Мудрый Экономист

Как распределить функционал свк между подразделениями

"Внутренний контроль в кредитной организации", 2014, N 4

В новой редакции Положения Банка России N 242-П есть пункт, который допускает, что СВК может состоять из нескольких подразделений. В этом случае кредитная организация распределяет обязанности по осуществлению внутреннего контроля между сотрудниками различных структурных подразделений. Какие подразделения могут входить в систему органов внутреннего контроля и структуру службы внутреннего контроля? Можно ли включить в состав СВК подразделение, отвечающее за информационную безопасность?

Е.М. Русских, АКБ "ТПБК" (Москва), начальник службы внутреннего контроля

Основной целью внутреннего контроля являются выявление комплаенс-риска и постоянный мониторинг регуляторного риска.

Разделение обязанностей и полномочий между сотрудниками СВК и другими сотрудниками банка, которые могут осуществлять отдельные виды контроля, должно быть максимально регламентировано и детально проработано как надзорными органами, так и органами управления банка, иначе несоответствия между выполняемыми и контрольными функциями могут привести к конфликту интересов.

На наш взгляд, в структуру внутреннего контроля безболезненно можно включить юридическое подразделение, обеспечивающее интересы кредитной организации в рамках действующего законодательства и проводящее мониторинг правового риска и риска потери деловой репутации, методологию разработки внутренних документов и исключения между подразделениями конфликта интересов, финансовый мониторинг с целью выявления операций, подлежащих обязательному контролю и идентификации.

Что касается информационной безопасности, то ее обеспечение также должно быть частью системы внутреннего контроля, как определено п. 3.5 новой редакции Положения Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П). Но сложно представить, как подразделение СВК будет обеспечивать информационную безопасность, ведь может возникнуть конфликт интересов. В рамках своих функциональных обязанностей сотрудники, отвечающие за информационную безопасность, руководствуются законодательством РФ, стандартами Банка России и рядом документов, определяемых международными платежными системами, а внутренние документы банка по информационной безопасности, определяющие соответствие регуляторному риску и порядок выявления комплаенс-риска, согласно своим функциям должна разрабатывать СВК. Возможно, отдельные сотрудники, отвечающие за информационную безопасность, могут привлекаться к оценке уровня комплаенс-риска и мониторингу регуляторного риска, но данные полномочия должны быть регламентированы внутренними нормативно-правовыми актами кредитной организации.

Л.А. Костикова, ОАО "БИНБАНК", руководитель службы внутреннего контроля

В соответствии с Положением N 242-П в систему органов внутреннего контроля должны обязательно входить следующие подразделения кредитной организации:

При этом перечень органов системы внутреннего контроля не является закрытым - каждый коммерческий банк может расширить его в соответствии со спецификой своей деятельности. Здесь следует отметить, что при построении системы внутреннего контроля не может быть уникального, одинакового для всех банков рецепта, так как у них разные масштабы деятельности, специализация, сеть обособленных структурных подразделений и другие специфические характеристики. Например, организация системы внутреннего контроля, эффективная для крупного банковского холдинга, может быть слишком бюрократична и, как следствие, иметь высокую стоимость и низкую эффективность для небольшого банка.

Относительно того, можно ли в состав службы внутреннего контроля - комплаенс-службы - включить подразделение, отвечающее за информационную безопасность, считаю, что такой вопрос не вполне корректен. В соответствии с Положением N 242-П, а также с документом БКБН "Комплаенс и комплаенс-функция в банках" речь идет о распределенном функционале комплаенс-функции. Распределенный функционал означает, что СВК часть своего функционала передает в другие подразделения банка. При этом весь комплаенс-функционал (даже распределенный в другие подразделения банка) должен координировать руководитель комплаенс-подразделения, то есть руководитель СВК. Передачу функционала необходимо отразить в положении о службе внутреннего контроля кредитной организации. Безусловно, часть своих функций СВК может передать подразделению, отвечающему за информационную безопасность. С нашей точки зрения, это может быть, например, политика по незаконному использованию инсайдерской информации. Подразделение, отвечающее за информационную безопасность, может быть владельцем данного документа.

Н.Е. Цангль, ПАО "ТрансФин-М", руководитель службы внутреннего аудита, руководитель финансовой секции Института внутренних аудиторов, к. э. н.

Положение N 242-П содержит перечень органов внутреннего контроля, тем не менее данный перечень остается открытым. Это значит, что регулятор оставляет на усмотрение кредитной организации вопрос о включении в систему внутреннего контроля каких-либо других подразделений и служащих (не поименованных Банком России), осуществляющих внутренний контроль в соответствии с полномочиями, определяемыми внутренними документами кредитной организации.

По нашему мнению, это могут быть любые подразделения кредитной организации, осуществляющие контрольные функции.

Что касается службы внутреннего контроля, то в ее состав целесообразно включить те подразделения, деятельность которых в значительной степени связана с управлением комплаенс-/регуляторным риском (подразделение по ПОД/ФТ, контролера профессионального участника рынка ценных бумаг) и которые одновременно являются подразделениями второй линии защиты (в соответствии с концепцией трех линий защиты).

Подразделение информационной безопасности относится ко второй линии защиты и вовлечено в управление комплаенс-риском. Тем не менее его деятельность ориентирована не только на выполнение внешних и внутренних требований и процедур, но и в большей степени - на эффективность и четкость самого бизнес-процесса информационной безопасности. В связи с этим прямое включение данного подразделения в службу внутреннего контроля, на наш взгляд, нецелесообразно. Правильным является распределение функционала таким образом, чтобы в процесс управления рисками, связанными с информационной безопасностью, наряду с подразделением информационной безопасности была вовлечена и служба внутреннего контроля.

Д.С. Беляев, банк "Возрождение" (ОАО), начальник службы внутреннего аудита

Ничего принципиально нового в плане функционала Банк России от кредитных организаций не требует. Практически все подразделения головного офиса банка сталкиваются с регуляторным риском и выполняют те или иные контрольные функции на соответствующих направлениях деятельности.

Если организовывать работу службы внутреннего контроля путем утверждения ее руководителя и распределения обязанностей по осуществлению функций службы между сотрудниками различных подразделений, то для организации более качественной работы службы целесообразно назначить таких сотрудников в каждом подразделении (кроме службы внутреннего аудита и службы управления рисками).

Наиболее сложными задачами при такой организации работы службы будут являться:

  1. оптимальное распределение функционала службы между ее сотрудниками;
  2. правильное разграничение обязанностей, выполняемых сотрудником в рамках осуществления функций службы, и обязанностей, выполняемых им по основному направлению деятельности.

Решать данные задачи каждому банку необходимо самостоятельно исходя из выстроенной организационной структуры и имеющегося распределения полномочий и обязанностей. Что касается подразделения, отвечающего за информационную безопасность, то оно не является исключением и в его составе также необходимо выделить сотрудника для осуществления функций службы внутреннего контроля.

О.М. Коновалова, Банк России, служба внутреннего аудита <1>

<1> Настоящий комментарий выражает исключительно мнение автора и не отражает позицию Банка России.

Политика государства основана на принципах саморегулирования, в том числе и в рамках нормативных требований. В этой связи кредитные организации вправе самостоятельно определять органы системы внутреннего контроля и их организационную структуру в зависимости от характера и масштаба осуществляемых операций и принимаемых рисков. Определяя систему внутреннего контроля, кредитная организация может руководствоваться российскими и международными стандартами, моделями в области организации внутреннего контроля и управления рисками, профессиональной практикой.

К органам системы внутреннего контроля, которые определены разд. 2 Положения N 242-П, уместно отнести подразделения (направления) экономической и информационной безопасности; структурное подразделение по выявлению и противодействию хищениям; структурное подразделение по управлению рисками; контролера биржевого посредника и контролера специализированного депозитария; подразделения, осуществляющие надзор за деятельностью внутреннего контроля и управлением рисками; комитеты (комитет по аудиту, комитет по рискам), а также иных работников (подразделения), в обязанности которых входят вопросы контроля за соблюдением комплаенс-требований акционеров, кодекса этики, противодействие коррупции и т.д.

Рассматривая возможность включения в структуру СВК подразделения информационной безопасности, необходимо руководствоваться принципом "не навреди". В кредитных организациях уже сформировались подразделения информационной безопасности, в обязанности которых входит широкий круг вопросов, поэтому дополнять СВК функциями подразделений информационной безопасности в крупных и средних банках нецелесообразно. Руководителю СВК достаточно обеспечить эффективные деловые коммуникации с руководителем подразделения информационной безопасности. При этом в рамках СВК у кредитных организаций появляется возможность более качественно подойти к вопросам контроля, соблюдения (тестирования) плана ОНиВД и его автономных частей. Это может потребовать привлечения в СВК квалифицированных специалистов. Небольшие кредитные организации могут руководствоваться п. п. 2.4, 4(1).11 Положения N 242-П, что также не предусматривает наделение СВК дополнительными функциями.