Внутренние документы кредитной организации должны предусматривать разработку отдельной программы проверки каждого направления (вопроса) деятельности кредитной организации в области технологий ЭБ. Данная программа должна содержать цели проверки и определять ключевые банковские риски и механизмы обеспечения полноты и эффективности контроля в области технологий ЭБ. В ходе проверки программа может быть скорректирована с учетом предложений руководства кредитной организации или руководителя рабочей группы.

При оформлении результатов проверок каждому члену рабочей группы рекомендуется подробно документировать свою работу и делать заключения по каждому из проверяемых вопросов. Рабочие материалы по проверке отдельных участков (отчеты) до их включения в общий акт проверяющим целесообразно согласовать с сотрудниками проверяемого подразделения. Отчет с визами члена рабочей группы и сотрудника проверяемого подразделения следует передавать руководителю рабочей группы и хранить в деле по проверке.

Результаты проверок оформляются общим актом, который подписывается руководителем рабочей группы и руководителем проверяемого подразделения. При наличии разногласий по акту со стороны представителей проверяемого подразделения составляется протокол разногласий, в котором указываются возражения. Протокол разногласий подписывается руководителем подразделения. О наличии разногласий делается пометка в акте рядом с подписью руководителя проверяемого подразделения. О проведенных в период проверки мероприятиях по устранению выявленных нарушений и недостатков в работе делается соответствующая запись в акте.

Отдельно следует выделять повторяющиеся недостатки и нарушения, выявленные в ходе предыдущей проверки.

В целях повышения качества проверок рекомендуется разрабатывать внутренние методики проверки вопросов в разрезе направлений контроля над отдельными областями технологий ЭБ.

Согласно рекомендациям зарубежных органов банковского регулирования и надзора, при применении кредитной организацией технологий ЭБ необходимо разрабатывать методики проверок по отдельным направлениям ДБО, включая вопросы контроля:

– над подразделениями информационных технологий;

– содержанием и ведением веб-сайта, используемого кредитной организацией;

– бухгалтерским учетом операций, совершаемых через интернет, и отражением соответствующих данных в отчетности кредитной организации;

– функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров необходимых кредитной организации услуг;

– поставщиками программного обеспечения СЭБ;

– мероприятиями, осуществляемыми службой обеспечения информационной безопасности кредитной организации.

Перечень основных вопросов, связанных с осуществлением внутреннего контроля, по которым кредитная организация должна принять внутренние документы, предусмотрен Приложением 2 к Положению № 242-П. Основные способы (методы) осуществления проверок СВА, которые следует использовать кредитной организации, предусмотрены Приложением 3 к Положению № 242-П. При этом основными и минимально необходимыми являются следующие вопросы:

– имеется ли в кредитной организации внутренний документ, определяющий порядок планирования работы СВА и СВК?

– определен ли во внутреннем документе порядок организации, проведения, оформления и реализации материалов проверок?

– разработаны ли методики проверки вопросов, связанных с применением кредитной организацией технологий ЭБ?

7.1.3.4. Организация работы службы внутреннего аудита и службы внутреннего контроля с результатами проверок применения технологий электронного банкинга

С учетом требований Положения № 242-П необходимо регламентировать порядок доведения результатов проверок до сведения руководства кредитной организации, что может быть реализовано следующим образом.

Руководитель СВК после анализа результатов проверки и плана мероприятий по устранению выявленных недостатков представляет руководству кредитной организации служебную записку, в которой кратко освещаются состояние дел в проверенном подразделении и принятые меры по устранению вскрытых недостатков. Серьезные упущения и нарушения должны получать в записке исчерпывающее отражение с указанием характера нарушения, его последствий, причин появления, конкретных должностных лиц, в результате действия или бездействия которых оно было допущено. В записке излагаются также рекомендации руководству кредитной организации и подразделения, в котором проведена проверка, предложения по совершенствованию внутреннего контроля, предлагаются меры по устранению выявленных недостатков. К записке прилагаются акт проверки, разработанный план мероприятий, при необходимости – другие документы.

СВА осуществляет контроль эффективности мер, принятых подразделениями и органами управления по результатам проверок и обеспечивающих снижение уровня выявленных рисков, или документирование принятия руководством подразделения и (или) органами управления решения о приемлемости уровня и сочетания выявленных рисков для кредитной организации.

В кредитной организации должен быть установлен порядок, в соответствии с которым СВА не реже одного раза в полгода предоставляет совету директоров (наблюдательному совету), единоличному исполнительному органу (его заместителям) информацию об эффективности организации процедур внутреннего контроля, в том числе об эффективности принятых мер по выполнению рекомендаций и устранению выявленных нарушений.

После окончания проверки проверенное подразделение кредитной организации составляет план мероприятий по устранению выявленных недостатков (далее – план мероприятий) в области ЭБ. В плане мероприятий рекомендуется отражать конкретные действия по устранению выявленных нарушений, при необходимости запланировать обучение сотрудников подразделения, разработку новых (дополнение, изменение действующих) нормативных документов, внесение изменений в технологию работы. В плане необходимо указывать сроки исполнения мероприятий и ответственных за исполнение.

При необходимости проводится деловое совещание с участием всего коллектива проверенного подразделения, где обсуждаются допущенные недостатки, принятые меры по их устранению, причины, по которым недостатки стали возможными, меры, которые необходимо принять для недопущения подобных недостатков, рассматриваются рекомендации управления внутреннего контроля. По результатам обсуждения в план мероприятий вносятся необходимые изменения и дополнения.

В соответствии с требованиями Положения № 242-П СВА должна осуществлять контроль эффективности мер, принятых подразделениями и органами управления по результатам проверок и обеспечивающих снижение уровня выявленных рисков, и кредитная организация должна установить порядок контроля (включая проведение повторных проверок) за принятием мер по устранению выявленных СВК нарушений.

Один из возможных вариантов реализации СВА выполнения подразделениями кредитной организации плана мероприятий заключается в том, что после окончания проверки подразделение предоставляет в СВА отчет о выполнении плана мероприятий. В случае невыполнения отдельных мероприятий по объективным причинам подразделению рекомендуется своевременно информировать СВА о ходе выполнения плана до наступления сроков исполнения.

При необходимости руководитель СВА может назначить внеплановую тематическую проверку выполнения подразделением плана мероприятий.

Перечисленные выше мероприятия могут быть использованы для оценки качества работы СВА и СВК (в части функционирования СЭБ), при этом основными и минимально необходимыми являются следующие вопросы:

– установлен ли порядок доведения результатов проверок до сведения руководства и совета директоров кредитной организации?

– установлен ли кредитной организацией порядок контроля выполнения подразделениями мероприятий по результатам проверок в части снижения уровня выявленных рисков?

– принимаются ли подразделениями меры по результатам проверок в части снижения уровня выявленных рисков в области ЭБ?

– контролируют ли СВА и СВК выполнение подразделениями мероприятий по результатам проверок в области ЭБ?

– проводит ли СВА оценку эффективности принимаемых мер по устранению выявленных нарушений и недостатков?

7.1.4. Организация управления рисками, связанными с использованием системы электронного банкинга

К банковским рискам, связанным с применением СЭБ, относятся операционный, правовой, стратегический риски, риск потери деловой репутации (репутационный риск) и риск ликвидности.

Распределение подчиненности и подотчетности в рамках управления рисками ЭБ рекомендуется организовывать таким образом, чтобы обеспечить своевременность, полноту и адекватность информирования органов управления кредитной организации:

– о состоянии и характеристиках аппаратно-программного обеспечения СЭБ;

– выявленных недостатках в функционировании информационного контура ЭБ;

– связанных с ЭБ источниках (факторах) рисков;

– результатах выполнения принятых решений по управлению банковскими рисками;

– процедурах реагирования на возможные события, которые могут негативно повлиять на безопасность, финансовую устойчивость или деловую репутацию кредитной организации, и результатах их выполнения.

Хорошей практикой является