Методический журнал
Bнутренний контроль в кредитной организации

Друзья, в этом номере мы разбираем вызовы, которые диктуют стремительная цифровизация и ужесточение регуляторного поля. Законы меняются быстрее, чем многие кредитные организации успевают адаптироваться к ним, и задача внутреннего контроля и аудита — не отстать, а возглавить эти процессы, превратив их из угрозы в возможность. Технологии искусственного интеллекта уже не будущее, а повседневная реальность банков, пронизывающая все направления — от работы с клиентами до кибербезопасности. Но с новыми возможностями приходят и принципиально новые риски ИИ: «галлюцинации» моделей, предвзятость алгоритмов, проблемы с кибербезопасностью и этикой. Регулятор, как мы видим из новых документов Банка России, уже обратил на это пристальное внимание. В этой ситуации внутренний аудит имеет уникальный шанс выйти из роли ретроспективного контролера и стать проактивным архитектором системы управления рисками ИИ. Для этого нужны не просто проверки, а глубокое понимание технологий, участие в создании классификаций рисков и построении обучающих моделей на основе лучших практик, таких как репозитории MIT AI или AI Incident Database. В своей статье я как раз предлагаю конкретную дорожную карту для такого превращения. Параллельно на нас надвигается другая, не менее жесткая регуляторная волна. Положение № 851-П фактически заставит отказаться от использования уязвимых SMS и push-кодов для подтверждения операций. Ирина Чурикова подробно разбирает, почему полумеры вроде «облачной» подписи или формирования имитовставки на сервере — это иллюзия безопасности, которая не соответствует духу и букве требований. Криптография должна работать на стороне клиента, и это неизбежно. Внут­реннему контролю здесь предстоит сыграть ключевую роль, не допустив, чтобы стремление банков выполнить требования «быстро и дешево» привело к созданию фасадных, но уязвимых решений, чреватых огромными репутационными и финансовыми потерями. Пока мы укрепляем защиту транзакций, нельзя забывать и об общей киберустойчивости инфраструктуры. Наталья Аристова и Полина Быченок анализируют последние поправки к закону о КИИ, которые ужесточают требования к локализации ПО. Средний уровень импортозамещения в отрасли оценивается в 90%, но регулятор на этом не останавливается. Появление типовых отраслевых перечней объектов КИИ и альтернативного перечня доверенного российского ПО означает переход к более точечному и строгому надзору. Задача внутреннего ауди- та — обеспечить, чтобы процесс перехода был не просто формальным, а по-настоящему повышал технологический суверенитет и безопасность банка, минимизируя правовые и операционные риски. И наконец, в условиях роста убытков от операционного риска, особенно от внешнего мошенничества, критически важным становится взгляд со стороны. Елизавета Ясакова наглядно показывает ценность сравнительной аналитики на основе данных формы 0409106. Когда собственные процессы и метрики кажутся отлаженными, только сравнение с бенчмарками сопоставимых игроков рынка может выявить «слепые зоны» и аномалии, будь то неэффективность возмещения убытков, скрытая концентрация крупных потерь или пробелы в сборе данных. Это мощный инструмент для риск-менеджмента и внутреннего аудита, позволяющий перейти от реагирования к предупреждению. Таким образом, сквозной темой этого номера становится необходимость для служб внутреннего контроля и аудита эволюционировать вместе с рисками. От проверок исторических фактов — к проактивному моделированию и управлению рисками цифровой эпохи. От работы с внутренними метриками — к постоянному бенчмаркингу и анализу рыночного контекста. От формального соблюдения нормативов — к глубокому пониманию их технологической сути и построению по-настоящему устойчивых и безопасных систем. Материалы наших авторов предоставляют для этого и актуальную аналитику, и практические инструменты.

Идентификация и нормативное управление рисками ИИ — это уникальная возможность для создания дополнительной ценности внутреннего аудита, где его ключевая роль состоит в содействии постоянному мониторингу и совершенствованию процессов. Полагаем, эту мысль необходимо донести до каждого руководителя банка и всех структурных подразделений, «закрывающих двери» для аудиторов при возникновении непредвиденных сбоев и операционных инцидентов. И здесь внутренний аудит может стать главным информационным донором для защиты наиболее уязвимых бизнес-процессов и операционных систем.

Как выявить проблемные места в системе управления операционными рисками (СУОР) банка, сравнивая данные о его убытках от реализации операционных рисков с усредненными данными иных банков? На основании фактических рыночных данных 2024–2025 гг. рассмотрим основные тренды потерь от операционных рисков в российских банках, далее опишем подходы к проведению сравнительной аналитики, расскажем о наиболее полезных ее приемах и методах, а также о способах применения ее результатов.

Необходимость использовать оценки, полученные с применением ПВР, в процессах управления и принятия кредитных рисков может потребовать изменения процессов банка, в том числе в деятельности службы внутреннего аудита. Какие процессы применения моделей ПВР должна оценивать служба внутреннего аудита? Как выглядит общий алгоритм оценки? Каковы основные возможные ошибки в части качества данных при применении ПВР и как их можно избежать? Об этом — в статье Екатерины Драганюк (Банк России) с предисловием эксперта по ПВР Юрия Полянского.

ГОСТ Р 57580.4 структурирует требования вокруг восьми ключевых процессов. Рассмотрим два из них — идентификацию критичной архитектуры и управление ее изменениями. Именно они формируют основу всей системы операционной устойчивости. Почему именно они? Эти, казалось бы, «бумажные» процедуры напрямую влияют на устойчивость к кибератакам.

Согласно Инструкции № 213-И1 банки должны оценивать сделки на наличие риска повышенной притворности и повышенного риска неисполнения. В статье рассмотрена ситуация из практики, когда банк заключает встречные сделки на покупку у кредитных организаций слитков из драгоценных металлов и их продажу клиентам-нерезидентам в рамках одного операционного дня. Как применять Инструкцию № 213-И в такой ситуации?

С 1 октября 2025 г. в соответствии с Положением № 851-П российские банки должны обеспечить своим клиентам подтверждение операций по новым правилам, применяя криптографические механизмы для обеспечения целостности электронных сообщений. Стремясь выполнить требования Положения № 851-П быстро и с минимальными затратами, некоторые банки рассмат­ривают «обходные» пути, которые не обеспечивают реальной информационной безопасности. Разбираем ошибочные и правильные подходы.

Департамент информационной безопасности Банка России опуб­ликовал разъяснения, отвечающие на вопросы кредитных организаций о новых механизмах борьбы с мошенничеством. Речь идет о двух ключевых направлениях: блокировка выдачи наличных через банкоматы без согласия клиента и противодействие недобровольному оформлению потребительских кредитов.

В 2025 г. были приняты значимые поправки к Закону № 187-ФЗ, направленные на усиление технологической независимости и безопасности критической информационной инфраструктуры (КИИ). Эти изменения, введенные Законом № 58-ФЗ2 и вступившие в силу 1 сентября 2025 г., а также введенные Законом № 325-ФЗ3, который вступит в силу с 1 марта 2026 г., затрагивают состав субъектов КИИ и вводят для них новые обязанности.

Начиная с 1 июля 2025 г. для иностранных инвесторов, в том числе из недружественных государств (перечень которых утвержден Распоряжением Правительства РФ от 05.03.2022 ¹ 430-р), упрощен доступ к совершению операций на российском рынке, включая возможность перевода средств за пределы территории РФ. Такое упрощение стало возможным благодаря Указу Президента РФ от 01.07.2025 № 436 «О дополнительных гарантиях прав иностранных инвесторов» (далее — Указ, Указ № 436). Для реализации Указа были введены счета типа «Ин», которым и посвящена статья.

Компетенции сотрудников фронт-офиса надо или создавать, или развивать. С учетом кадровой текучки (а это вечная проблема фронта) делать это надо в сжатые сроки, но без ущерба качеству обучения. Все это приводит нас к необходимости системного подхода к обучению фронт-персонала, формирования четкой концепции обучения сотрудников фронт-офиса и порядка проверки их знаний и практических навыков.