Снежана Газиян CIA, AML consultant, ART-BANK
ELF-SJU@YANDEX.RU

Вступление в действие указания Центральный Банк Российской Федерации от 5 марта 2009 года № 2194-У «О внесении изменений в положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее – соответственно, 242-П и 2194-У) напомнило банкам о необходимости наличия четко определенных планов поддержания непрерывности и/или восстановления деятельности на случай непредвиденных ситуаций.

Очевидно, что наличие такого плана (набора алгоритмов) жизненно важно для любой организации. Более того, не будет, думаю, преувеличением сказать, что в той или иной степени каждый банк продумывал для себя перечень этих самых форс-мажоров и, соответственно, ответные действия.

Впрочем, далеко не всегда это был формальный документ (ряд документов), планы могли разрабатываться и существовать параллельно, дублировать или даже противоречить друг другу, покрывать лишь часть рисков (впрочем, связанных с теми проблемами, которые руководство банка, исходя из специфики и условий деятельности и собственного опыта ведения бизнеса, а также стратегических целей и задач, считало наиболее вероятными и существенными) и даже не ориентироваться на продолжение деятельности организации в целом. То есть, в некотором смысле, таким кредитным организациям придется создавать (хотя бы даже формальную логику документа) практически с нуля.

С другой стороны, даже те банки, в которых в целом, скажем, на уровне группы, процесс формализован, сталкиваются с необходимостью его настройки и адаптации (или уточнения).

Создание по-настоящему работоспособной и цельной системы оказывается действительно непростой задачей, включающей несколько ключевых направлений, несколько основных шагов. С одной стороны, эти шаги можно назвать универсальными для любой организации. С другой, тем более очевидно, что дьявол кроется в деталях – и в разных банках планы будут действительно разными, даже если изначально они будут строиться на одном и той же «рыбе». Возможно ли дать некий универсальный совет по созданию (наполнению) плана? Пожалуй, это будет лишь еще один шаблон.

В данном случае, я сознательно хочу сместить фокус обсуждения с глобального (банка как организации в целом) на более локальный уровень, мало того, рассмотреть процедуру не с точки зрения основных бизнес процессов банка, а с точки зрения обеспечивающего (вторичного) процесса, а именно, комплаенс - функции:противодействия легализации доходов, полученных преступным путем, и финансированию терроризма (далее – ПОД/ФТ); и внутреннего аудита.

Естественно, комплаенс или внутренний аудит сами по себе не существуют – они необходимы постольку, поскольку есть бизнес банка. Но даже чрезвычайная ситуация не предполагает «отключение» внутренних контролей.

Итак,

1 этап.

Составление перечня основных (критически важных) банковских процессов, обязательств, систем, объектов (анализ документов, описаний процессов и продуктов, встречи и «интервью» с персоналом и т.п.).

Определение круга возможных негативных событий, чрезвычайных ситуаций, обстоятельств форс-мажора, которые могут затронуть (полностью или частично нарушить) деятельность банка в целом или одного из структурных подразделений.

Сопоставление перечней: определение видов и степени воздействия непредвиденных обстоятельств на режим повседневного функционирования банка, его способность выполнять принятые на себя обязательства.

Определение критериев непрерывности процессов (работоспособности систем, исполнения обязательств): очевидно, что мерилом будут служить условия соответствующих договоров, стандарты и сложившаяся практика (например, последовательности операций в рамках процесса) и требования законодательства РФ, нормативных актов Банка России. Соответственно – формирование показателей восстановления (внутренних банковских процессов, возможности исполнения договоров, работоспособности систем): приемлемые сроки, допустимый размер материальных и/или трудовых затрат, допустимый размер потерь (например, информации) и проч.

Участие в процессе всех структурных подразделений – как непосредственно связанных с осуществлением банковских операций и иных сделок, так и обеспечивающих деятельность банка в целом.

Входит ли ПОД/ФТ в «перечень критически важных с точки зрения обеспечения режима повседневного функционирования кредитной организации внутренних банковских процессов (совокупности последовательных и законченных действий по осуществлению банковских операций и сделок)»?

Как уже было сказано выше, да: совокупность процедур внутреннего контроля – это неотъемлемая часть функционирования банка. И, соответственно, даже чрезвычайные обстоятельства не должны быть лазейкой для проведения, скажем «серых» операций или вовлечения банка в иную противоправную деятельность.

Как может выглядеть карта ключевых процессов в рамках ПОД/ФТ? Вероятно, примерно так:

• идентификация новых клиентов (первичный анализ рисков) и текущий анализ клиентской базы (пересмотр уровня связанных рисков);
• текущий мониторинг операций (выявление однозначных случаев: обязательного контроля, подозрительных операций или сомнительной деятельности) и «исторический» анализ (получение свидетельств для квалификации необычных или неоднозначных случаев);
• персонал (ответственный сотрудник, подразделение, смежные подразделения и сотрудники, участвующие в реализации контроля, обучение, проверка знаний) обеспечивающие системы (ИТ, информационная безопасность, хранение, документальное фиксирование).

Негативные с точки зрения ПОД/ФТ события – естественно, в основном те же, что отнесены к таковым с точки зрения банка в общем: скажем, то, что обычно называется обстоятельствами форс-мажора - техногенные и природные катастрофы, эпидемии, войны, введение режима чрезвычайного положения и др.; невозможность доступа в помещения банка (например, из-за конфликта собственника с третьей стороной, когда банк-арендатор оказывается пострадавшей стороной), выход из строя технических средств и оборудования (как по причине внутренних сбоев, так и под воздействием факторов внешней среды, в том числе, недостаточного обеспечения безопасности, в результате чего оборудование было повреждено пожаром, вандалами или попросту украдено), нарушение функционирования коммунальной инфраструктуры или электроснабжения и т.п.; сбои в работе операционной системы, основных или вспомогательных автоматизированных банковских систем, локальных сетей или систем коммуникации (в том числе, при проведении внешних или внутренних ремонтных или строительных работ); человеческий фактор (во всех возможных его проявлениях – от ненамеренных ошибок или халатности до сознательных действий или бездействия, направленных прямо или косвенно против интересов банка) и проч.; в опосредованном виде: (массовый) отказ от исполнения обязательств контрагентами и/или клиентами; информационные атаки или внутренние организационные факторы, приводящие к потере деловой репутации и/или непредвиденному дефициту ликвидности и/или невозможности исполнения банком иных собственных обязательств, резкое снижение объема или качества капитала или активов и т.д.

При этом к «частным» негативным событиям, в наибольшей степени затрагивающим именно систему ПОД/ФТ можно отнести: выход из строя специализированных программных (АРМ ПОД/ФТ) и/или технических средств (оборудования), отказ поставщиков указанных средств или оборудования от исполнения своих обязательств (например, своевременного предоставления технической поддержки) или несовершенство/отсутствие технологической документации по внутренним разработкам (затрудняющее, в том числе, замедляющее процесс выявления причин и устранения сбоев), отсутствие или недостаточный уровень взаимозаменяемости сотрудников (как внутри подразделения ПОД/ФТ, так и в рамках банка в целом – например, отсутствие «резервистов», способных взять на себя часть полномочий и (индивидуально или коллективно) заменить ответственного сотрудника (сотрудников подразделения), или недостаточное внутреннее нормативное (распорядительными документами, правилами) регулирование экстренного перераспределения полномочий, отсутствие (проработанных) резервных каналов передачи информации в Росфинмониторинг и/или от, например, филиалов в головной офис (как минимум, в соответствии с нормами главы 2 Положения Банка России от 29 августа 2008 № 321-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», далее - 321-П), отсутствие альтернативных способов реализации мониторинга (или неумение сотрудников их использовать), скажем, перейти от АРМ к средствам ручного (или с «малой механизацией») контроля и анализа транзакций и клиентов и т.п.

Критерий непрерывности процессов и критические сроки восстановления внутреннего контроля в целях ПОД/ФТ должны быть установлены таким образом, чтобы банк своевременно и в полном объеме, а именно, в соответствии с 321-П, не позднее 16.00 по местному времени рабочего дня, следующего соответственно за днем совершения или за днем выявления операции (или непосредственно в день зачисления средств/приостановления списания по операции, связанной с финансированием терроризма), направлял необходимые сведения в Росфинмониторинг; и, как минимум, мог накапливать необходимые данные для последующего анализа транзакций на предмет выявления сомнительной деятельности и/или подозрительных операций; и не мог принять на обслуживание клиента, несущего повышенные риски (например, если в обычных условиях рассмотрение и принятие решений по такому клиенту предусматривает комплексную оценку, обоснование необходимости и утверждение решением единоличного исполнительного органа/совета директоров, и этот порядок не может быть реализован в режиме чрезвычайной ситуации). Соответственно, в этой части параметры непрерывности (или особого режима) процессов следует скоординировать со всеми департаментами, участвующими в приеме клиентов на обслуживание.

2 этап.

Детальная проработка и документирование плана действий, направленных на обеспечение непрерывности деятельности и (или) восстановление деятельности (План ОНиВД в терминах 2194-У или, в девичестве, Disaster recovery & Business Continuity Plan) банка в случае возникновения непредвиденных обстоятельств.

Создание единого документа или комплекта взаимосвязанных внутренних регламентов, согласование и утверждение – скорее всего, на уровне совета директоров (наблюдательного совета).

Определение целей и задач Плана ОНиВД для различных уровней: банка в целом, отдельных структурных подразделений, отдельных направлений деятельности, а также в зависимости от масштабности непредвиденных обстоятельств - формирование матрицы действий и решений для всех «пересечений» (различных уровней событий и процессов), т.е., определение структуры и содержания Плана ОНиВД. Проведение предварительного тестирования.

Основными целями Плана ОНиВД (на уровне банка в целом) являются поддержание способности банка как организации исполнять принятые на себя обязательства (как «внешние» - перед вкладчиками, кредиторами, акционерами, регулирующими органами, так и «внутренние» - в части обеспечения безопасности и благоприятных условий труда сотрудников) и обеспечение функционирования как части системы расчетов; сохранение уровня управления банком, позволяющего обеспечить условия для принятия обоснованных и оптимальных управленческих решений, их своевременную и полную реализацию, в том числе, в части обеспечения информационной безопасности; и, наконец, возможное предупреждение (предотвращение) негативного события и/или нарушения режима повседневного функционирования и/или снижение тяжести последствий (в том числе, размера прямых материальных потерь, потерь информации, потери деловой репутации и т.п.).

Комплект документов (документ) должен отражать (содержать) порядок принятия решения о переводе деятельности банка при возникновении непредвиденных обстоятельств в чрезвычайный режим (критерии которого определены на первом этапе) и соответствующий особый порядок управления: перераспределение обязанностей и полномочий как между подразделениями, так и между отдельными сотрудниками с учетом взаимозаменяемости (в случае отсутствия/ недоступности соответствующих ответственных исполнителей и/или уполномоченных специалистов); порядок взаимодействия (в том числе, экстренного оповещения/связи) между органами управления, подразделениями, служащими и иные детальные инструкции, содержащие описание действий, необходимых для поддержания или своевременного возобновления функционирования критически важных для деятельности банка внутренних банковских процессов и автоматизированных информационных систем; порядок информирования всех заинтересованных лиц (в соответствии с перечнем и приоритетами, определенными на первом этапе) о возникновении непредвиденных обстоятельств и «включении» чрезвычайного режима и соответствующего особого порядка функционирования банка и взаимодействия с заинтересованными сторонами; наконец, порядок завершения работы в чрезвычайном режиме и возврата в режим повседневного функционирования.

Отдельным блоком следует отразить (или уточнить) перечни повседневных (стандартных, рутинных) процедур и регламентов, выполнение которых необходимо для успешной реализации Плана ОНиВД (или, в ряде случаев, даже предотвращения необходимости, или минимизации сроков задействования оного), таких как: резервного копирования данных, наличия резервных источников энергии; процедур восстановления функционирования и/или осуществления поддержки в течение времени использования, и/или определения правил приобретения, разработки, настройки и обслуживания (сопровождения) – в части автоматизированных информационных систем; осуществления контроля за безопасностью и обоснованностью доступа, в том числе, физического к системам, программам, оборудованию, данным, помещениям; заключение договоров с контрагентами на оказание услуг (работ), обеспечивающих реализацию Плана ОНиВД, в том числе, страхование рисков и компенсацию убытков; а также очередность и сроки их выполнения; и т.п.

В разрезе (с точки зрения) каждого из процессов, выделенных как критически важные, банк, очевидно, должен определить особый порядок реализации этого процесса в чрезвычайном режиме (на заданном – сниженном по сравнению со стандартным повседневным – уровне в течение необходимого периода времени), а также возможность планомерного «замораживания» или максимально быстрого и безопасного прекращения осуществления процесса.

С точки зрения системы внутреннего контроля в целях ПОД/ФТ основная тяжесть внешних обязательств лежит в сфере исполнения функций агента контроля, агента финансового мониторинга (т.е., заинтересованными сторонами являются Банк России и Росфинмониторинг), а внутренние определяются в рамках системы комплаенс (т.е., степенью интегрированности контрольных процедур в бизнес-процессы и востребованности результатов с точки зрения общего подхода к управлению рисками, к организации деятельности банка) – что и определяет цели этой части Плана ОНиВД.

Большую часть необходимых рутинных «страховочных» действий наверняка удобнее отразить в Правилах внутреннего контроля (далее - ПВК). Или, скорее, уточнить, при необходимости, уже имеющиеся принципы. Так, параметры информационной безопасности, в том числе, ограничения и разграничения доступа, порядок и сроки хранения информации и документов банк должен (был) выстроить, как минимум, в соответствии со статьями 4 и 7 Федерального закона от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – 115-ФЗ), требованиями 321- П и Положения Банка России от 19 августа 2004 года № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – 262-П), рекомендациями, доведенными Письмом Банка России от 13 июля 2005 года№ 99-Т «О методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и т.п.; и отразить/рекомендации (в том числе, применимые рекомендации «материнской» группы) эти нормы в ПВК, исходя из характера, масштабов и иных особенностей деятельности. Таким образом, основной акцент на втором этапе разработки Плана ОНиВД с точки зрения ПОД/ФТ на принципах должной организации работы именно в чрезвычайном режиме:

• «переключение» контроля между подразделениями ПОД/ФТ банка (группа, головной - филиалы и т.п.), в том числе, выполнение необходимых контрольных функций (мониторинга транзакций, скрининга клиентской базы) в удаленном режиме – оперативная организация доступа, схема, по которой происходит переход контрольных функций и возвращение в нормальный режим, документирование действий для возможности их специального последующего контроля на предмет дополнительных рисков;
• «переключение» функций ответственного сотрудника (контролера) на «резервистов», т.е., сотрудников иных структурных подразделений, имеющих квалификацию для проведения контроля и направления сообщений: назначение таких лиц может осуществляться как специальными распорядительными документами органа чрезвычайного управления, так и «автоматически», в силу изданных в упреждающем порядке распоряжений, остающихся в «спящем» состоянии до момента возникновения чрезвычайного режима; необходимо также определить порядок экстренной организации доступа указанных лиц к необходимым ресурсам и обеспечения должной независимости этих сотрудников (в том числе, исключение совмещения обязанностей, которое может привести к конфликту интересов), а также постоянства и беспристрастности внутреннего контроля;
• задействование резервных каналов (способов) обмена информацией об операциях, сделках, клиентах и возникших подозрениях – с учетом соблюдения должного уровня конфиденциальности и возможности сохранения этой информации для последующего дополнительного контроля и включения в общую базу (базы) данных в целях ПОД/ФТ;
• использование резервных помещений и технических средств (впрочем, очевидно ровно тех же cold/warm/hot sites, которые подготавливаются на уровне банка в целом: территориально удаленные от мест основного расположения банка и поддерживаемые в состоянии готовности для использования в чрезвычайном режиме, либо помещения, находящиеся в местах основного расположения банка/филиала/обособленного структурного подразделения, исходя из возможности увеличения интенсивности использования или изменения назначения указанных помещений в чрезвычайном режиме); и т.п.

Существенным элементом является также порядок принятия решения и восстановления после ликвидации последствий непредвиденных обстоятельств (с учетом определенных на первом этапе критериев, позволяющих принять решение о завершении работы в чрезвычайном режиме). Для ответственного сотрудника здесь возникает дополнительная задача – проведение внеплановой контрольной самооценки с точки зрения полноты исполнения ПВК (например, обновление баз данных, должное оформление документов на основе «черновиков», составленных в течение чрезвычайного периода, постановка дополнительных технических заданий или разработка документов по выявленным слабым местам в системе контроля и т.п.), а также как можно более скорый последующий (дополнительный) контроль всех транзакций этого периода с целью выявления возможных пропусков (обязательного контроля) и новых факторов риска, могущих изменить оценку клиентов или длящихся операций или сделок. О результатах этой работы ответственному сотруднику следует в кратчайшие сроки проинформировать заинтересованные стороны внутри банка (для общей оценки потерь и ущерба, а также степени влияния чрезвычайной ситуации на качество и эффективность контроля для принятия соответствующих решений на будущее, в том числе, минимизацию «ближайших» возможных рисков), а также, при необходимости, внешние стороны: акционеров, группу, ассоциации; и/или регулирующие органы (Банк России, ФСФР, Росфинмониторинг, правоохранительные органы).

Предварительное тестирование отдельных модулей и/или Плана ОНиВД может быть проведено как на втором этапе (апробация непосредственно в процессе разработки), так и на этапе полномасштабного внедрения. При этом важно обеспечить единство подходов как разработке модулей, так и согласованию Планов ОНиВД в рамках группы в целях дополнительных гарантий обеспечения непрерывности деятельности и ее скорейшего восстановления.

3 этап.

Внедрение. Комплексное тестирование. При необходимости: внесение соответствующих изменений во внутренние регламенты по направлениям деятельности; распорядительные и/или уставные документы, штатное расписание и/или организационную структуру; заключение и/или пересмотр необходимых договоров с поставщиками услуг, ресурсов и т.п.; пересмотр действующих договоров с контрагентами, партнерами, клиентами, трудовых договоров с персоналом, распределение полномочий и ответственности; заключение или пересмотр соглашений о страховании рисков (и/или имущества, и/или жизни и здоровья персонала); закупка необходимых материальных активов и проч.

Информирование и обучение персонала. Различные уровни и способы обучения и проверки навыков в зависимости от направления деятельности, взаимосвязей, общих ресурсов и проч.; а также общая проверка на уровне банка как организации в целом.

Информирование всех заинтересованных лиц в рамках их компетенции (или, вернее сказать, в рамках их интересов и/или необходимости в их «правильной» информированности для банка – например, если речь идет о СМИ).

Установление способов взаимодействия с государственными (муниципальными) аварийными и специализированными службами (в том числе, с органами внутренних дел, пожарной охраной, аварийно-спасательными службами, учреждениями здравоохранения, органами, осуществляющими государственный санитарно- эпидемиологический надзор), коммунальными службами (электро-, тепло- и водоснабжения, с поставщиками услуг телефонной и других видов связи) и, где применимо и уместно, аналогичными коммерческими организациями.

В фокусе внутреннего контроля в целях ПОД/ФТ основное внимание следует уделить соответствующим дополнениям/изменениям к уже имеющимся (в ПВК, в соответствии с Указанием Банка России от 9 августа 2004 года № 1485-У «О требованиях к подготовке и обучению кадров в кредитных организациях» и Указанием Банка России от 9 августа 2004 года № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях» – далее, соответственно, 1485-У и 1486-У) квалификационным требованиям и обучению персонала подразделения ПОД/ФТ, а также подготовке и проверке знаний сотрудников банка.

Так, в рамках подразделения ПОД/ФТ необходимо обратить внимание на сохранение единообразия деятельности (от критериев анализа и оценки до оформления документов) при замещении/перераспределении обязанностей, а также закрепление навыка использования альтернативных каналов связи, алгоритмов и средств контроля, источников и хранилищ информации; а также вопросы сохранения независимости и беспристрастности контроля в чрезвычайных условиях, том числе, в связи с необходимостью исполнения сотрудниками подразделения дополнительных нестандартных обязанностей.

Соответственно, дополнительный модуль в программе обучения/тестирования (иных) сотрудников банка должен быть нацелен на подготовку упоминавшихся выше «резервистов» - в зависимости от возможностей банка – определенных сотрудников, которые фактически могут продублировать подразделение ПОД/ФТ, или команды из разных департаментов, забирающей на себя отдельные «куски» работ (в рамках компетенции) и координатора процесса.

4 этап.

Периодическая проверка (тестирование) актуальности и практической эффективности и действенности имеющихся порядков и алгоритмов, в том числе, путем проведения практических испытаний (учений). Дополнительная мотивация и вовлечение всех сотрудников в совершенствование Плана ОНиВД.

Проведение внутреннего аудита.

Анализ расхождений и проблем, внесение необходимых изменений, обновление документов и иных задействованных систем и ресурсов (пересмотр Плана ОНиВД).

Рутинные проверки (учения) на уровне банка в целом действительно можно проводить, как рекомендуется 2194-У, не реже одного раза в два года. Однако при существенных изменениях внутренней организационной структуры, структуры управления и/или собственности (что сейчас не редкость), смене адресов, изменениях в стратегических планах, в характере и масштабах деятельности, появлении новых угроз (факторов риска) и проч. существенных событиях соответствующие самопроверки и аудит должны быть проведены внепланово. Тестирование отдельных модулей Плана ОНиВД, по усмотрению банка, должно проводиться регулярно, но периодичность может быть иной (чаще).

Для проведения тестирования Плана ОНиВД 2194-У рекомендуется выделять особых ответственных лиц (группу наблюдателей или контролеров), в обязанности которых должно входить организация (в том числе, моделирование ситуаций, выделение ресурсов и т.п.), непосредственно проведение и документирование результатов (составление протоколов, отчетов и т.п.). При этом в состав этой группы должны входить как разработчики отдельных модулей (направлений) Плана (в том числе, естественно, сотрудники комплаенс, в частности, ПОД/ФТ), так и независимые наблюдатели: внутренние аудиторы и, при необходимости, также внешние эксперты и/или консультанты, специализирующиеся на оказании услуг в сфере обеспечения непрерывности деятельности и информационной безопасности в финансовой сфере.

Основные параметры специфического «стресс - тестирования» системы ПОД/ФТ в целях реализации Плана ОНиВД были рассмотрены выше – третий этап – однако может быть целесообразно совместить (если уже имеются, или, соответственно, внедрить) процедуры обычной контрольной самооценки качества и эффективности и смоделированную чрезвычайную обстановку (как дополнительный фактор риска и уязвимости всех систем банка и системы внутреннего контроля в том числе): основной интерес и смысл в данном случае будет состоять в сравнении скорости и качества (полноты) выявления «засланных казачков» в «спокойном состоянии» и на фоне «общей ослабленности организма».

О роли внутреннего аудита

Периодичность и глубина проведения внутреннего аудита должна определяться с учетом оценки вероятности наступления чрезвычайной ситуации (угрожающих событий), изменений в деятельности самого банка и оценки связанных рисков, относящихся к ОНиВД, наконец, исходя из результатов предыдущей проверки и/или учений.

В отличие от комплаенс – функции ПОД/ФТ, которая может сосредоточиться на более узком аспекте, внутренний аудитор должен рассматривать каждый модуль Плана ОНиВД и документ (систему мер) в целом. Сама проверка может быть как целевой, т.е., посвященной только и исключительно Плану ОНиВД, так и частью проверки направлений деятельности – по аналогии с проверками организации внутреннего контроля и управления рисками. Во втором случае, соответственно, аудит оказывается более частым, но более узким.

В рамках периодического внутреннего аудита мер по ОНиВД необходимо убедиться, что разработанные алгоритмы и планы адекватны текущей ситуации (как вне, так и внутри банка) и возможным угрозам и действительно могут привести к скорейшему и с минимально возможными потерями восстановлению нормальной деятельности банка.

При этом аудитор должен подтвердить, что необходимые документы своевременно обновляются и пересматриваются; проходят должное утверждение и согласование, доводятся до сведения всех заинтересованных лиц (как «владельцев» бизнес или обеспечивающих процессов, так и рядовых исполнителей) своевременно и в нужном объеме, покрывают все существенные (критически важные) направления деятельности банка; процедуры разработаны с учетом должного определения и адекватной оценки рисков, угроз и их последствий; назначены ключевые сотрудники, ответственные за управление и принятие решений в чрезвычайных обстоятельствах; действительно имеются необходимые «спасательные средства»; проведены все предусмотренные тесты и учения; установлено взаимодействие со всеми необходимыми (внешними по отношению к банку) лицами и структурами. Наконец, аудитору необходимо получить практические доказательства (безусловно, лучше, если в рамках моделей и учений, а не настоящего бедствия) практической действенности и эффективности перечисленного.

Вообще, роль внутреннего аудитора в ОНиВД банка оказывается крайне многообразной: внутренний аудитор может включиться как консультант в разработку планов – используя свои уникальные знания всех банковских процессов, рисков и их взаимосвязей; проводить собственно аудит – независимые и объективные последующие проверки; принимать на себя обязанности в рамках мероприятий по восстановлению после возникновения чрезвычайной ситуации.

В первом и третьем случае очевидно определенное отступление от стандартных процедур (установленных требований) к оказанию внутренним аудитом консультационных услуг (См. в частности практические рекомендации к Стандарту 2110 (международные профессиональные стандарты внутреннего аудита: http://www.iia-ru.ru/inner_auditor/standard/). На стадии подготовки (планирования) и детальной проработки Плана ОНиВД внутренние аудиторы могут быть вовлечены в оценку изменений внешней и внутренней среды, а также рисков (угроз) основным бизнес- процессам банка – с целью определить приоритеты и разумную очередность действий в рамках Плана ОНиВД. В процессе восстановления после чрезвычайной ситуации (серьезного нарушения функционирования) внутренние аудиторы должны сосредоточиться на постоянном текущем мониторинге эффективности и качества предпринимаемых мер по налаживанию нормальной жизнедеятельности (функционирования) банка, особенно на тех областях, которые подвержены наибольшим рискам в силу своей специфики и/или наиболее пострадали от чрезвычайных обстоятельств. Вероятно, при необходимости, часть аудиторского ресурса может быть задействована в помощи исполнителям на местах. После завершения восстановительного периода разумно проведение специального (внепланового) аудита качества (степени) восстановления и извлеченных из ситуации уроков, т.е., действий по изменению документов (планов, регламентов), ресурсов (материальных, людских), методик (алгоритмов) и систем (управления, документооборота, информационных и проч.), направленных на предотвращение ситуации (если это возможно) или уменьшение степени (разрушительности) ее влияния на деятельность банка.

Если попытаться суммировать вышесказанное, то ключевыми факторами успеха разработки и применения Плана ОНиВД являются наличие квалифицированных кадров и иных необходимых ресурсов, наличие методологической основы, поддержка руководства, вовлечение всех подразделений (бизнес, обеспечивающих) и возможность рассмотрения широкого круга вопросов в сжатые сроки.

Естественно, банк может обратиться к внешним помощникам, отправить разработку на аутсорсинг, купить готовое решение (точнее, полуфабрикат или конструктор «сделай сам») или, кроме шуток, просто хорошенько порыться в интернете. Красивые презентации из общих слов и пересказанных нормативных документов плюс виртуально- реальный (уж пардон, коллеги!) опыт консультантов больших и малых «четверок» или программный продукт, строящий многостраничные шаблоны или выдающий уже почти готовые документы (тексты, схемы, даже обучающие материалы – дело только за переводом) – выбор в любом случае за банком, исходя из баланса затраты - эффект.

Но мне представляется, что не только наличие и использование конечного продукта (Плана ОНиВД), но и процесс его создания или модификации приносит банку несомненную пользу. Как минимум тем, что с еще одной стороны заставляет попытаться структурировать (описать, оценить, документировать) бизнес-процессы, информационные потоки, ресурсы, системы и риски – иными словами, дает повод для столь ценного свежего взгляда на хорошо забытое (как будто бы налаженное).

PS [1]. «Про ответственного сотрудника»

Основной вес 2194-У составляют советы по разработке и внедрению Плана ОНиВД, но вместе с тем, там есть пара пунктов, прямо говорящих об ответственном сотруднике и, как ни странно, судя по комментариям на форуме (http://dom.bankir.ru/showpost.php?p=2525297&postcount=714, а также обсуждение процесса проверки Плана ОНиВД: http://dom.bankir.ru/showthread.php?t=46412), породивших некоторые опасения у коллег.

Итак, что имеем:

• новая редакция пункта 2.2.2 фактически убирает из 242-П «самостоятельное» определение ответственного сотрудника – уточнение понятное (оправданное), но, с точки зрения ежедневной практики и внутренних регламентов, не более чем лингвистическое;
• из перечня вопросов, которые рекомендуется относить к компетенции совета директоров (наблюдательного совета банка) исключено рассмотрение документов по организации системы внутреннего контроля, подготовленных ответственным сотрудником – что, по моему мнению, не накладывает на банк обязанности вносить какие-либо изменения в свою практику и соответствующие внутренние регламенты. То есть, если банк по-прежнему считает для себя разумным, чтобы, скажем, правила внутреннего контроля или иные документы (политики), инициированные службой финансового мониторинга рассматривались советом директоров (наблюдательным советом), то это не будет противоречить 242-П.

PS [2]. Практический пример из проекта.

Типы непредвиденных обстоятельств. Критический сбой в работе специализированных контрольных модулей финансового мониторинга филиала (1); отсутствие телефонной и интернет - связи из-за повреждения коллектора при проведении работ по реконструкции здания на соседней улице дополнительный офис).

Порядок реализации (частичная активация плана). Перераспределение обязанностей. Порядок взаимодействия. Порядок информирования заинтересованных лиц. Согласование и/или информирование - руководитель подразделения финансового мониторинга, подразделения автоматизации и связи, службы безопасности, СВК, управляющий филиала, правление; принятие решение о переводе контроля в чрезвычайный режим – выгрузка данных для предварительного анализа резервными программными средствами контроля, ручной контроль, выгрузка и направление данных в головной офис, немедленное уведомление регулятора о направлении отчетов через головной офис (1); принятие решения о направлении необходимых данных для формирования отчетов в виде электронных сообщений через подразделение инкассации (опечатанный конверт с диском) в головной офис (2). Взаимодействие службы безопасности и административно-хозяйственного подразделения с муниципальными службами в части информированности о сроках и проверки качества восстановления коммуникаций. Взаимодействие подразделения автоматизации и связи с поставщиком специализированного программного обеспечения в рамках договоров об оказании поддержки и восстановлению работоспособности продукта.

Перечень и очередность процедур. Детальные инструкции для персонала. Выполнение контрольных мероприятий в точном соответствии с ПВК (2); или с учетом необходимости дополнительного текущего контроля качества: изменение частоты и сроков выгрузки и анализа данных – привлечение к первичному контролю сотрудников структурных подразделений в рамках их компетенции в соответствии со специальной инструкцией (методическими материалами и указаниями в должностных инструкциях персонала) (1).

Порядок завершения. Порядок информирования заинтересованных лиц. Последующий контроль качества. Подтверждение восстановления нормальной работоспособности специализированных программных модулей – тестирование специалистами ИТ и конечными пользователями, утверждение актов приемки выполненных работ, запуск, немедленное уведомление регулятора о возврате в обычный режим направления данных (1); проверка качества интернет- и телефонной связи и возможности возврата в нормальный режим передачи данных (2); принятие решения об отмене чрезвычайных действий (согласование указанными выше сторонами и лицами), возврат персонала к нормальному режиму исполнения обязанностей (1,2). Проведение ответственными сотрудниками (согласно внутренним регламентам по управлению качеством деятельности) специального последующего контроля. Оформление результатов в виде акта, направление на утверждение в установленном порядке.

PS [3]. Занятная статистика.

Не отказываясь от всего сказанного выше в отношении пользы, приносимой самим процессом разработки Плана ОНиВД или даже только отдельных модулей с тем же назначением, тем не менее, признаю, что результат своего творчества хочется хотя бы с чем-то соотнести – то есть, полюбоваться на аналогичный документ, созданный коллегами из финансового сектора и/или знакомыми из других сфер. Так вот, экспресс- опрос этих самых знакомых (связь, финансы, торговля, услуги) показал, что документа либо нет в природе, либо сотрудники, причем даже от среднего менеджерского звена – ни сном ни духом, и максимум, что смогли припомнить – затертые правила пожарной безопасности, которые, не глядя подписали при приеме на работу (впрочем, в стекляшках бизнес – центров иногда проводятся настоящие учения по экстренной эвакуации с примерно одним и тем же эффектом: кто может, старается просто заранее слинять, остальные весело застревают на лестницах между этажами из-за упорно блокируемых дверей, но зато знакомятся с со- арендаторами). Второе, что обычно вспоминали – «что- то у ИТ-шников» (на поверку – от пары страничек отписки до действительно полновесного документа, но только по вопросам ИТ и практически без ознакомления прочих сотрудников). И все. Впрочем, моя выборка не является репрезентативной – так что, без выводов.