Методический журнал
Bнутренний контроль в кредитной организации

В 2024–2025 годах в области защиты информации и операционной надежности финансовых организаций произошли существенные изменения. Были актуализированы положения Банка России, приняты новые методические рекомендации и разработаны проекты национальных стандартов серии ГОСТ Р 57580, направленные на унификацию требований и повышение уровня защищенности. Разберем ключевые изменения и их возможное влияние на практику оценки соответствия и обеспечения информационной безопасности.

Стандарт НСПК1 вызвал много вопросов о порядке исполнения. Основной проблемой является четкое разделение функций между службой управления операционными рисками (СУОР) и службой информационной безопасности (СИБ), из чего следует и набор компетенций. Сотрудники СУОР не являются экспертами в ИТ-вопросах, а сотрудники СИБ не применяют риск-ориентированные подходы в управлении. При возложении ответственности за исполнение стандарта на любую из данных служб будет проб­лема в его исполнении. В статье рассмотрим: (1) регуляторное окружение стандарта, (2) его структуру, (3) ключевые положения, (4) способы реализации требований.

Если в отношении проблем, связанных с неинформационными угрозами, в большинстве банков процесс более-менее отработан и проводятся плановые учения и тренировки, то в отношении информационных проблем еще есть над чем поработать. Если не позаботиться о своевременном восстановлении этих составляющих, реализация бизнес- и технологических процессов станет практически невозможной. Опишем процесс формирования сценариев тестирования операционной надежности, основные этапы тестирования и моменты, требующие особого внимания, приведем кейсы из практики RTM Group и чек-лист для эффективного тестирования.

Ничто, пожалуй, не позволяет лучше понять глобальность проникновения функции ПОД/ФТ в банковские процессы, чем перечень подлежащих обучению подразделений. Указание № 1485-У требует обучать сотрудников не только подразделения ПОД/ФТ, но и всех подразделений, участвующих в осуществлении банковских операций и иных сделок, юридического подразделения, подразделения безопасности, служб внутреннего контроля и внутреннего аудита. При этом мало кто правильно понимает обратную сторону медали — необходимость учета при формировании методологии ПОД/ФТ всех нормативных изменений, прямо или косвенно затрагивающих процессы каждого подразделения.

Оценка комплаенс-рисков при внедрении новых продуктов/услуг или технологий их предоставления — обязанность или необходимость? Можно ли обойтись без этого и есть ли практическая польза? Давайте разбираться, кому это нужно и как правильно организовать такую оценку.

Как должны эволюционировать процессы комплаенс-подразделений финансовых организаций и профессиональных участников рынка цифровых активов и валют в ответ на тренд на токенизацию активов, DeFi-платформы и новые типологии отмывания средств?

В этом материале мы продолжаем так любимую нами в этом году тему защиты интересов прав потребителей и повышения уровня финансовой грамотности граждан. Еще раз напомним, что тема эта проходит красной нитью в Стратегии развития финансового рынка РФ до 2030 года, повышенное внимание ей уделяется на федеральном уровне — примером являются, в частности, изменения в ГК РФ, о которых также пойдет речь в статье. Сегодня поговорим о большой и устойчиво растущей целевой клиентской группе банков — детях.

Выявленные риски использования технологий искусственного интеллекта во внутреннем аудите говорят о необходимости создания специальных агентов ИИ, обучение которых позволит минимизировать основные угрозы и адаптировать их работу под конкретные задачи банка, включая сохранение целостности и конфиденциальности данных. Речь идет о создании внутренних ИИ-помощников на основе внешних — своего рода адаптации новых технологий для своего внутреннего контура.

Обзор практики по отдельным вопросам применения ст. 15.25 КоАП РФ (далее — Обзор) содержит группы ситуаций, связанных с квалификацией административных правонарушений в зависимости от прав и обязанностей в области валютных отношений. Так, можно выделить: (1) вопросы учета контрактов в уполномоченном банке; (2) ситуации, связанные с наличными расчетами между юридическими лицами и физическими лицами — нерезидентами; (3) выводы судов относительно валютных операций без подтверждения встречного исполнения и пр. Для статьи были выбраны наиболее значимые ситуации, которые могут возникать в практике и уполно­моченных банков, и их клиентов — участников ВЭД.

Почти два года назад мы писали о профилях дропов и способах их выявления. Сейчас тема заиграла новыми красками в свете выхода нового закона о запрете дроперской деятельности. И судя по интересу СМИ к данной теме — старые публикации и тезисы становятся все более актуальными сегодня. Если банки не смогут эффективно выявлять дропов на этапе приема и в процессе обслуживания, то штрафов от ЦБ не избежать. В статье представлен методологический подход к выявлению дропов с акцентом на актуальные изменения в законе и накопленный опыт выявления дропов в банках топ-3.