Описание издания | Свежий номер | Архив | Приобрести/Подписаться |
Содержание номера 4/2023 ОПЕРАЦИОННЫЙ РИСК Размер операционного риска как один из компонентов формулы расчета норматива достаточности капитала чувствителен к полноте и корректности определения сумм прямых потерь, в том числе валовых и чистых. И без эффективно построенной процедуры выявления потерь и возмещений от событий операционного риска в бухгалтерском учете невозможно получить гарантию полноты сбора информации о прямых потерях. Исходя из логики и математики формул расчета операционного риска, приведенных в Положении № 744-П, определим параметры показателей и их взаимосвязи, при которых будет целесообразным переход на расчетный коэффициент внутренних потерь (КВП). При этом у крупных и средних банков будет разная относительная величина потерь (средние чистые потери относительно бизнес-индикатора) для получения положительного эффекта, абсолютные величины в данном контексте не столь важны. На вопрос, какая польза от определения критичной архитектуры (КА), смело можно ответить — предотвращение риска приостановки операций и снижение потерь. В противном случае велика вероятность простоев бизнес-процессов и, как следствие, убытка. Если для КИИ достаточно было учитывать ПО, оборудование, линии связи и базы данных, то в рамках КА необходимо иметь детальное описание технологических процессов и входящих в них технологических участков. Разберемся в нюансах определения КА и в том, как соответствовать требованиям Банка России. ОРГАНИЗАЦИЯ ВНУТРЕННЕГО КОНТРОЛЯ В практике банков сложились три основных подхода к организации методологической работы: централизованный, децентрализованный и кросс-функциональный. Выбор подхода определяется многими факторами: от «так исторически сложилось» до возможности «содержать» отдельное подразделение, занимающееся чисто обеспечивающей функцией. Оценим преимущества и недостатки каждого подхода и разберемся, как методологи могут принести банку максимальную пользу и какие требования к ним предъявлять. КОМПЛАЕНС После приостановки членства в ФАТФ Россия, более 20 лет следовавшая международной повестке, столкнулась с необходимостью самостоятельно определять векторы развития. Этому поспособствовало и приостановление членства Росфинмониторинга в группе «Эгмонт» в октябре 2023 года. Поиском «своего пути» озадачены не только регулятор и подразделения комплаенса российских банков, но и те, кому они противодействуют. Как с изменением схем сомнительных операций должна быть выстроена практика комплаенса? Бо´льшая часть контрсанкций оперирует терминами «недружественные государства» и «иностранные лица, связанные с недружественными государствами». Законодатель продолжил развивать норму о недружественных юрисдикциях. Что изменится в санкционном комплаенсе с 1 февраля 2024 года и какие первоочередные задачи нужно решить банкам до этой даты? Для модернизации программного обеспечения, связанного с данными клиентов, банки чаще всего обращаются к ИТ-подрядчикам. Но закон запрещает банкам передавать банковскую тайну кому-либо, кроме государственных органов, даже если клиенты дадут письменное согласие. Следует ли из этого, что привлечение ИТ-подрядчика на работы, связанные с банковской тайной, нарушает законодательство? Рассмотрим особенности заключения договоров, а также правовые риски привлечения ИТ-подрядчиков и хранения данных в облаке. ПОД/ФТ Банк России требует от банков организовать борьбу с дропами и предупреждает об ответственности. Но по состоянию на четвертый квартал 2023 года единой инструкции регулятор не разработал. Каждая финансовая организация выполняет это упражнение по-своему. Все банки понимают, что у них в действующей базе клиентов присутствуют дропы. Это могут быть либо реальные («засветившиеся», но еще не заблокированные), либо потенциальные (открывшие счет, но в настоящее время «спящие», готовящиеся к участию в новой схеме мошенничества) дропы. Как же их выявлять? ПРАКТИКА АУДИТА Обязательный аудит годовой бухгалтерской (финансовой) отчетности банков давно стал привычной процедурой. Санкции повысили заинтересованность банков и в других аудиторских процедурах — в частности, обеспечивающих уверенность. Разберем отдельные услуги, обеспечивающие уверенность, в том числе с точки зрения задач, которые они решают для банка, и построения взаимодействия с аудиторами. В рамках дистанционного аудита технологии искусственного интеллекта позволяют не только автоматизировать аудиторские процедуры, но и снизить влияние человеческого фактора, например при выявлении подозрительных операций. Фактически речь идет о создании обучаемой модели, позволяющей получить оцифрованную оценку операционных рисков, включая риски внутреннего мошенничества. Как строится алгоритм глубокого обучения модели? Несмотря на то, что особых нововведений в требованиях Банка России к оценке системы оплаты труда в последнее время не было, в меняющихся экономических условиях не теряет актуальность пересмотр KPI. Нельзя забывать и о правильности расчета нефиксированных вознаграждений. Рассмотрим некоторые спорные моменты в рамках Инструкции № 154-И, проанализируем последние ответы Банка России, разберем частые ошибки и перечислим опорные точки аудита системы оплаты труда и мотивации работников. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ По мнению автора, система управления рисками информационной безопасности (ИБ) построена далеко не во всех кредитных организациях — особенно это касается небольших банков. Появление Положения № 716-П и ГОСТ Р 57580.3-2022, а также Положения № 787-П и ГОСТ Р 57580.4-2022 не только увеличило нагрузку на подразделения банка, но и создало новые проблемы в области разделения зон ответственности. Разберемся, как службе ИБ и смежным подразделениям использовать эту ответственность в своих интересах. Продолжаем публиковать перечни документов, которые необходимо иметь банкам с учетом комплекса мер, предусмотренных Банком России в области информационной безопасности. В этом номере — положение о службе ИБ, должностные инструкции, регламент контроля процесса защиты информации, частная политика обеспечения ИБ на стадиях жизненного цикла АБС и другие документы. ОТВЕТЫ НА ВОПРОСЫ
|
|