16.12.2003 Дата принятия: 16.12.2003
Зарегистрировано в Минюсте РФ 27 января 2004 г. N 5489
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
16 декабря 2003 г. N 242-П
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ
В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ И БАНКОВСКИХ ГРУППАХ
(в ред. Указаний ЦБ РФ от 30.11.2004 N 1521-У, от 05.03.2009 N 2194-У)
Настоящее Положение разработано в соответствии с Федеральным законом "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157), Федеральным законом "О банках и банковской деятельности" (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 1998, N 31, ст. 3829; 1999, N 28, ст. 3459, ст. 3469; 2001, N 26, ст. 2586; N 33 (часть I), ст. 3424; 2002, N 12, ст. 1093; 2003, N 27 (часть I), ст. 2700) и в соответствии с решением Совета директоров Банка России (протокол от 28.11.2003 N 27) и устанавливает правила организации внутреннего контроля в кредитных организациях и банковских группах, а также особенности порядка осуществления Банком России надзора за соблюдением указанных правил.
1. Общие положения
1.1. Для целей настоящего Положения используются следующие понятия:
Внутренний контроль - деятельность, осуществляемая кредитной организацией (ее органами управления, подразделениями и служащими) и направленная на достижение целей, определенных пунктом 1.2 настоящего Положения.
Система внутреннего контроля - совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, настоящим Положением, учредительными и внутренними документами кредитной организации.
Система органов внутреннего контроля - определенная учредительными и внутренними документами кредитной организации совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля.
1.2. Внутренний контроль осуществляется в целях обеспечения:
1.2.1. Эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками, под которым понимается:
выявление, измерение и определение приемлемого уровня банковских рисков, присущих банковской деятельности типичных возможностей понесения кредитной организацией потерь и (или) ухудшения ликвидности вследствие наступления связанных с внутренними и (или) внешними факторами деятельности кредитной организации неблагоприятных событий;
постоянное наблюдение за банковскими рисками;
принятие мер по поддержанию на не угрожающем финансовой устойчивости кредитной организации и интересам ее кредиторов и вкладчиков уровне банковских рисков.
1.2.2. Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности (защищенности интересов (целей) кредитной организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений).
1.2.3. Соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.
1.2.4. Исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России.
1.3. В кредитных организациях банковской группы внутренний контроль осуществляется в соответствии с правилами, установленными настоящим Положением для кредитной организации.
В целях управления банковскими рисками на консолидированной основе в целом по банковской группе организация внутреннего контроля в банковской группе предусматривает единство подходов к организации внутреннего контроля в кредитных организациях, входящих в банковскую группу.
2. Система органов внутреннего контроля
2.1. В соответствии со статьями 10 и 24 Федерального закона "О банках и банковской деятельности" в уставе кредитной организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях, а организационная структура кредитной организации в части распределения полномочий между членами совета директоров (наблюдательного совета) коллегиального исполнительного органа, определения полномочий единоличного исполнительного органа, полномочий, подотчетности и ответственности всех подразделений кредитной организации, служащих должна соответствовать характеру и масштабам проводимых операций.
2.2. Внутренний контроль должны осуществлять в соответствии с полномочиями, определенными учредительными и внутренними документами кредитной организации:
органы управления кредитной организации, предусмотренные статьей 11.1 Федерального закона "О банках и банковской деятельности";
ревизионная комиссия (ревизор);
главный бухгалтер (его заместители) кредитной организации;
руководитель (его заместители) и главный бухгалтер (его заместители) филиала кредитной организации;
подразделения и служащие, осуществляющие внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами кредитной организации, включая:
2.2.1. Службу внутреннего контроля (внутреннего аудита) (далее - служба внутреннего контроля) - структурное подразделение кредитной организации, осуществляющее деятельность в соответствии с требованиями главы 4 настоящего Положения.
2.2.2. Ответственного сотрудника (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, назначаемого (создаваемого) и осуществляющего свою деятельность в соответствии с пунктом 2 статьи 7 Федерального закона от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (Собрание законодательства Российской Федерации, 2001, N 33, ст. 3418; 2002, N 44, ст. 4296; 2004, N 31, ст. 3224; 2006, N 31, ст. 3446; 2007, N 16, ст. 1831; N 49, ст. 6036).
(пп. 2.2.2 в ред. Указания ЦБ РФ от 05.03.2009 N 2194-У)
2.2.3. Иные структурные подразделения и (или) ответственных сотрудников кредитной организации, к которым, в зависимости от характера и масштаба деятельности кредитной организации, могут относиться:
контролер профессионального участника рынка ценных бумаг - ответственный сотрудник и (или) структурное подразделение, осуществляющее проверку соответствия деятельности кредитной организации, как профессионального участника рынка ценных бумаг, требованиям законодательства Российской Федерации о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг;
ответственный сотрудник по правовым вопросам - сотрудник и (или) структурное подразделение, отвечающее за проверку соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.
2.3. Особенности организации и осуществления внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и соблюдения законодательства Российской Федерации о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг определяются иными нормативными правовыми актами.
2.4. Структурные подразделения (ответственные сотрудники), предусмотренные пунктом 2.2 настоящего Положения (за исключением ответственного сотрудника (структурного подразделения) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма), могут быть включены в состав службы внутреннего контроля. В этом случае указанные структурные подразделения (ответственные сотрудники) не имеют права осуществлять функции службы внутреннего контроля по направлениям своей непосредственной деятельности, т.е. проверять работу контролера (подразделения внутреннего контроля) профессионального участника рынка ценных бумаг, ответственного сотрудника (структурного подразделения) по правовым вопросам.
3. Система внутреннего контроля
3.1. Система внутреннего контроля кредитной организации должна включать следующие направления:
- контроль со стороны органов управления за организацией деятельности кредитной организации;
- контроль за функционированием системы управления банковскими рисками и оценка банковских рисков;
- контроль за распределением полномочий при совершении банковских операций и других сделок;
- контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности;
- осуществляемое на постоянной основе наблюдение за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности кредитной организации, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля кредитной организации (далее - мониторинг системы внутреннего контроля).
3.2. Рекомендации по осуществлению контроля со стороны органов управления за организацией деятельности кредитной организации приведены в Приложении 1 к настоящему Положению.
3.3. Контроль за функционированием системы управления банковскими рисками и оценка банковских рисков.
3.3.1. Контроль за функционированием системы управления банковскими рисками кредитная организация осуществляет на постоянной основе в порядке, установленном внутренними документами.
3.3.2. Оценка банковских рисков предусматривает выявление и анализ внутренних (сложность организационной структуры, уровень квалификации служащих, организационные изменения, текучесть кадров и т.д.) и внешних (изменение экономических условий деятельности кредитной организации, применяемые технологии и т.д.) факторов, оказывающих воздействие на деятельность кредитной организации.
Внутренними документами кредитной организации должен быть предусмотрен порядок информирования соответствующих руководителей о факторах, влияющих на повышение банковских рисков.
3.3.3. Оценка банковских рисков в кредитной организации должна проводиться на консолидированной основе с учетом всех организаций, являющихся по отношению к ней дочерними или зависимыми.
3.4. Контроль за распределением полномочий при совершении банковских операций и других сделок.
3.4.1. Порядок распределения полномочий между подразделениями и служащими при совершении банковских операций и других сделок устанавливается внутренними документами кредитной организации и должен включать в том числе такие формы (способы) контроля, как:
- проверки, осуществляемые органами управления путем запроса отчетов и информации о результатах деятельности структурных подразделений, разъяснений руководителей соответствующих подразделений в целях выявления недостатков контроля, нарушений, ошибок;
- контроль, осуществляемый руководителями подразделений посредством проверки отчетов о работе подчиненных им служащих (на ежедневной и (или) еженедельной и (или) ежемесячной основе);
- материальный (физический) контроль, осуществляемый путем проверок ограничений доступа к материальным ценностям, пересчета материальных ценностей (денежной наличности, ценных бумаг в документарной форме и т.п.), разделения ответственности за хранение и использование материальных ценностей, обеспечение охраны помещений для хранения материальных ценностей;
- проверка соблюдения установленных лимитов на осуществление банковских операций и других сделок путем получения соответствующих отчетов и сверки с данными первичных документов;
- система согласования (утверждения) операций (сделок) и распределения полномочий при совершении банковских операций и других сделок, превышающих установленные лимиты, предусматривающая своевременное информирование соответствующих руководителей кредитной организации (ее подразделений) о таких операциях (сделках) или сложившейся ситуации и их надлежащее отражение в бухгалтерском учете и отчетности;
- проверка соблюдения порядка совершения (процедур) банковских операций и других сделок, выверка счетов, информирование соответствующих руководителей кредитной организации (ее подразделений) о выявленных нарушениях, ошибках и недостатках.
3.4.2. Кредитная организация должна обеспечить распределение должностных обязанностей служащих таким образом, чтобы исключить конфликт интересов (противоречие между имущественными и иными интересами кредитной организации и (или) ее служащих и (или) клиентов, которое может повлечь за собой неблагоприятные последствия для кредитной организации и (или) ее клиентов) и условия его возникновения, совершение преступлений и осуществление иных противоправных действий при совершении банковских операций и других сделок, а также предоставление одному и тому же подразделению или служащему права:
- совершать банковские операции и другие сделки и осуществлять их регистрацию и (или) отражение в учете;
- санкционировать выплату денежных средств и осуществлять (совершать) их фактическую выплату;
- проводить операции по счетам клиентов кредитной организации и счетам, отражающим собственную финансово-хозяйственную деятельность кредитной организации;
- предоставлять консультационные и информационные услуги клиентам кредитной организации и совершать операции с теми же клиентами;
- оценивать достоверность и полноту документов, представляемых при выдаче кредита, и осуществлять мониторинг финансового состояния заемщика;
- совершать действия в любых других областях, где может возникнуть конфликт интересов.
3.4.3. Кредитная организация должна установить порядок выявления и контроля за областями потенциального конфликта интересов, проверки должностных обязанностей служащих, занимающих должности, предусмотренные частью третьей статьи 11.1 Федерального закона "О банках и банковской деятельности", а также иных служащих кредитной организации, с тем, чтобы исключить возможность сокрытия ими противоправных действий.
3.5. Контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности.
3.5.1. Информация по направлениям деятельности кредитной организации должна быть своевременной, надежной, доступной и правильно оформленной. Информация состоит из сведений о деятельности кредитной организации и ее результатах, данных о соблюдении установленных требований нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации, а также из сведений о событиях и условиях, имеющих отношение к принятию решений. Форма представления информации должна быть определена с учетом потребностей конкретного получателя (органы управления, подразделения, служащие кредитной организации).
Порядок контроля за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности должен быть установлен внутренними документами кредитной организации с учетом положений данного и других подпунктов пункта 3.5 настоящего Положения и должен распространяться на все направления ее деятельности.
3.5.2. Внутренний контроль за автоматизированными информационными системами и техническими средствами состоит из общего контроля и программного контроля.
3.5.3. Общий контроль автоматизированных информационных систем предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы.
Общий контроль состоит из осуществляемых кредитной организацией процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа.
3.5.4. Программный контроль осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т.п.).
3.5.5. Кредитная организация устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях.
3.6. Мониторинг системы внутреннего контроля.
3.6.1. Мониторинг системы внутреннего контроля осуществляется на постоянной основе. Во внутренних документах кредитной организации должен быть определен порядок осуществления мониторинга системы внутреннего контроля (методики, правила, периодичность, порядок рассмотрения результатов мониторинга и т.д.). Кредитная организация принимает необходимые меры по совершенствованию внутреннего контроля для обеспечения его эффективного функционирования, в том числе с учетом меняющихся внутренних и внешних факторов, оказывающих воздействие на деятельность кредитной организации.
3.6.2. Мониторинг системы внутреннего контроля осуществляется руководством и служащими различных подразделений, включая подразделения, осуществляющие банковские операции и другие сделки и их отражение в бухгалтерском учете и отчетности, а также службой внутреннего контроля.
Периодичность осуществления наблюдения за различными видами деятельности кредитной организации определяется исходя из связанных с ними банковских рисков, частоты и характера изменений, происходящих в направлениях деятельности кредитной организации.
Результаты рассмотрения документируются и доводятся до сведения соответствующих руководителей кредитной организации (ее подразделений).
3.7. Кредитной организации необходимо обеспечить непрерывность деятельности и (или) восстановление деятельности, нарушенной в результате непредвиденных обстоятельств. В указанных целях кредитная организация должна иметь план действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств, предусматривающий использование дублирующих (резервных) автоматизированных систем и (или) устройств, а также восстановление критически важных для деятельности кредитной организации систем, поддерживаемых внешним поставщиком (провайдером) услуг. Кредитная организация определяет порядок проверки возможности выполнения плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности в случае возникновения непредвиденных обстоятельств.
Рекомендации по структуре и содержанию плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств, а также по организации проверки возможности его выполнения приведены в приложении 5 к настоящему Положению.
(п. 3.7 в ред. Указания ЦБ РФ от 05.03.2009 N 2194-У)
3.8. Кредитная организация должна принять внутренние документы по основным вопросам, связанным с осуществлением внутреннего контроля, предусмотренным Приложением 2 к настоящему Положению.
Внутренние документы (правила, процедуры, положения, распоряжения, решения, приказы, методики, должностные инструкции и иные документы в формах, принятых в международной банковской практике) могут приниматься кредитной организацией и по иным вопросам совершения банковских операций и других сделок. Сочетание вопросов в принимаемых кредитной организацией внутренних документах определяется ею самостоятельно с учетом условий деятельности, включая в том числе объем и характер операций, виды и уровень банковских рисков, иные обстоятельства.
4. Служба внутреннего контроля
4.1. Служба внутреннего контроля кредитной организации создается для осуществления внутреннего контроля и содействия органам управления кредитной организации в обеспечении эффективного функционирования кредитной организации.
4.2. Внутренний документ, регулирующий деятельность службы внутреннего контроля (далее - положение о службе внутреннего контроля) должен определять:
цели и сферу деятельности службы внутреннего контроля;
принципы (стандарты) и методы деятельности службы внутреннего контроля, отвечающие требованиям настоящего Положения;
статус службы внутреннего контроля в организационной структуре кредитной организации, ее задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями кредитной организации, в том числе осуществляющими контрольные функции;
подчиненность и подотчетность руководителя службы внутреннего контроля;
обязанность руководителя службы внутреннего контроля информировать о выявляемых при проведении проверок нарушениях (недостатках) по вопросам, определяемым кредитной организацией, совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительный орган и руководителя структурного подразделения кредитной организации, в котором проводилась проверка;
обязанность руководителя и служащих службы внутреннего контроля информировать органы управления кредитной организации о всех случаях, которые препятствуют осуществлению службой внутреннего контроля своих функций;
порядок участия службы внутреннего контроля в разработке внутренних документов кредитной организации;
ответственность руководителя службы внутреннего контроля в случаях неинформирования или несвоевременного информирования по вопросам, определяемым кредитной организацией, совета директоров (наблюдательного совета), единоличного и коллегиального исполнительного органа.
4.3. Положение о службе внутреннего контроля утверждается советом директоров (наблюдательным советом) кредитной организации в соответствии со статьями 48 и 65 Федерального закона "Об акционерных обществах" (Собрание законодательства Российской Федерации, 1996, N 1, ст. 1; 2001, N 33 (часть I), ст. 3423; 2002, N 45, ст. 4436) и статьей 32 Федерального закона "Об обществах с ограниченной ответственностью" (Собрание законодательства Российской Федерации, 1998, N 7, ст. 785), если в уставе кредитной организации не предусмотрено иное.
4.4. Служба внутреннего контроля осуществляет следующие функции:
4.4.1. Проверка и оценка эффективности системы внутреннего контроля.
4.4.2. Проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками (методик, программ, правил, порядков и процедур совершения банковских операций и сделок, управления банковскими рисками).
4.4.3. Проверка надежности функционирования системы внутреннего контроля за использованием автоматизированных информационных систем, включая контроль целостности баз данных и их защиты от несанкционированного доступа и (или) использования, с учетом мер, принятых на случай непредвиденных обстоятельств в соответствии с планом действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств.
(в ред. Указания ЦБ РФ от 05.03.2009 N 2194-У)
4.4.4. Проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование, а также надежности (включая достоверность, полноту и объективность) и своевременности сбора и представления информации и отчетности.
4.4.5. Проверка достоверности, полноты, объективности и своевременности представления иных сведений в соответствии с нормативными правовыми актами в органы государственной власти и Банк России.
4.4.6. Проверка применяемых способов (методов) обеспечения сохранности имущества кредитной организации.
4.4.7. Оценка экономической целесообразности и эффективности совершаемых кредитной организацией операций.
4.4.8. Проверка соответствия внутренних документов кредитной организации нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг).
4.4.9. Проверка процессов и процедур внутреннего контроля.
4.4.10. Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения.
4.4.11. Оценка работы службы управления персоналом кредитной организации.
4.4.12. Другие вопросы, предусмотренные внутренними документами кредитной организации.
4.5. Кредитная организация обязана обеспечить постоянство деятельности, независимость и беспристрастность службы внутреннего контроля, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций.
4.6. Постоянство деятельности службы внутреннего контроля означает, что служба внутреннего контроля кредитной организации должна действовать на постоянной основе.
4.6.1. Кредитная организация должна установить численный состав, структуру и техническую обеспеченность службы внутреннего контроля в соответствии с масштабами деятельности, характером совершаемых банковских операций и сделок.
4.6.2. Служба внутреннего контроля должна состоять из служащих, входящих в штат кредитной организации.
Не допускается передача функций службы внутреннего контроля кредитной организации сторонней организации, за исключением случая, указанного в подпункте 4.6.3 пункта 4.6 настоящего Положения.
4.6.3. В кредитной организации, входящей в состав банковской группы, допускается передача отдельных функций службы внутреннего контроля службе внутреннего контроля другой кредитной организации, входящей в банковскую группу. Основанием для принятия решения о передаче отдельных функций службы внутреннего контроля является отсутствие у кредитной организации специалистов по подлежащим контролю видам деятельности и невозможность или нецелесообразность найма таких специалистов на постоянной основе с учетом характера и масштабов деятельности кредитной организации. Перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля должны быть согласованы между кредитными организациями в письменной форме. При этом ответственность за эффективность осуществления переданных функций несет кредитная организация, принявшая решение о передаче отдельных функций службы внутреннего контроля.
Сведения о передаче отдельных функций службы внутреннего контроля в кредитных организациях, входящих в состав банковской группы, содержащие перечень передаваемых функций, порядок взаимодействия и ответственность при осуществлении функций службы внутреннего контроля, представляются в территориальные учреждения Банка России по месту обслуживания каждой из указанных кредитных организаций, входящих в состав банковской группы, в составе Справки о внутреннем контроле в кредитной организации, предусмотренной пунктом 5.1 настоящего Положения.
4.7. Независимость службы внутреннего контроля.
4.7.1. Кредитная организация обеспечивает независимость службы внутреннего контроля в соответствии с порядком, в котором должно быть установлено, что служба внутреннего контроля:
действует под непосредственным контролем совета директоров (наблюдательного совета);
не осуществляет деятельность, подвергаемую проверкам, за исключением случаев, предусмотренных абзацем пятым настоящего подпункта;
по собственной инициативе докладывает совету директоров (наблюдательному совету) о вопросах, возникающих в ходе осуществления службой внутреннего контроля своих функций, и предложениях по их решению, а также раскрывает эту информацию единоличному и коллегиальному исполнительному органу кредитной организации;
подлежит независимой проверке аудиторской организацией или советом директоров (наблюдательным советом), если такая проверка предусмотрена уставом кредитной организации.
4.7.2. Во внутренних документах кредитной организации должно быть предусмотрено:
порядок утверждения положения о службе внутреннего контроля, годовых и текущих планов проверок, отчетов о выполнении планов проверок в соответствии со статьями 48 и 65 Федерального закона "Об акционерных обществах" и со статьей 32 Федерального закона "Об обществах с ограниченной ответственностью";
подотчетность руководителя службы внутреннего контроля совету директоров (наблюдательному совету) кредитной организации;
подчиненность руководителя подразделения внутреннего контроля филиала кредитной организации (при наличии подразделения внутреннего контроля в филиале) или служащего филиала кредитной организации, выполняющего функции представителя службы внутреннего контроля кредитной организации в соответствующем филиале, руководителю службы внутреннего контроля кредитной организации;
право руководителя службы внутреннего контроля взаимодействовать с соответствующими руководителями кредитной организации (ее подразделений) для оперативного решения вопросов и порядок такого взаимодействия;
невозможность функционального подчинения руководителю (его заместителям) службы внутреннего контроля иных подразделений кредитной организации, а также совмещения служащими службы внутреннего контроля (включая руководителя и его заместителей) своей деятельности с деятельностью в других подразделениях кредитной организации;
участие службы внутреннего контроля в разработке внутренних документов кредитной организации.
4.7.3. Служба внутреннего контроля не вправе участвовать в совершении банковских операций и других сделок.
Руководитель и служащие службы внутреннего контроля не имеют права подписывать от имени кредитной организации платежные (расчетные) и бухгалтерские документы, а также иные документы, в соответствии с которыми кредитная организация принимает банковские риски, либо визировать такие документы.
4.8. Беспристрастность службы внутреннего контроля.
4.8.1. Кредитная организация обеспечивает решение поставленных перед службой внутреннего контроля задач без вмешательства со стороны органов управления, подразделений и служащих кредитной организации, не являющихся служащими службы внутреннего контроля.
4.8.2. Руководитель (его заместители) и служащие службы внутреннего контроля, ранее занимавшие должности в других структурных подразделениях кредитной организации, не должны участвовать в проверке деятельности и функций, которые осуществлялись ими в течение проверяемого периода и в течение двенадцати месяцев после завершения такой деятельности и осуществления функций.
4.8.3. Кредитная организация вправе устанавливать порядок перемещения (периодичность, обоснованность) руководителя (его заместителей) и служащих службы внутреннего контроля на другие должности в кредитной организации в случае изменения характера и масштабов деятельности, появления новых видов или направлений деятельности и т.п.
4.8.4. Руководителем службы внутреннего контроля рекомендуется не назначать лицо, работающее по совместительству.
4.9. Профессиональная компетентность руководителя (его заместителей) и служащих службы внутреннего контроля.
4.9.1. Руководитель (его заместители) и служащие службы внутреннего контроля должны владеть достаточными знаниями о банковской деятельности и методах внутреннего контроля и сбора информации, ее анализа и оценки в связи с выполнением служебных обязанностей.
Кредитная организация укомплектовывает службу внутреннего контроля служащими, имеющими высокий уровень профессиональной квалификации и подготовки.
4.9.2. Кредитной организации рекомендуется устанавливать для руководителя (его заместителей) службы внутреннего контроля требования о наличии опыта руководства структурным подразделением кредитной организации, связанным с совершением банковских операций и других сделок.
4.9.3. Обучение (переподготовку) руководителя (его заместителей) и служащих службы внутреннего контроля рекомендуется осуществлять на регулярной основе.
4.10. Создание условий для беспрепятственного и эффективного осуществления службой внутреннего контроля своих функций.
4.10.1. Служба внутреннего контроля обязана осуществлять проверки по всем направлениям деятельности кредитной организации. Объектом проверок является любое подразделение и служащий кредитной организации.
4.10.2. Основные способы (методы) осуществления проверок службой внутреннего контроля, которые следует использовать кредитной организации, предусмотрены Приложением 3 к настоящему Положению.
4.11. Службой внутреннего контроля осуществляется контроль за эффективностью принятых подразделениями и органами управления по результатам проверок мер, обеспечивающих снижение уровня выявленных рисков, или документирование принятия руководством подразделения и (или) органами управления решения о приемлемости выявленных рисков для кредитной организации.
Если, по мнению руководителя службы внутреннего контроля, руководство подразделения и (или) органы управления взяли на себя риск, являющийся неприемлемым для кредитной организации, или принятые меры контроля неадекватны уровню риска, то руководитель службы внутреннего контроля обязан проинформировать совет директоров (наблюдательный совет) кредитной организации.
4.12. Кредитная организация должна установить порядок:
контроля (включая проведение повторных проверок) за принятием мер по устранению выявленных службой внутреннего контроля нарушений;
представления не реже одного раза в полгода службой внутреннего контроля информации о принятых мерах по выполнению рекомендаций и устранению выявленных нарушений совету директоров (наблюдательному совету), единоличному исполнительному органу (его заместителям) и (или) коллегиальному исполнительному органу.
5. Особенности надзора Банка России
за соблюдением правил организации внутреннего контроля
5.1. Для оценки состояния внутреннего контроля в кредитной организации Банком России кредитная организация представляет в территориальное учреждение Банка России Справку о внутреннем контроле в кредитной организации (далее - Справка) по форме и в сроки, предусмотренные Указанием Банка России от 16 января 2004 года N 1376-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации" (с изменениями), зарегистрированным в Министерстве юстиции Российской Федерации 23 января 2004 года, N 5488; 12 августа 2004 года, N 5970 ("Вестник Банка России" от 12 февраля 2004 года N 12-13; от 19 августа 2004 года N 50).
(в ред. Указания ЦБ РФ от 30.11.2004 N 1521-У)
Абзацы второй - третий исключены. - Указание ЦБ РФ от 30.11.2004 N 1521-У.
В целях оценки состояния внутреннего контроля в кредитной организации территориальные учреждения Банка России в случае необходимости вправе запрашивать у кредитной организации дополнительную информацию по вопросам организации системы внутреннего контроля.
Кредитная организация в течение трех рабочих дней уведомляет территориальное учреждение Банка России о существенных изменениях в системе внутреннего контроля, в том числе о внесении изменений в положение о службе внутреннего контроля, о назначении на должность и освобождении от должности руководителя (его заместителей) службы внутреннего контроля.
5.2. При проведении проверок кредитных организаций может осуществляться проверка как системы внутреннего контроля в целом, так и отдельных операций (процедур) на предмет получения подтверждения:
- соблюдения внутренних методик, программ, правил, порядков и процедур, а также установленных лимитов;
- достоверности, полноты и объективности систем учета и отчетности, сбора, обработки и хранения иных сведений в соответствии с законодательством Российской Федерации;
- надежности установленных и применяемых кредитной организацией отдельных способов (методов) контроля.
6. Заключительные положения
Настоящее Положение вступает в силу по истечении 10 дней после дня его официального опубликования в "Вестнике Банка России".
Председатель Банка России
С.М.ИГНАТЬЕВ
Приложение 1
к Положению Банка России
от 16 декабря 2003 г. N 242-П
"Об организации
внутреннего контроля
в кредитных организациях
и банковских группах"
РЕКОМЕНДАЦИИ
ПО ОСУЩЕСТВЛЕНИЮ КОНТРОЛЯ СО СТОРОНЫ ОРГАНОВ
УПРАВЛЕНИЯ ЗА ОРГАНИЗАЦИЕЙ ДЕЯТЕЛЬНОСТИ
КРЕДИТНОЙ ОРГАНИЗАЦИИ
1. К компетенции совета директоров (наблюдательного совета) рекомендуется отнесение следующих вопросов:
- создание и функционирование эффективного внутреннего контроля;
- регулярное рассмотрение на своих заседаниях эффективности внутреннего контроля и обсуждение с исполнительными органами кредитной организации вопросов организации внутреннего контроля и мер по повышению его эффективности;
- рассмотрение документов по организации системы внутреннего контроля, подготовленных исполнительными органами кредитной организации, службой внутреннего контроля, иными структурными подразделениями кредитной организации, аудиторской организацией, проводящей (проводившей) аудит;
(в ред. Указания ЦБ РФ от 05.03.2009 N 2194-У)
- принятие мер, обеспечивающих оперативное выполнение исполнительными органами кредитной организации рекомендаций и замечаний службы внутреннего контроля, аудиторской организации, проводящей (проводившей) аудит, и надзорных органов;
- своевременное осуществление проверки соответствия внутреннего контроля характеру, масштабам и условиям деятельности кредитной организации в случае их изменения.
2. К компетенции исполнительных органов рекомендуется отнесение следующих вопросов:
- установление ответственности за выполнение решений совета директоров (наблюдательного совета), реализацию стратегии и политики кредитной организации в отношении организации и осуществления внутреннего контроля;
- делегирование полномочий на разработку правил и процедур в сфере внутреннего контроля руководителям соответствующих структурных подразделений и контроль за их исполнением;
- проверка соответствия деятельности кредитной организации внутренним документам, определяющим порядок осуществления внутреннего контроля, и оценка соответствия содержания указанных документов характеру и масштабам деятельности кредитной организации;
- распределение обязанностей подразделений и служащих, отвечающих за конкретные направления (формы, способы осуществления) внутреннего контроля;
- рассмотрение материалов и результатов периодических оценок эффективности внутреннего контроля;
- создание эффективных систем передачи и обмена информацией, обеспечивающих поступление необходимых сведений к заинтересованным в ней пользователям. Системы передачи и обмена информацией включают в себя все документы, определяющие операционную политику и процедуры деятельности кредитной организации;
- создание системы контроля за устранением выявленных нарушений и недостатков внутреннего контроля и мер, принятых для их устранения.
3. Органам управления кредитной организации рекомендуется:
- оценивать риски, влияющие на достижение поставленных целей, и принимать меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки банковских рисков. Для эффективного выявления и наблюдения новых или не контролировавшихся ранее банковских рисков организация системы внутреннего контроля кредитной организации должна своевременно пересматриваться;
- обеспечить участие во внутреннем контроле всех служащих кредитной организации в соответствии с их должностными обязанностями;
- установить порядок, при котором служащие доводят до сведения органов управления и руководителей структурных подразделений кредитной организации (филиала) информацию обо всех нарушениях законодательства Российской Федерации, учредительных и внутренних документов, случаях злоупотреблений, несоблюдения норм профессиональной этики;
- принимать документы по вопросам взаимодействия службы внутреннего контроля с подразделениями и служащими кредитной организации и контролировать их соблюдение;
- исключить принятие правил и (или) осуществление практики, которые могут стимулировать совершение действий, противоречащих законодательству Российской Федерации, целям внутреннего контроля.
Приложение 2
к Положению Банка России
от 16 декабря 2003 г. N 242-П
"Об организации
внутреннего контроля
в кредитных организациях
и банковских группах"
ПЕРЕЧЕНЬ
ОСНОВНЫХ ВОПРОСОВ, СВЯЗАННЫХ С ОСУЩЕСТВЛЕНИЕМ
ВНУТРЕННЕГО КОНТРОЛЯ, ПО КОТОРЫМ КРЕДИТНАЯ ОРГАНИЗАЦИЯ
ДОЛЖНА ПРИНЯТЬ ВНУТРЕННИЕ ДОКУМЕНТЫ
1. Учет (учетная политика).
2. Управление банковскими рисками.
3. Кредитная и депозитная политика.
4. Порядок осуществления кредитования связанных лиц.
5. Открытие (закрытие) и ведение счетов и вкладов.
6. Процентная политика.
7. Осуществление расчетов (наличных, безналичных).
8. Совершение операций с валютными ценностями.
9. Осуществление валютного контроля.
10. Совершение операций с ценными бумагами.
11. Выдача банковских гарантий.
12. Совершение кассовых операций, инкассация денежных средств и других ценностей.
13. Правила внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
14. Политика информационной безопасности.
15. Обеспечение непрерывности деятельности и (или) восстановления деятельности кредитной организации на случай непредвиденных обстоятельств.
(п. 15 введен Указанием ЦБ РФ от 05.03.2009 N 2194-У)
Приложение 3
к Положению Банка России
от 16 декабря 2003 г. N 242-П
"Об организации
внутреннего контроля
в кредитных организациях
и банковских группах"
ОСНОВНЫЕ СПОСОБЫ (МЕТОДЫ)
ОСУЩЕСТВЛЕНИЯ ПРОВЕРОК СЛУЖБОЙ ВНУТРЕННЕГО КОНТРОЛЯ
1. Основными способами (методами) осуществления проверок службой внутреннего контроля являются:
финансовая проверка, цель которой состоит в оценке надежности учета и отчетности;
проверка соблюдения законодательства Российской Федерации (банковского, о рынке ценных бумаг, по вопросам противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, о налогах и сборах, др.) и иных актов регулирующих и надзорных органов, внутренних документов кредитной организации и установленных ими методик, программ, правил, порядков и процедур, целью которой является оценка качества и соответствия созданных в кредитной организации систем обеспечения соблюдения требований законодательства Российской Федерации и иных актов;
операционная проверка, цель которой заключается в оценке качества и соответствия систем, процессов и процедур, анализе организационных структур и их достаточности для выполнения возложенных функций;
проверка качества управления, цель которой состоит в оценке качества подходов органов управления, подразделений и служащих кредитной организации к банковским рискам и методам контроля за ними в рамках поставленных целей кредитной организации.
2. Руководитель и служащие службы внутреннего контроля имеют право:
входить в помещения проверяемого подразделения, а также в помещения, используемые для хранения документов (архивы), наличных денег и ценностей (денежные хранилища), обработки данных (компьютерные залы) и хранения данных на машинных носителях, с соблюдением процедур доступа, определенных внутренними документами кредитной организации;
получать документы и копии с документов и иной информации, а также любых сведений, имеющихся в информационных системах кредитной организации, необходимых для осуществления контроля, с соблюдением требований законодательства Российской Федерации и требований кредитной организации по работе со сведениями ограниченного распространения;
привлекать при осуществлении проверок служащих кредитной организации и требовать от них обеспечения доступа к документам, иной информации, необходимой для проведения проверок.
3. План проведения проверок, осуществляемых службой внутреннего контроля, должен включать график осуществления проверок и составляться исходя из принятой органами управления кредитной организации методологии оценки управления банковскими рисками, учитывающей изменения в системе внутреннего контроля и новые направления деятельности кредитной организации. При составлении графика осуществления проверок должна учитываться установленная в кредитной организации периодичность проведения проверок по направлениям деятельности структурных подразделений и кредитной организации в целом.
Планы работы службы внутреннего контроля разрабатываются службой внутреннего контроля, должны утверждаться советом директоров (наблюдательным советом) кредитной организации. Планы работы службы внутреннего контроля могут согласовываться с единоличным и (или) коллегиальным исполнительным органом.
Отчеты о выполнении планов проверок представляются службой внутреннего контроля не реже двух раз в год совету директоров (наблюдательному совету).
4. Программа проверок, осуществляемых службой внутреннего контроля, предусматривает разработку отдельной программы проверки каждого направления (вопроса) деятельности кредитной организации.
Программа проверки должна содержать цели проверки и определять ключевые банковские риски и механизмы обеспечения полноты и эффективности контроля в проверяемом направлении банковской деятельности.
5. В рабочих документах проверок службы внутреннего контроля отражаются этапы проверки и выполненные проверочные процедуры, данные о рассмотренных документах и иной полученной в ходе проверки информации.
6. Отчеты и предложения по результатам проверок представляются службой внутреннего контроля совету директоров (наблюдательному совету), единоличному (его заместителям) и (или) коллегиальному исполнительному органу, руководителям проверяемых структурных подразделений кредитной организации (филиала).
Отчеты должны содержать описание целей проверки, выполненных работ, выявленных нарушений, ошибок и недостатков в деятельности кредитной организации, которые могут создать угрозу интересам кредиторов и вкладчиков или оказать влияние на финансовую устойчивость кредитной организации, и рекомендации службы внутреннего контроля по улучшению работы и устранению нарушений, ошибок и недостатков.
Приложение 4
к Положению Банка России
от 16 декабря 2003 г. N 242-П
"Об организации
внутреннего контроля
в кредитных организациях
и банковских группах"
СПРАВКА О ВНУТРЕННЕМ КОНТРОЛЕ В КРЕДИТНОЙ ОРГАНИЗАЦИИ
Утратила силу. - Указание ЦБ РФ от 30.11.2004 N 1521-У.
Приложение 5
к Положению Банка России
от 16 декабря 2003 года N 242-П
"Об организации
внутреннего контроля
в кредитных организациях
и банковских группах"
РЕКОМЕНДАЦИИ
ПО СТРУКТУРЕ И СОДЕРЖАНИЮ ПЛАНА ДЕЙСТВИЙ,
НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
И (ИЛИ) ВОССТАНОВЛЕНИЕ ДЕЯТЕЛЬНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ
В СЛУЧАЕ ВОЗНИКНОВЕНИЯ НЕПРЕДВИДЕННЫХ ОБСТОЯТЕЛЬСТВ,
А ТАКЖЕ ПО ОРГАНИЗАЦИИ ПРОВЕРКИ ВОЗМОЖНОСТИ
ЕГО ВЫПОЛНЕНИЯ
1. План действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности кредитной организации в случае возникновения непредвиденных обстоятельств (далее - План ОНиВД) - внутренний документ (комплект документов) кредитной организации, определяющий цели, задачи, порядок, способы и сроки осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования кредитной организации (ее подразделений), вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению кредитной организацией принятых на себя обязательств).
2. Кредитной организации рекомендуется определить порядок разработки, согласования, утверждения, пересмотра и проверки (тестирования) Плана ОНиВД с указанием полномочий ее органов управления и подразделений.
3. Разработку Плана ОНиВД рекомендуется проводить с учетом анализа следующих факторов:
3.1. виды и характер возможных непредвиденных обстоятельств, связанные с ними виды и степени воздействия на деятельность кредитной организации, способные нарушить режим повседневного функционирования кредитной организации и способность выполнять принятые на себя обязательства;
3.2. перечень критически важных с точки зрения обеспечения режима повседневного функционирования кредитной организации внутренних банковских процессов (совокупности последовательных и законченных действий по осуществлению банковских операций и сделок), а также автоматизированных информационных систем, обеспечивающих их осуществление;
3.3. показатели восстановления внутренних банковских процессов, в том числе такие, как: срок восстановления, допустимый размер материальных затрат, допустимый размер потерь информации.
Указанные показатели, а также устанавливаемые на их основе критерии непрерывности осуществления внутренних банковских процессов рекомендуется определять с учетом необходимости соблюдения кредитной организацией требований законодательства Российской Федерации, в том числе нормативных актов Банка России, и выполнения принятых на себя обязательств.
4. Целями Плана ОНиВД рекомендуется определить в том числе:
поддержание способности кредитной организации выполнять принятые на себя обязательства перед вкладчиками и кредиторами, в том числе перед Банком России (по кредитам Банка России, уплате процентов по ним и другим денежным обязательствам перед Банком России);
предупреждение и предотвращение возможного нарушения режима повседневного функционирования кредитной организации;
снижение тяжести последствий нарушения режима повседневного функционирования кредитной организации (в том числе размера материальных потерь, потерь информации, потери деловой репутации);
сохранение уровня управления кредитной организацией, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию;
обеспечение способности кредитной организации осуществлять расчеты в соответствии с принятыми на себя обязательствами, в том числе по кредитам Банка России, процентам по ним и другим денежным обязательствам перед Банком России;
обеспечение информационной безопасности кредитной организации, в том числе ее расчетной системы;
обеспечение благоприятных условий труда и безопасности служащих кредитной организации, безопасности лиц, находящихся в помещениях (посетителей) кредитной организации.
5. Разработку и принятие Плана ОНиВД рекомендуется осуществлять с учетом норм Федерального закона от 21 декабря 1994 года N 68-ФЗ "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 1994, N 35, ст. 3648; 2002, N 44, ст. 4294; 2004, N 35, ст. 3607; 2006, N 50, ст. 5284; N 52, ст. 5498; 2007, N 45, ст. 5418; 2009, N 1, ст. 17), в том числе в рамках мероприятий по выполнению требований статьи 14 указанного Федерального закона.
6. План ОНиВД рекомендуется разрабатывать применительно к крупномасштабным непредвиденным обстоятельствам, сопоставимым по длительности и силе воздействия, размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера, или, в зависимости от характера, масштабов и условий деятельности кредитной организации, - межмуниципального, регионального или межрегионального характера в соответствии с классификацией, установленной Постановлением Правительства Российской Федерации от 21 мая 2007 года N 304 "О классификации чрезвычайных ситуаций природного и техногенного характера" (Собрание законодательства Российской Федерации, 2007, N 22, ст. 2640).
При этом рекомендуется предусмотреть возможность реализации отдельных автономных частей Плана ОНиВД (далее - модули Плана ОНиВД) в случае непредвиденных обстоятельств меньшего масштаба, связанных с проявлением (по отдельности или в сочетаниях) таких факторов, как выход из строя технических средств, сбои в работе автоматизированных информационных систем кредитной организации, нарушение коммунальной инфраструктуры, перебои в электроснабжении, непредвиденный дефицит ликвидности кредитной организации, в том числе по причине потери деловой репутации, отказ кредитных организаций-корреспондентов и (или) организаций-контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от исполнения своих обязательств.
7. При разработке Плана ОНиВД рекомендуется уделять внимание вопросам своевременного информирования клиентов, участников (акционеров), контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, органов государственной власти и местного самоуправления, Банка России, других государственных органов, в пределах своей компетенции осуществляющих функции регулирования и (или) надзора в отношении кредитной организации, средств массовой информации и других заинтересованных лиц (далее - заинтересованные лица) о возникновении непредвиденных обстоятельств, а также порядку взаимодействия с заинтересованными лицами по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации.
8. Кредитным организациям банковской группы рекомендуется обеспечить единство подходов при разработке Планов ОНиВД и осуществлять совместные действия в целях обеспечения непрерывности своей деятельности и (или) ее восстановления.
9. Содержание Плана ОНиВД.
9.1. В План ОНиВД рекомендуется включать:
порядок его реализации, включая порядок принятия решения о переводе деятельности кредитной организации в режим, предусмотренный Планом ОНиВД (далее - чрезвычайный режим), а также порядок управления кредитной организацией в чрезвычайном режиме;
перераспределение обязанностей и полномочий как между подразделениями, так и между служащими кредитной организации в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и (или) уполномоченных служащих;
перечень установленных в кредитной организации процедур, выполнение которых в режиме повседневного функционирования кредитной организации необходимо для успешной реализации Плана ОНиВД (например, резервное копирование информации, заключение договоров с контрагентами на оказание услуг (работ), обеспечивающих реализацию Плана ОНиВД), а также очередность и сроки их выполнения;
порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими кредитной организации при возникновении непредвиденных обстоятельств;
порядок информирования заинтересованных лиц о возникновении непредвиденных обстоятельств, порядок взаимодействия с заинтересованными лицами, в том числе с Банком России, по вопросам обеспечения непрерывности и (или) восстановления деятельности кредитной организации;
детальные инструкции для подразделений и служащих кредитной организации, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности кредитной организации внутренних банковских процессов и автоматизированных информационных систем;
порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.
9.2. В целях обеспечения способности кредитной организации выполнять принятые на себя обязательства и минимизировать возможные негативные последствия непредвиденных обстоятельств в Плане ОНиВД рекомендуется определить порядок осуществления внутренних банковских процессов в чрезвычайном режиме.
9.2.1. Для каждого внутреннего банковского процесса рекомендуется определить уровень его осуществления, в том числе:
осуществление на уровне, соответствующем уровню осуществления внутреннего банковского процесса в режиме повседневного функционирования;
осуществление на заданном (сниженном по сравнению с уровнем режима повседневного функционирования) уровне в течение заданного периода времени;
прекращение его осуществления (планомерное или максимально быстрое и безопасное).
9.2.2. Для каждого критически важного для деятельности кредитной организации внутреннего банковского процесса рекомендуется дополнительно определить:
критерии непрерывности осуществления;
развернутый перечень ресурсов - кадровых, финансовых, материальных, информационных (включая вычислительную технику, другие технические средства, программное обеспечение), средств связи, необходимых для его поддержания в чрезвычайном режиме;
помещения, предназначенные для осуществления процесса в чрезвычайном режиме в случае недоступности помещений, используемых в режиме повседневного функционирования. Для этих целей рекомендуется определить запасные помещения, территориально удаленные от мест основного расположения кредитной организации и поддерживаемые в состоянии готовности для использования в чрезвычайном режиме, либо помещения, находящиеся в местах основного расположения кредитной организации (ее филиала или иного территориально обособленного структурного подразделения), исходя из возможности увеличения интенсивности использования или изменения назначения указанных помещений в чрезвычайном режиме;
возможность получения услуг, необходимых для осуществления процесса, в случае отказа поставщика указанных услуг (провайдера) кредитной организации от исполнения договорных обязательств, в том числе использование услуг другого поставщика (провайдера) или переход на самообслуживание.
9.2.3. В Плане ОНиВД рекомендуется предусмотреть периодичность и способы создания резервных копий информации, необходимой для осуществления внутренних банковских процессов, с учетом установленных для них критериев непрерывности. Рекомендуется определить места хранения и способы доставки резервных копий до мест хранения, а также способы и сроки восстановления информации.
В Плане ОНиВД рекомендуется определить порядок хранения документированной информации (в том числе данных бухгалтерского и депозитарного учета, реестров обязательств кредитной организации перед вкладчиками), а также порядок восстановления документов в случае утраты их оригиналов.
9.2.4. В Плане ОНиВД рекомендуется предусмотреть способы экстренного поддержания ликвидности на случай непредвиденных обстоятельств с указанием лиц, с которыми заключены договоры об оказании финансовой помощи на случай непредвиденных обстоятельств (в том числе участников (акционеров) кредитной организации, организаций банковской группы, кредитных организаций - партнеров), способов связи с ними.
9.2.5. В инструкциях для подразделений и служащих кредитной организации рекомендуется определять:
порядок действий при возникновении непредвиденных обстоятельств или появлении реальной угрозы их возникновения;
процедуры перевода работы в чрезвычайный режим;
порядок осуществления критически важных для деятельности кредитной организации внутренних банковских процессов в чрезвычайном режиме, описание изменений в технологиях их осуществления, если Планом ОНиВД предусмотрены такие изменения;
порядок доступа к ресурсам, необходимым для работы в чрезвычайном режиме.
9.2.6. В Плане ОНиВД рекомендуется предусмотреть порядок восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств, критерии, позволяющие принять решение о завершении работы в чрезвычайном режиме, и порядок принятия такого решения, а также порядок возврата в режим повседневного функционирования.
10. В целях реализации Плана ОНиВД и сохранения уровня управления кредитной организацией в условиях непредвиденных обстоятельств при необходимости возможно предусмотреть передачу полномочий по оперативному руководству деятельностью кредитной организации органу чрезвычайного управления.
С учетом определенных кредитной организацией порядка создания органа чрезвычайного управления, его полномочий и сроков их действия Планом ОНиВД возможно предусмотреть осуществление указанным органом следующих функций:
определение степени влияния непредвиденных обстоятельств на деятельность кредитной организации, составление перечня потерь, оценка размера нанесенного ущерба;
координация работ по обеспечению непрерывности и (или) восстановления деятельности кредитной организации, принятие решений о реализации модулей Плана ОНиВД;
информирование заинтересованных лиц о ходе восстановления деятельности кредитной организации и (или) мерах, принятых для обеспечения ее непрерывности;
взаимодействие с Банком России в целях координации совместных действий по обеспечению своевременного проведения расчетов по поручениям клиентов и по обязательствам кредитной организации, а также с другими заинтересованными лицами по вопросам обеспечения непрерывности и (или) восстановления деятельности;
взаимодействие с правоохранительными органами, аварийными и специализированными службами (в том числе с органами внутренних дел, пожарной охраной, аварийно-спасательными службами, учреждениями здравоохранения, органами, осуществляющими государственный санитарно-эпидемиологический надзор);
взаимодействие с коммунальными службами, в том числе по вопросам обеспечения электро-, тепло- и водоснабжения, с поставщиками услуг телефонной и других видов связи;
организация необходимой помощи служащим кредитной организации и членам их семей.
11. Порядок проверки (тестирования) и пересмотра Плана ОНиВД.
11.1. С целью определения возможности выполнения Плана ОНиВД в случае возникновения непредвиденных обстоятельств рекомендуется предусмотреть проведение проверок (тестирования) Плана ОНиВД с периодичностью не реже одного раза в два года. При проверке (тестировании) отдельных модулей Плана ОНиВД рекомендуется обеспечить проверку (тестирование) каждого из них с соблюдением периодичности, установленной для Плана ОНиВД в целом.
Для обеспечения постоянной готовности служащих к действиям на случай непредвиденных обстоятельств рекомендуется организовать изучение Плана ОНиВД на регулярной основе всеми служащими кредитной организации в соответствии со специально разработанной для этих целей программой, включающей проведение учений. Учения рекомендуется планировать таким образом, чтобы оценить реальное время, необходимое для выполнения каждого модуля Плана ОНиВД, и степень подготовленности служащих кредитной организации к работе в чрезвычайном режиме.
При подготовке проверки (тестирования) Плана ОНиВД в форме учений рекомендуется учитывать возможные проблемы, в том числе психологического характера, связанные с необычностью ситуации, ставить перед участниками учений цели по выявлению недостатков Плана ОНиВД и мотивировать их на его совершенствование.
11.2. Решение о проведении проверки (тестирования) Плана ОНиВД рекомендуется оформлять в соответствии с установленным в кредитной организации порядком. При этом рекомендуется определить:
программу, форму и сроки проведения проверки (тестирования) Плана ОНиВД;
перечень подразделений и служащих кредитной организации, участвующих в проверке (тестировании) Плана ОНиВД;
перечень проверяемых (тестируемых) модулей Плана ОНиВД;
перечень ресурсов, предполагаемых для использования при проверке (тестировании) Плана ОНиВД;
состав и обязанности группы наблюдателей (контролеров);
сроки и порядок оформления результатов проверки (тестирования) Плана ОНиВД.
11.2.1. Проверку (тестирование) Плана ОНиВД рекомендуется проводить по заранее разработанной и утвержденной исполнительным органом кредитной организации программе, предусматривающей вводные данные (описание сценариев возникновения непредвиденных обстоятельств и связанных с ними факторов нарушения режима повседневного функционирования), подробное описание действий служащих в соответствии с проверяемым (тестируемым) Планом ОНиВД или модулем Плана ОНиВД, требования по срокам завершения промежуточных этапов выполнения Плана ОНиВД.
11.2.2. Для проведения проверки (тестирования) Плана ОНиВД рекомендуется определить группу наблюдателей (контролеров), на которую возложить контроль выполнения предусмотренных Планом ОНиВД мероприятий, составление протокола проверки (тестирования) и отчета о проведении проверки (тестирования) Плана ОНиВД.
Для работы в составе группы наблюдателей (контролеров) рекомендуется привлекать служащих кредитной организации, ответственных за разработку Плана ОНиВД, служащих службы внутреннего контроля, а при необходимости - независимых специалистов из организаций, специализирующихся на оказании консультационных услуг в сфере обеспечения непрерывности деятельности и информационной безопасности кредитных организаций.
11.2.3. Протокол проверки (тестирования) Плана ОНиВД рекомендуется вести по установленной внутренними документами кредитной организации форме. При этом в протоколе рекомендуется указывать:
список наблюдателей (контролеров), присутствующих при проведении проверки (тестирования) с указанием лица, ответственного за ведение протокола;
перечень всех процедур, выполняемых в рамках тестируемых модулей Плана ОНиВД, с отметками о соответствии результатов их выполнения Плану ОНиВД;
время, затраченное на завершение промежуточных этапов и реализацию проверяемых (тестируемых) модулей Плана ОНиВД;
описание выявленных недостатков Плана ОНиВД или подготовки служащих - участников проверки.
Протокол проверки (тестирования) Плана ОНиВД рекомендуется согласовывать с руководителями задействованных в проверке (тестировании) Плана ОНиВД подразделений кредитной организации.
11.2.4. Отчет по итогам проведения проверки (тестирования) Плана ОНиВД рекомендуется составлять на основании согласованного протокола проверки (тестирования) Плана ОНиВД. В отчет рекомендуется включать анализ результатов проверки (тестирования) Плана ОНиВД, предложения по устранению выявленных недостатков и совершенствованию Плана ОНиВД.
11.3. К участию в проверке (тестировании) Плана ОНиВД рекомендуется при необходимости привлекать контрагентов, в том числе поставщиков услуг (провайдеров) кредитной организации, от деятельности которых зависит непрерывность осуществления критически важных для деятельности кредитной организации внутренних банковских процессов и (или) сроки их восстановления.
12. План ОНиВД рекомендуется не реже одного раза в два года пересматривать с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности кредитной организации, утвержденной стратегии развития деятельности кредитной организации, условиям мест нахождения кредитной организации (ее подразделений), а также для устранения недостатков, выявленных в ходе проверок (тестирования) Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования кредитной организации.