пятница, 5 июня 2009 г.

В двух словах \ 242-П

Перечень основных требований Положения 242-П.
С полной версией документа можно ознакомиться на сайте Консультант Плюс.

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

16 декабря 2003 г. N 242-П

ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ВНУТРЕННЕГО КОНТРОЛЯ
В КРЕДИТНЫХ ОРГАНИЗАЦИЯХ И БАНКОВСКИХ ГРУППАХ

(в редакции Указаний ЦБ РФ от 05.03.2009 N 21У94-У)


2. Система органов внутреннего контроля


2.1. В уставе КО должны содержаться сведения о системе органов внутреннего контроля.
2.2. Внутренний контроль должны осуществлять:

  • органы управления организации (см. ст.11.1 ФЗ "О банках и банковской деятельности");
  • ревизионная комиссия (ревизор);
  • главный бухгалтер (его заместители) КО;
  • руководитель и главный бухгалтер филиала КО;
  • подразделения и служащие, осуществляющие внутренний контроль:
    • 2.2.1. СВК.
    • 2.2.2. Подразделение по противодействию легализации.
    • 2.2.3. Иные подразделения и/или сотрудники.

3. Система внутреннего контроля

3.1. Система внутреннего контроля должна включать следующие направления:
  • контроль за организацией деятельности;
  • контроль за управлением банковскими рисками и оценка банковских рисков;
  • контроль за распределением полномочий при совершении операций;
  • контроль за управлением информационными потоками и обеспечением ИБ;
  • мониторинг системы внутреннего контроля.
3.5. Контроль за управлением информационными потоками и обеспечением ИБ.
  • 3.5.2. Внутренний контроль за АИС и техническими средствами состоит из общего контроля и программного контроля.
    • 3.5.3. Общий контроль предусматривает контроль компьютерных систем с целью обеспечения бесперебойной и непрерывной работы.
    • 3.5.4. Программный контроль обработки банковских операций осуществляется встроенными в прикладные программы процедурами.
  • 3.5.5. КО устанавливает правила управления информационной деятельностью, включая порядок защиты от несанкционированного доступа и использования конфиденциальной информации.
3.7. КО необходимо обеспечить ОНиВД. КО должна иметь план ОНиВД, предусматривающий использование дублирующих (резервных) автоматизированных систем и/или устройств, а также восстановление критически важных для деятельности КО систем, поддерживаемых внешним поставщиком (провайдером) услуг. КО определяет порядок проверки возможности выполнения плана ОНиВД.

4. Служба внутреннего контроля

4.1. СВК КО создается для осуществления внутреннего контроля и содействия органам управления в обеспечении эффективного функционирования КО.
4.2. Внутренний документ, регулирующий деятельность СВК, должен определять:
  • цели и сферу деятельности СВК;
  • принципы (стандарты) и методы деятельности СВК;
  • статус СВК в организационной структуре КО, ее задачи, полномочия, права и обязанности, а также взаимоотношения с другими подразделениями;
  • подчиненность и подотчетность руководителя СВК;
  • порядок участия СВК в разработке внутренних документов организации.
4.4. СВК осуществляет следующие функции:
  • 4.4.1. Проверка и оценка эффективности системы внутреннего контроля.
  • 4.4.2. Проверка полноты применения и эффективности методологии оценки банковских рисков и процедур управления банковскими рисками.
  • 4.4.3. Проверка надежности функционирования системы внутреннего контроля за использованием АИС.
  • 4.4.4. Проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и отчетности и их тестирование.
  • 4.4.6. Проверка применяемых способов (методов) обеспечения сохранности имущества КО.
  • 4.4.7. Оценка экономической целесообразности и эффективности совершаемых КО операций.
  • 4.4.8. Проверка соответствия внутренних документов КО требованиям законодательства и регуляторов.
  • 4.4.9. Проверка процессов и процедур внутреннего контроля.
  • 4.4.10. Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения.
  • 4.4.11. Оценка работы службы управления персоналом КО.
4.5. КО обязана обеспечить постоянство деятельности, независимость и беспристрастность СВК, профессиональную компетентность ее руководителя и служащих, создать условия для беспрепятственного и эффективного осуществления СВК своих функций.
4.7. Независимость СВК.
  • 4.7.1. КО обеспечивает независимость СВК в соответствии с порядком, в котором должно быть установлено, что СВК:
    • действует под непосредственным контролем СД;
    • не осуществляет деятельность, подвергаемую проверкам;
    • по собственной инициативе докладывает СД о возникающих вопросах и предложениях, раскрывает эту информацию исполнительному органу КО.
4.11. СВК осуществляется контроль эффективности принятых подразделениями и органами управления мер по результатам проверок.


ПРИЛОЖЕНИЕ №2
ПЕРЕЧЕНЬ
ОСНОВНЫХ ВОПРОСОВ, СВЯЗАННЫХ С ОСУЩЕСТВЛЕНИЕМ
ВНУТРЕННЕГО КОНТРОЛЯ, ПО КОТОРЫМ КРЕДИТНАЯ ОРГАНИЗАЦИЯ
ДОЛЖНА ПРИНЯТЬ ВНУТРЕННИЕ ДОКУМЕНТЫ

  1. Учет (учетная политика).
  2. Управление банковскими рисками.
  3. Кредитная и депозитная политика.
  4. Порядок осуществления кредитования связанных лиц.
  5. Открытие (закрытие) и ведение счетов и вкладов.
  6. Процентная политика.
  7. Осуществление расчетов (наличных, безналичных).
  8. Совершение операций с валютными ценностями.
  9. Осуществление валютного контроля.
  10. Совершение операций с ценными бумагами.
  11. Выдача банковских гарантий.
  12. Совершение кассовых операций, инкассация денежных средств и других ценностей.
  13. Правила внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.
  14. Политика ИБ.
  15. ОНиВД.


ПРИЛОЖЕНИЕ №3
ОСНОВНЫЕ СПОСОБЫ (МЕТОДЫ)
ОСУЩЕСТВЛЕНИЯ ПРОВЕРОК СЛУЖБОЙ ВНУТРЕННЕГО КОНТРОЛЯ

1. Основными способами (методами) осуществления проверок СВК являются:

  • финансовая проверка;
  • проверка соблюдения законодательства, требований регуляторов, внутренних документов КО;
  • операционная проверка;
  • проверка качества управления.

2. Руководитель и служащие СВК имеют право (при условии соблюдения действующих в КО требований):

  • входить в помещения проверяемого подразделения, а также в помещения, используемые для хранения документов, наличных денег и ценностей, обработки и хранения данных;
  • получать документы и копии с документов и иной информации, а также любых сведений, имеющихся в информационных системах КО, необходимых для осуществления контроля;
  • привлекать при осуществлении проверок служащих КО и требовать от них обеспечения доступа к документам, иной информации, необходимой для проведения проверок.

3. План проведения проверок, осуществляемых СВК, должен включать график осуществления проверок и составляться исходя из методологии оценки управления банковскими рисками, учитывающей изменения в системе внутреннего контроля и новые направления деятельности КО.

4. Требуется разработка отдельной программы проверки каждого направления (вопроса) деятельности КО, содержащей цели проверки и определение ключевых банковских рисков и механизмов обеспечения полноты и эффективности контроля в проверяемом направлении банковской деятельности.

5. В рабочих документах проверок СВК отражаются этапы проверки и выполненные проверочные процедуры, данные о рассмотренных документах и иной полученной в ходе проверки информации.

6. Отчеты по результатам проверок должны содержать описание целей проверки, выполненных работ, выявленных нарушений, ошибок и недостатков в деятельности КО, рекомендации СВК по улучшению работы и устранению нарушений, ошибок и недостатков.


ПРИЛОЖЕНИЕ №5
РЕКОМЕНДАЦИИ
ПО СТРУКТУРЕ И СОДЕРЖАНИЮ ПЛАНА ДЕЙСТВИЙ,
НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ НЕПРЕРЫВНОСТИ ДЕЯТЕЛЬНОСТИ
И (ИЛИ) ВОССТАНОВЛЕНИЕ ДЕЯТЕЛЬНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ
В СЛУЧАЕ ВОЗНИКНОВЕНИЯ НЕПРЕДВИДЕННЫХ ОБСТОЯТЕЛЬСТВ,
А ТАКЖЕ ПО ОРГАНИЗАЦИИ ПРОВЕРКИ ВОЗМОЖНОСТИ
ЕГО ВЫПОЛНЕНИЯ

2. КО рекомендуется определить порядок разработки, согласования, утверждения, пересмотра и проверки (тестирования) Плана ОНиВД с указанием полномочий ее органов управления и подразделений.
3. Разработку Плана ОНиВД рекомендуется проводить с учетом анализа следующих факторов:
  • 3.1. виды и характер возможных непредвиденных обстоятельств, связанные с ними виды и степени воздействия на деятельность КО, способные нарушить режим повседневного функционирования КО и способность выполнять свои обязательства;
  • 3.2. перечень критически важных для повседневного функционирования КО внутренних банковских процессов, а также обеспечивающих их АИС;
  • 3.3. показатели восстановления внутренних банковских процессов (в т.ч. срок восстановления, допустимые размеры материальных затрат и потерь информации).
4. Целями Плана ОНиВД рекомендуется определить в том числе:
  • поддержание способности КО выполнять свои обязательства перед вкладчиками и кредиторами;
  • предупреждение и предотвращение возможного нарушения режима повседневного функционирования КО;
  • снижение тяжести последствий нарушения режима повседневного функционирования КО;
  • сохранение уровня управления КО, позволяющего обеспечить условия для принятия и реализации оптимальных управленческих решений;
  • обеспечение способности КО осуществлять расчеты в соответствии со своими обязательствами;
  • обеспечение ИБ КО, в том числе ее расчетной системы;
  • обеспечение благоприятных условий труда и безопасности служащих КО, безопасности лиц, находящихся в помещениях (посетителей) КО.
6. План ОНиВД рекомендуется разрабатывать применительно к крупномасштабным непредвиденным обстоятельствам. При этом рекомендуется предусмотреть возможность реализации отдельных автономных частей (модулей) Плана ОНиВД в случае непредвиденных обстоятельств меньшего масштаба.
9. Содержание Плана ОНиВД.
  • 9.1. В План ОНиВД рекомендуется включать:
    • порядок его реализации, включая порядок принятия решения о переводе деятельности КО в чрезвычайный режим, а также порядок управления КО в чрезвычайном режиме;
    • перераспределение обязанностей и полномочий как между подразделениями, так и между служащими КО в условиях чрезвычайного режима с учетом взаимозаменяемости служащих в случае отсутствия (недоступности) ответственных и/или уполномоченных служащих;
    • перечень установленных в КО процедур, выполнение которых в режиме повседневного функционирования КО необходимо для успешной реализации Плана ОНиВД, а также очередность и сроки их выполнения;
    • порядок взаимодействия, в том числе порядок экстренного оповещения и связи, между органами управления, подразделениями и служащими КО при возникновении непредвиденных обстоятельств;
    • порядок информирования и взаимодействия с заинтересованными лицами по вопросам ОНиВД КО;
    • детальные инструкции для подразделений и служащих КО, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности КО внутренних банковских процессов и АИС;
    • порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.

  • 9.2. В целях обеспечения способности КО выполнять свои обязательства и минимизировать возможные негативные последствия непредвиденных обстоятельств, в Плане ОНиВД рекомендуется определить порядок осуществления внутренних банковских процессов в чрезвычайном режиме.
    • 9.2.1. Для каждого внутреннего банковского процесса рекомендуется определить уровень его осуществления, в том числе:
      • осуществление в режиме повседневного функционирования;
      • осуществление на сниженном (заданном) уровне по сравнению с уровнем режима повседневного функционирования в течение заданного периода времени;
      • прекращение его осуществления (планомерное или максимально быстрое и безопасное).
    • 9.2.2. Для каждого критически важного для деятельности КО внутреннего банковского процесса рекомендуется дополнительно определить:
      • критерии непрерывности осуществления;
      • развернутый перечень ресурсов - кадровых, финансовых, материальных, информационных, средств связи, необходимых для его поддержания в чрезвычайном режиме;
      • помещения, предназначенные для осуществления процесса в чрезвычайном режиме в случае недоступности помещений, используемых в режиме повседневного функционирования;
      • возможность получения услуг, необходимых для осуществления процесса, в случае отказа поставщика указанных услуг (провайдера) от исполнения договорных обязательств.
    • 9.2.3. В Плане ОНиВД рекомендуется предусмотреть периодичность и способы создания резервных копий информации. Рекомендуется определить места хранения и способы доставки резервных копий до мест хранения, а также способы и сроки восстановления информации.
      • В Плане ОНиВД рекомендуется определить порядок хранения документированной информации, а также порядок восстановления документов в случае утраты их оригиналов.
    • 9.2.4. В Плане ОНиВД рекомендуется предусмотреть способы экстренного поддержания ликвидности на случай непредвиденных обстоятельств.
    • 9.2.5. В инструкциях для подразделений и служащих КО рекомендуется определять:
      • порядок действий при возникновении непредвиденных обстоятельств или появлении реальной угрозы их возникновения;
      • процедуры перевода работы в чрезвычайный режим;
      • порядок осуществления критически важных для деятельности КО внутренних банковских процессов в чрезвычайном режиме, описание изменений в технологиях их осуществления;
      • порядок доступа к ресурсам, необходимым для работы в чрезвычайном режиме.
    • 9.2.6. В Плане ОНиВД рекомендуется предусмотреть порядок восстановления нарушенных внутренних банковских процессов после ликвидации последствий непредвиденных обстоятельств, критерии, позволяющие принять решение о завершении работы в чрезвычайном режиме, и порядок принятия такого решения, а также порядок возврата в режим повседневного функционирования.
11. Порядок проверки (тестирования) и пересмотра Плана ОНиВД.
  • 11.1. Рекомендуется предусмотреть проведение проверок Плана ОНиВД с периодичностью не реже 1 раза в 2 года.
  • 11.2. Решение о проведении проверки Плана ОНиВД рекомендуется оформлять в соответствии с установленным в КО порядком. При этом рекомендуется определить:
    • программу, форму и сроки проведения проверки Плана ОНиВД;
    • перечень подразделений и служащих КО, участвующих в проверке Плана ОНиВД;
    • перечень проверяемых модулей Плана ОНиВД;
    • перечень ресурсов, предполагаемых для использования при проверке Плана ОНиВД;
    • состав и обязанности группы наблюдателей (контролеров);
    • сроки и порядок оформления результатов проверки Плана ОНиВД.
  • 11.2.1. Проверку Плана ОНиВД рекомендуется проводить по заранее разработанной и утвержденной исполнительным органом КО программе, предусматривающей вводные данные, подробное описание действий служащих в соответствии с проверяемым Планом ОНиВД или модулем Плана ОНиВД, требования по срокам завершения промежуточных этапов выполнения Плана ОНиВД.
  • 11.2.2. Для проведения проверки (тестирования) Плана ОНиВД рекомендуется определить группу наблюдателей (контролеров), на которую возложить контроль выполнения предусмотренных Планом ОНиВД мероприятий, составление протокола проверки и отчета о проведении проверки Плана ОНиВД.
  • 11.2.3. Протокол проверки Плана ОНиВД рекомендуется вести по установленной внутренними документами КО форме. При этом в протоколе рекомендуется указывать:
    • список наблюдателей (контролеров), присутствующих при проверке;
    • перечень всех процедур, выполняемых в рамках тестируемых модулей Плана ОНиВД, с отметками о соответствии результатов их выполнения Плану ОНиВД;
    • время, затраченное на завершение промежуточных этапов и реализацию проверяемых модулей Плана ОНиВД;
    • описание выявленных недостатков Плана ОНиВД или подготовки служащих.
12. План ОНиВД рекомендуется не реже 1 раза в 2 года пересматривать с целью обеспечения его соответствия организационной структуре, характеру и масштабам деятельности КО, утвержденной стратегии развития деятельности КО, условиям мест нахождения КО (ее подразделений), а также для устранения недостатков, выявленных в ходе проверок Плана ОНиВД, и учета вновь выявленных факторов, которые могут привести к нарушению повседневного функционирования КО.


Описание терминов и использованные сокращения приведены в комментариях.

2 комментария:

eagle комментирует...

Использованы сокращения:
АИС - Автоматизированная информационная система
ИБ - Информационная безопасность
КО - Кредитная организация
НСД - Несанкционированный доступ
ОНиВД - Обеспечение непрерывности деятельности и/или восстановление деятельности КО в случае возникновения непредвиденных обстоятельств
ПО - Программное обеспечение
СВК - Служба внутреннего контроля
СД - Совет директоров (наблюдательный совет)
СМИ - Средства массовой информации

eagle комментирует...

Определение понятий:

Внутренний контроль - деятельность организации, направленная на достижение Целей внутреннего контроля.

Система внутреннего контроля - совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством, настоящим Положением, учредительными и внутренними документами организации.

Система органов внутреннего контроля - определенная учредительными и внутренними документами организации совокупность органов управления, а также подразделений и служащих (ответственных сотрудников), выполняющих функции в рамках системы внутреннего контроля.

Управление банковскими рисками:
- выявление, измерение и определение приемлемого уровня банковских рисков, типичных возможностей понесения потерь и/или ухудшения ликвидности вследствие наступления неблагоприятных событий;
- постоянное наблюдение за банковскими рисками;
- принятие мер по поддержанию рисков на уровне, не угрожающем финансовой устойчивости организации и интересам ее кредиторов и вкладчиков.

Цель внутреннего контроля - обеспечение:
- Эффективности и результативности финансово-хозяйственной деятельности, эффективности управления активами и пассивами, включая обеспечение сохранности активов, управления банковскими рисками.
- Достоверности, полноты, объективности и своевременности составления и представления отчетности, а также информационной безопасности.
- Соблюдения требований законодательства и регуляторов, а также учредительных и внутренних документов организации.
- Исключения вовлечения организации и ее служащих в осуществление противоправной деятельности.

Информационная безопасность - защищенность интересов (целей) организации в информационной сфере, представляющей собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.

Информационные потоки - получение и передача информации.

Мониторинг системы внутреннего контроля - постоянное наблюдение за функционированием системы внутреннего контроля в целях оценки степени ее соответствия задачам деятельности организации, выявления недостатков, разработки предложений и осуществления контроля за реализацией решений по совершенствованию системы внутреннего контроля организации.

План ОНиВД - внутренний документ (комплект документов) КО, определяющий цели, задачи, порядок, способы и сроки осуществления комплекса мероприятий по предотвращению или своевременной ликвидации последствий возможного нарушения режима повседневного функционирования КО (ее подразделений), вызванного непредвиденными обстоятельствами (возникновением чрезвычайной ситуации или иным событием, наступление которого возможно, но трудно предсказуемо и связано с угрозой существенных материальных потерь или иных последствий, препятствующих выполнению организацией принятых на себя обязательств).

Банковский процесс - совокупность последовательных и законченных действий по осуществлению банковских операций и сделок.

Заинтересованные лица - клиенты, участники (акционеры), контрагенты, в том числе поставщики услуг (провайдеры) КО, органы государственной власти и местного самоуправления, Банк России, другие государственные органы, в пределах своей компетенции осуществляющие функции регулирования и/или надзора в отношении КО, СМИ и др.

Чрезвычайный режим - режим, предусмотренный Планом ОНиВД