Методический журнал
Bнутренний контроль в кредитной организации

Внутренние аудиторы ПАО Сбербанк на повседневной основе используют локальную автоматизацию аудиторских процедур с помощью технологий process mining, text mining, computer vision. Расскажем об автоматизации процедур аудита одного из направлений кибербезопасности с использованием методов text mining. Решение стало достаточно универсальным, чтобы применять его для аналогичных задач аудита по другим направлениям — везде, где есть значительные требования внешних регуляторов и аудитору надо убедиться, что в нормативной базе проверяемого направления они учтены.

На российском рынке M&A рейтинг отраслей за I квартал 2023 г. возглавили финансовые институты (41,9%). В двух наших статьях представитель консалтинговой компании и эксперт в сфере банковского аудита дают: банку-приобретателю — агрегированное представление о процедуре due diligence на примере банковских групп, включающих банки в процедуре финансового оздоровления; оцениваемым банкам — рекомендации по реорганизации СВА для более качественного анализа причин убыточности при смене бизнес-стратегии.

Банк уровня топ-30 в течение трех лет находился в процессе финансового оздоровления (санации). Первоначально акционерами была принята стратегия развития, и стоял закономерный вопрос: как реорганизовать СВА, чтобы она своевременно идентифицировала серьезные риски и вносила предложения по реорганизации процессов? А после того как было принято решение о присоединении, новой задачей аудита стала оценка качества и сохранности присоединяемых активов, корректности их отражения в бухгалтерском учете.

Почему участие службы внутреннего аудита (СВА) в разработке продуктов, работе коллегиальных органов, согласовании внут­ренних документов и текущих сделок вызывает столько споров? Потому что возникают обоснованные опасения, что такая деятельность противоречит одним из основных принципов работы внутреннего аудита — независимости и объективности. В статье предлагается рассмотреть практический опыт участия СВА в текущей деятельности банка, в том числе варианты митигации риска потери независимости и объективности внутреннего аудита.

Клиенты часто предлагают банкам такую структуру платежей и других операций, которая позволяет исполнить или по-иному прекратить обязательство и при этом обойтись без разрешения уполномоченного органа и без зачисления денег на счет типа «С». Банки должны оценить, соответствуют ли предложенные способы исполнения обязательств специальным экономическим мерам и правилам валютного контроля. В статье рассмотрены характерные схемы, претендующие на эффективность и позволяющие грамотно использовать послабления и льготы.

Хотя по статистике заверение о том, что «я внимательно про­читал(а) политику конфиденциальности», занимает несколько секунд, этот документ является основополагающим артефактом комплаенса, к которому нельзя относиться формально. Правильная политика поможет установить отношения с новыми контрагентами, защитить свои интересы в судебных спорах, избежать претензий Роскомнадзора. Ответим на основные вопросы, возникающие при разработке политики конфиденциальности, приведем примеры структуры и формулировок.

Как бороться с ошибочными сообщениями на горячую линию комплаенса и почему простое их игнорирование стоит считать неэффективной практикой? Почему СВА не должна быть владельцем горячей линии? Как обеспечить комфорт клиентов и операторов горячей линии в условиях импортозамещения програм­много обеспечения и перехода к новым провайдерам? Ответим на эти и другие вопросы, связанные с организацией горячей линии в ситуации, когда репутационный риск особенно высок, и сравним российскую практику с зарубежной.

Для внутренних аудиторов и риск-менеджеров большинства банков управление клиентским опытом и лояльностью — новая предметная область, которая остается вне периметра анализа и контроля. В лучшем случае эти службы рассматривают отдельные мероприятия и события в рамках других тематических проверок, а вопрос о создании или совершенствовании систем управления лояльностью остается в «слепой зоне». Но именно в ней и ведется бизнес. Организовать совместную работу с подразделениями по управлению клиентской лояльностью поможет методика на основе индекса чистой потребительской поддержки — Net Promoter Score (NPS).

В свое время Банк России признал РС БР ИББС-2.0-2007 необязательным, но многие банки продолжают им пользоваться, ведь замены нет. Между тем «бумажная» безопасность в последние годы переросла в организационно-технические меры, и шаблонные документы уже не годятся. Руководствуясь опытом и практикой, в цикле статей авторы опишут примерный «скелет» основных документов, что поможет специалистам ИБ, особенно в небольших банках, правильно регламентировать процессы.

Новшества в области защиты информации, включая семейство стандартов ГОСТ 57580, усиленные дефицитом ресурсов, привели к обострению двух заблуждений. Первое — когда вера в силу технологий сопряжена с игнорированием человеческого измерения проблемы: администраторов, операторов и пользователей, которые внедряют и используют эти технологии. Второе — когда метрики и целевые показатели превращаются в самоцель, подрывая исходную задачу. Разберемся, как правильно «срезать углы» с помощью автоматизации ИБ.