Методический журнал
Bнутренний контроль в кредитной организации

В срок до 1 октября 2014 года кредитные организации обязаны привести свои учредительные и внутренние документы в соответствие с новой редакцией Положения Банка России № 242-П. Новая трактовка понятий «внутренний контроль» и «внутренний аудит», организационные требования, цели и задачи служб внутреннего контроля и внутреннего аудита все больше приближают форму их функционирования к концепции «три линии защиты», соответствующей международным стандартам.

В один из основных комплексов мероприятий «антиотмывочного» законодательства — идентификацию клиентов, их представителей, выгодоприобретателей, бенефициарных владельцев — в 2014 году внесены значительные изменения. В каких случаях проводится упрощенная идентификация? Каковы способы и порядок ее проведения при предоставлении клиенту — физическому лицу электронного средства платежа? В какие сроки кредитная организация должна обновлять сведения, полученные в результате идентификации, и пересматривать уровень риска? Какие меры должна содержать программа идентификации, самостоятельно разработанная банком?

Система внутреннего контроля в кредитной организации функционирует в первую очередь в соответствии с требованиями Банка России и лишь потом — в соответствии с рекомендациями корпоративного управления. Нормотворчество методологов Банка России — процесс непрерывный и ускоряющийся. В новой редакции Положения № 242-П используется много новых терминов, но не объясняются их сущность и процедуры внедрения, в частности термин «регуляторный риск». Разберемся с этим объектом контроля.

Несмотря на то что российский регулятор предписывает кредитным организациям обязательное проведение оценки системы внутреннего контроля, единой методики такой оценки (что оценивать, зачем, в какие сроки) не существует. Банк России рекомендует применять систему показателей, характеризующих качество системы органов и направлений внутреннего контроля, а также критерии, приведенные в новой редакции Положения № 242-П. С одной стороны, регулятор предлагает механизм, который кредитная организация может применить самостоятельно, с другой — он пока не может заставить участников оценки давать честные ответы на адресованные им вопросы.

Если в следующие пять лет пользователей дистанционного банковского обслуживания станет вдвое больше, какие риски грозят банкам по причине такого возрастания технической составляющей? Какие проблемы связаны с недостатками в обеспечении информационной безопасности в банках? Это и расширение профиля операционного риска, и неподготовленность сотрудников в вопросах обеспечения информационной безопасности в условиях дистанционного обслуживания, и другие факторы.

PC World называет BYOD самым ужасающим акронимом для IT-специалистов. Но корпоративные стандарты, похоже, все-таки проигрывают битву принципу «все свое ношу с собой». Насколько данная технология применима в банках? Каковы достоинства и недостатки BYOD? На что нужно обратить внимание IT-специалистам, службе внутреннего аудита и СВК, если принято решение внедрять данную технологию? Как минимизировать риски мошенничества и сохранять информационную безопасность банка при BYOD?

Одной из эффективных стратегий построения интегрированной системы управления рисками является модель трех линий защиты, которая подразумевает вовлечение в процесс управления рисками персонал разного профиля, в том числе представителей служб внутреннего контроля и внутреннего аудита. Первую линию защиты представляют подразделения, которые генерируют риски в процессе деятельности. Для эффективного функционирования первой линии защиты необходимы инструменты адекватного управления уровнем принимаемых рисков и риск-взвешенная система мотивации.

По мнению автора статьи1, СВК находилась на стыке второго и третьего уровня контроля, а иногда их совмещала или замещала. Теперь перед банками стоит задача разделить функционал между двумя службами — внутреннего контроля и внутреннего аудита. На ее решение направлены изменения, внесенные в Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Какими будут подходы к организации системы контроля в банках и какими документами будет регламентирована деятельность двух контрольных служб?

Открытие счета клиенту является одной из важнейших и своего рода уникальной услугой банка, и к различным аспектам внутреннего контроля открытия, закрытия и порядка ведения счетов клиентов, внутрибанковских и внебалансовых счетов сегодня проявляется особый интерес. Вопросы открытия и закрытия счетов четко регламентированы Банком России. Это упрощает деятельность контрольных служб кредитных организаций, но требует тщательного выявления несоответствий нормативным требованиям.

Какие подразделения банка должны входить в состав рабочей группы по FATCA? Удачным решением автор считает лидирующую роль службы комплаенса в подготовке банка к применению требований FATCA. Это созвучно и последним изменениям, внесенным в Положение Банка России об организации внутреннего контроля в кредитных организациях. Включение в службу комплаенс специалистов ПОД/ФТ и других областей, знающих банковские процессы и продукты, поможет банку провести работу по внедрению требований закона США на должном уровне и избежать претензий со стороны IRS или FATCA-аудитора.

Казалось бы, чем может грозить антикоррупционный закон США компании, если она не эмитент и не резидент этой страны? Однако закон имеет экстерриториальный характер, и даже компании, которые не являются местными эмитентами или резидентами, могут попасть под юрисдикцию FCPA и понести ответственность, если они напрямую или через агента осуществляют любые действия на территории Соединенных Штатов, связанные с коррупционным платежом. Весьма поучительные примеры — известное дело Штрауба и не менее известное дело Штеффена.

Почему международный санкционный комплаенс становится существенным звеном в работе комплаенс-подразделения? Достаточно проанализировать режим международных санкций, установленных США и ЕС, чтобы ответить на этот вопрос. Требования режима носят экстратерриториальный характер, поэтому международный санкционный комплаенс необходим при взаимодействии с иностранными регуляторами, потенциальными международными инвесторами, контрагентами и другими международными стейкхолдерами, чтобы минимизировать репутационные и финансовые риски.