www.reglament.net
Внутренний контроль
Издается с 2009 года.
Выходит один раз в квартал
Зарегистрирован Федеральной службой
по надзору в сфере связи, информационных
технологий и массовых коммуникаций
(Роскомнадзор) 23 ноября 2009 года.
Свидетельство о регистрации ПИ № ФС77-38165
Учредитель и издатель
ООО «Регламент»
www.reglament.net
Генеральный директор
В.Г. Богданов
© ООО «Регламент», 2023
Индексы в каталогах
УП УРАЛ-ПРЕСС: 48544
«Книга-Сервис»: 41682
Подписка через Интернет
www.reglament.net
Редакционная подписка
возможна с любого месяца.
Телефон отдела прямых продаж
(495) 255-5177, доб. 215
e-mail: podpiska@reglament.net
По всем вопросам, связанным с доставкой изданий и отчетных документов, обращайтесь в отдел
распространения и логистики ООО «Регламент» по тел. (495) 255-5177, доб. 289.
Мнения, оценки и рекомендации в статьях, размещенных в журнале, отражают точку зрения их
авторов и не являются обязательными к исполнению. ООО «Регламент» и авторы материалов, опубликованных
в журнале, не несут ответственности за возможные убытки, которые могут быть причинены
лицам в результате использования или невозможности использования ими размещенных
материалов. Пользователь самостоятельно оценивает возможные риски совершения юридически
значимых действий на основе размещенной в журнале информации и несет ответственность за их
неблагоприятные последствия. Полное или частичное воспроизведение каким-либо способом материалов,
опубликованных в журнале, допускается только с письменного разрешения редакции. Редакция
не несет ответственности за достоверность информации в рекламных объявлениях.
Адрес учредителя, издателя и редакции: 125167, Ленинградский просп., 37, БЦ «Аэродом», 8 этаж, оф. 8.2.
Телефон (495) 255-5177.
Отпечатано в типографии «OneBook.ru» ООО «Сам Полиграфист». Адрес: 129090, г. Москва, Протопоповский
пер., 6. Тираж 1500 экз. Цена свободная. Подписано в печать 03.03.2023.
Экспертный совет журнала
Михаил КОРНЕЕВ, АО АКБ «ЕВРОФИНАНС МОСНАРБАНК», заместитель руководителя службы
внутреннего аудита, к.э.н.
Андрей ПУГАЧЕВ, ПАО Сбербанк, Управление внутреннего аудита по Среднерусскому банку,
главный аудитор, доцент кафедры финансов и кредита ЯрГУ им. П.Г. Демидова, к.э.н.
Михаил КАРАТАЕВ, Банк ГПБ (АО), управляющий директор Департамента развития цифровых
платформ, к.э.н.
Иван ПИСКУНОВ, эксперт по информационной безопасности, CEH, CCNA, MSCA, IT-Auditor
1
№ 1 (57) \ 2023
Ответственный секретарь Департамента
финансовых и методических изданий
И.М. Ананьева
ananieva@reglament.net
Выпускающий редактор Е.В. Полякова
Отдел предпечатной подготовки
и производства
Начальник отдела А.Н. Тимченко
Верстка С.В. Шеришорин
Отдел маркетинга
Директор по маркетингу А.В. Гришунин
grishunin@reglament.net
в кредитной организации
Методический журнал
Стр.1
Внутренний контроль в кредитной организации
№ 1 (57) \ 2023
Содержание
КОНТРОЛЬ РИСКОВ
6 Майя САВИЦКАЯ, Иван РОЩУПКИН, ООО «ФБК»
КАК ОЦЕНИТЬ КАЧЕСТВО ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
ПО ПОЛОЖЕНИЮ № 716-П И ЗАЧЕМ ЭТО НУЖНО
Процедуры управления качеством данных часто вызывают методологические
и технические затруднения, ведь раньше подобных мероприятий большинство
банков не проводили. А специалистов, умеющих оценивать качество
данных в информационных системах, немного. Как «подступиться» к оценке,
каким может быть алгоритм действий, как оценивать данные из внешних
информационных систем и какие стандарты пригодятся для оценки?
22 Рустам ГУСЕЙНОВ, Rad Cop, эксперт Ассоциации российских банков
РЕГУЛИРОВАНИЕ РИСКОВ АУТСОРСИНГА ИБ:
ЧЕГО ОПАСАТЬСЯ БАНКАМ
Когда ЦБ запустил сбор обратной связи по планам регулирования аутсорсинга
с точки зрения информационной безопасности, у банков и поставщиков
ИТ-услуг возникли обоснованные вопросы к инициативе регулятора. К чему
она может привести и какие сценарии могут быть реализованы? Какова,
например, позиция экспертов АРБ — участников обсуждения законопроекта,
подготовленного для внесения в Госдуму?
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
27 Евгений ЦАРЕВ, RTM Group
ТРЕБОВАНИЯ РЕГУЛЯТОРА ПО ИБ: ЧТО ОНИ ДАЮТ
ДЛЯ РЕАЛЬНОЙ БЕЗОПАСНОСТИ
Часто банки стоят перед выбором — направить ресурсы на обеспечение
реальной безопасности или на выполнение требований законодательства,
польза которых неочевидна. Разберемся, есть ли граница между практической
и законодательной информационной безопасностью, найдем смысл
в неочевидных требованиях и дадим практические советы, как повысить
готовность к новым вызовам в сфере защиты данных.
39 Евгений КАРПОВ, АО КБ «Хлынов»
ПЕН-ТЕСТ: ВЗГЛЯД ИЗНУТРИ БАНКА. КАК САМИМ ПРОЧУВСТВОВАТЬ
СЛАБЫЕ МЕСТА
Как грамотно подойти к тестированию на проникновение и провести его
с максимальным результатом без существенных негативных эффектов?
Какие цели поставить перед исполнителем, что включить в зону тестирования
и что входит в официальную и неофициальную «уборку» после пен-теста?
Отвечаем на эти и другие вопросы, основываясь на опыте рядового классического
регионального банка.
2
Стр.2
www.reglament.net
Внутренний контроль
№ 1 (57) \ 2023
КОМПЛАЕНС
50 Мария ФРОЛОВА, Руслан ГАСПАРЯН, группа компаний Б1
КАК ВЫПОЛНЯТЬ ТРЕБОВАНИЯ МЕЖДУНАРОДНЫХ РЕЖИМОВ
РАСКРЫТИЯ ИНФОРМАЦИИ БЫСТРО И С МИНИМУМОМ ЗАТРАТ
Нормативные акты РФ, которые запрещали бы выполнять требования
FATCA российским банкам, не опубликованы и не заявлены. Продолжается
и обмен в рамках CRS с большинством стран-участниц. Ключевыми
причинами невыполнения требований в нынешних условиях могут стать
разноч тения в схожих определениях и невозможность оперативно сверять
между собой данные разных внутренних систем. Какие шаги позволят
снизить риск невыполнения требований и решить проблему разрозненных
данных?
56 Парамон МЕЗАНОВ, практикующий банковский юрист
РАЗРЕШЕНИЕ УПОЛНОМОЧЕННОГО ОРГАНА НА СОВЕРШЕНИЕ СДЕЛОК:
НА ЧТО ОБРАТИТЬ ВНИМАНИЕ
Особый порядок совершения сделок и операций обязывает участников ряда
сделок действовать на основании индивидуальных или общих разрешений.
Единого регламента их выдачи нет, а их условия требуют дополнительных
комментариев. Разногласия между участниками сделок и банками можно
уменьшить, если посмотреть на складывающуюся правоприменительную
практику и позиции уполномоченных органов и ведомств.
65 Денис ПРИМАКОВ, АБ КИАП
ТРИ НОВЫХ ТРЕНДА В САНКЦИОННОМ КОМПЛАЕНСЕ:
«ФИЗИКИ», РОССИЙСКИЕ РЕГУЛЯТОРЫ, ИНФОРМАТОРЫ
Многомиллионные штрафы, накладываемые регуляторами США, научили
банки последовательно развивать санкционный комплаенс. С другой стороны,
с появлением в РФ санкционного регулятора возросли требования
и российского регулирования. Не претендуя на описание всех масштабных
изменений, обозначим самые явные тренды как в российском, так и в зарубежном
регулировании.
75 Юлия СЕВАСТЬЯНОВА, банковский юрист
ПЕРЕВОД БЕЗ СОГЛАСИЯ КЛИЕНТА: КОГДА НАЧИНАЕТСЯ ЗОНА
ОТВЕТСТВЕННОСТИ БАНКА?
Раньше взыскать с банка убытки, вызванные списанием денег со счета без
согласия клиента, было непросто. Суды учитывали формальное соблюдение
нормативных условий, не возлагая на банки обязанность отслеживать
частоту и характер списаний. Но в последнее время ситуация изменилась.
Как складывается судебная практика, связанная с исполнением Приказа
№ ОД-2525, утвердившего признаки перевода без согласия клиента?
3
в кредитной организации
Методический журнал
Стр.3
Внутренний контроль в кредитной организации
№ 1 (57) \ 2023
Содержание
ПРАКТИКА АУДИТА
87 Алсу ОЗКАН, ООО «Листик и Партнеры»
ПЯТЬ ЭТАПОВ АУДИТА ОТРАЖЕНИЯ ЗАЛОГОВ, ПРИНЯТЫХ В КАЧЕСТВЕ
ОБЕСПЕЧЕНИЯ ПО ССУДАМ
Порядок составления и представления формы 0409310 «Сведения о предметах
залога, принятых кредитными организациями в качестве обеспечения
по ссудам» систематически обновляется. Рассмотрим наилучшую практику
выстраивания программы внутреннего аудита отчетности по залоговым операциям
и ответим на сложные вопросы.
ПРОВЕРКА КОНТРАГЕНТА
99 Алексей НИКОЛЬСКИЙ, FI Group
ПОМОЖЕТ ЛИ ФОРЕНЗИК ПРИ ВЗЫСКАНИИ ПРОБЛЕМНОЙ
ЗАДОЛЖЕННОСТИ
C одной стороны, банк заинтересован в досудебном урегулировании задолженности.
С другой стороны, если должник ведет себя недобросовестно,
то длительные переговоры и реструктуризация дают ему возможность вывести
активы. Какие пять задач позволит решить форензик-расследование
в такой ситуации и почему форензик — все-таки не панацея?
ОТВЕТЫ НА ВОПРОСЫ
110 КАКИМИ ВНУТРЕННИМИ ДОКУМЕНТАМИ ОФОРМИТЬ ВВЕДЕНИЕ ВИДЕОНАБЛЮДЕНИЯ В БАНКЕ?
4
Стр.4