельности и функций, которые осуществлялись ими в течение проверяемого периода и в течение двенадцати месяцев после завершения такой деятельности и осуществления функций.
Кредитная организация вправе устанавливать порядок перемещения (периодичность, обоснованность) руководителя (его заместителей) и служащих службы внутреннего контроля на другие должности в кредитной организации в случае изменения характера и масштабов деятельности, появления новых видов или направлений деятельности и т.п.
Руководителем службы внутреннего контроля рекомендуется не назначать лицо, работающее по совместительству.
Профессиональная компетентность руководителя (его заместителей) и служащих службы внутреннего контроля.
Руководитель (его заместители) и служащие службы внутреннего контроля должны владеть достаточными знаниями о банковской деятельности и методах внутреннего контроля и сбора информации, ее анализа и оценки в связи с выполнением служебных обязанностей.
Кредитная организация укомплектовывает службу внутреннего контроля служащими, имеющими высокий уровень профессиональной квалификации и подготовки.
Кредитной организации рекомендуется устанавливать для руководителя (его заместителей) службы внутреннего контроля требования о наличии опыта руководства структурным подразделением кредитной организации, связанным с совершением банковских операций и других сделок.
Обучение (переподготовку) руководителя (его заместителей) и служащих службы внутреннего контроля рекомендуется осуществлять на регулярной основе.
Создание условий для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций.
Служба внутреннего контроля обязана осуществлять проверки по всем направлениям деятельности кредитной организации. Объектом проверок является любое подразделение и служащий кредитной организации.
Основные способы (методы) осуществления проверок службой внутреннего контроля, которые следует использовать кредитной организации, предусмотрены Приложением 3 к настоящему Положению.
Службой внутреннего контроля осуществляется контроль за эффективностью принятых подразделениями и органами управления по результатам проверок мер, обеспечивающих снижение уровня выявленных рисков, или документирование принятия руководством подразделения и (или) органами управления решения о приемлемости выявленных рисков для кредитной организации.
Если, по мнению руководителя службы внутреннего контроля, руководство подразделения и (или) органы управления взяли на себя риск, являющийся неприемлемым для кредитной организации, или принятые меры контроля неадекватны уровню риска, то руководитель службы внутреннего контроля обязан проинформировать совет директоров (наблюдательный совет) кредитной организации.
Кредитная организация должна установить порядок:
- контроля (включая проведение повторных проверок) за принятием мер по устранению выявленных службой внутреннего контроля нарушений;
- представления не реже одного раза в полгода службой внутреннего контроля информации о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений совету директоров (наблюдательному совету), единоличному исполнительному органу (его заместителям) и (или) коллегиальному исполнительному органу.
«О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (см. письмо ЦБ РФ от 13.07.2005 N 99-Т).
«О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях» (см. Указание ЦБ РФ от 09.08.2004 N 1486-У).
Ответственного сотрудника (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма - должностное лицо (структурное подразделение), ответственное за разработку и реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, программ его осуществления и иных внутренних организационных мер в указанных целях, а также за организацию представления в уполномоченный орган по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма сведений в соответствии с Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и нормативными актами Банка России.
Иные структурные подразделения и (или) ответственных сотрудников кредитной организации, к которым, в зависимости от характера и масштаба деятельности кредитной организации, могут относиться:
- контролер профессионального участника рынка ценных бумаг - ответственный сотрудник и (или) структурное подразделение, осуществляющее проверку соответствия деятельности кредитной организации, как профессионального участника рынка ценных бумаг, требованиям законодательства Российской Федерации о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг;
- ответственный сотрудник по правовым вопросам - сотрудник и (или) структурное подразделение, отвечающее за проверку соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.
2. Создание политики
2.1 Рекомендации по созданию политики ИБ
Наступление любой из кризисных ситуаций может быть вызвано неправомерным использованием информационных активов организации, а результатом становится риск потери бизнеса. Безусловно, кризисные ситуации могут наступить и по причине форс-мажорных ситуаций, но - как показывает практика и статистика - угрозы в области информационной безопасности существенно более реальны.
Зависимость финансовых организаций от компьютерных и телекоммуникационных ресурсов свидетельствует о необходимости разработки планов аварийного восстановления всех банковских систем в случае возникновения кризисной ситуации.
Планы аварийного восстановления для финансово-кредитных учреждений являются одним из требований Центрального банка РФ и входят в состав обязательных документов внутреннего контроля наряду с политикой обеспечения ИБ.
Рекомендуется, чтобы положения документов по обеспечению ИБ организации БС РФ:
- носили не рекомендательный, а обязательный характер;
- были выполнимыми и контролируемыми. Не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;
- были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
- не противоречили друг другу.
В состав документов организации БС РФ рекомендуется включить документ (классификатор), содержащий перечень и назначение всех документов организации БС РФ (для каждого из вышеопределенных уровней иерархической структуры), регламентирующих деятельность по обеспечению ИБ организации БС РФ. Указанный классификатор может быть полезен при осуществлении менеджмента документов организации БС РФ, для повышения степени осведомленности сотрудников организации БС РФ, а также при выполнении аудита информационной безопасности организации БС РФ.
При наличии у организации БС РФ сети филиалов (территориальных учреждений) в каждом из филиалов (территориальном учреждении) рекомендуется иметь единый для организации БС РФ, утвержденный комплект документов по обеспечению ИБ. В случае возникновения необходимости учета специфики конкретных филиалов в них должны быть разработаны собственные документы, учитывающие эту специфику. Рекомендуется, чтобы документы по обеспечению ИБ филиала (территориального учреждения) организации БС РФ базировались на положениях документов по обеспечению ИБ, принятых головной организацией (центральным аппаратом) организации БС РФ, и не противоречили им.
В состав внутренних документов организаций БС РФ по обеспечению ИБ рекомендуется включать следующие виды документов (документированной информации):
- документы, содержащие положения корпоративной политики ИБ организации БС РФ (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом;
- документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации БС РФ;