Методический журнал
Bнутренний контроль в кредитной организации

Геополитические риски в совокупности с изменениями в руководстве блока финансового мониторинга Банка России означают, что для банков будут введены новые правила работы. Анализ реальных причин отзыва лицензий в 2021 г. показывает, что регулятор уже сместил контрольные акценты.

Белый Дом США 24 февраля 2022 г. публикует пресс-релиз о введении санкций. Банки поделены на три группы: в первой — Сбербанк, во второй — ВТБ, в третьей — «Открытие», Совкомбанк и Новикомбанк плюс дочерние компании. В документе OFAC, опубликованном сразу после пресс-релиза, добавляется четвертая группа банков — в нее вошел, например, Россельхозбанк. Разбираем категории этих санкций и критерии эффективности санкционной комплаенс-системы.

Через неделю после нашумевшего доклада Банка России о рисках криптовалют Правительство РФ выпустило официальную дорожную карту, согласно которой для криптовалют нужно определить правовой режим. Банки будут блокировать не все операции, а только определенные (какие — еще предстоит решить). О технологических и юридических деталях разрешительной и запретительной моделей обращения взыскания на децентрализованную виртуальную валюту — в статье.

С 1 января 2022 года вступили в силу требования Положения № 719-П. Разработчики систем дистанционного банковского обслуживания, карточных процессингов и платежных шлюзов в ближайшее время должны провести оценку программного обеспечения по оценочному уровню доверия 4 (ОУД4) ГОСТ 15408. Расскажем, зачем нужна оценка по ОУД4, что в нее входит и как к ней подготовиться.

Оценщик, помимо проведения анализа уязвимостей, должен про­­верить выполнение всех заявленных процедур как в части поддержки жизненного цикла прикладного программного обеспечения, так и в части тестирования корректной работы его функционала безопасности. Какие инструменты применяются для анализа уязвимостей и какие проблемы встречаются чаще всего?

Проект положения Банка России о требованиях к операционной надежности стал следующим витком развития требований Положения № 716-П в отношении операционного риска и детализировал требования к киберустойчивости. Проведем краткий анализ нового документа.

Управление операционными рисками, обеспечение операционной надежности и непрерывности деятельности организаций является несомненным трендом на долгие годы вперед. Все это нуждается в качественной регламентации и моделировании. То есть важно не просто внедрять новые методики, стандарты и технологии, а сопровождать и обеспечивать все разработки детальной системой регламентации и моделей, которые будут исполняться на практике. В статье рассмотрим структуру данной системы и приведем примеры ее компонентов.

Наше исследование рисков COVID-19, основанное на анализе деятельности нескольких крупнейших российских банков в 2020–2021 гг., показало, что комплаенс-процедуры не обеспечивают достижения целей для отдельных операционных и бизнес-процессов. В статье предложен вариант усовершенствования методологии COSO ERM для повышения эффективности комплаенс-процедур. Это важно и в сложившейся экономической ситуации, поскольку реализация операционного риска в связи с экономическими санкциями приводит к схожим последствиям.

Одним из наиболее распространенных источников сбора информации о хозяйствующем субъекте является его сайт. Однако технические данные о сайте могут сказать о компании даже больше, чем его контент. Какие общие и специализированные инструменты использовать для анализа сайтов строительных компаний? Как проверить реальную принадлежность товарного знака, где найти полный «послужной список» строительной компании и какие ценные для кредитора сведения можно извлечь из строительного мусора? Об этом и многом другом — в статье.

Суды пока не выработали единого подхода к правовой квалификации заградительных тарифов. В одном случае они квалифицируют их как плату за услугу по переводу остатка, в другом — как неустойку за нарушение договора, в третьем вообще признают ничтожность условия о заградительном тарифе. По каким основаниям суды выносят решения не в пользу банков?

С формальной точки зрения процесс управления регуляторным риском выглядит достаточно тривиально: определить подразделение и (или) служащих, которые будут выполнять функции СВК с соблюдением требований Положения № 242-П в части подотчетности, обеспеченности СВК ресурсами и т.д. Так это работает в теории, но так ли это на практике? При попытке применить на первый взгляд логически стройные нормы Положения № 242-П в деятельности СВК возникает ряд практических проблем. Рассмотрим главную, по нашему мнению, проблему — объем понятия регуляторного риска для целей Положения № 242-П и, в частности, п. 4.1.

Информационная безопасность (ИБ) в какой-то степени является междисциплинарной областью изучения, поскольку это понятие относится сразу к нескольким областям знаний. Этим можно объяснить разнообразие сферы интересов у специалистов по ИБ. Поделюсь своими впечатлениями об относительно новых для меня книгах по темам, связанным с информационной безопасностью, которые удалось прочитать за последнее время.