что такое одл в банке
Что такое одл в банке
(1).jpg "что такое одл в банке. Смотреть фото что такое одл в банке. Смотреть картинку что такое одл в банке. Картинка про что такое одл в банке. Фото что такое одл в банке")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Обзор документа
Методические рекомендации Банка России от 14 сентября 2018 г. № 23-МР “По разработке и утверждению порядка доступа к инсайдерской информации и правил охраны ее конфиденциальности”
Глава 1. Общие положения
1.1. Организациям рекомендуется в разрабатываемых и утверждаемых ими порядке доступа к инсайдерской информации и правилах охраны ее конфиденциальности предусмотреть следующие положения:
1.1.1. Принципы организации процессов по обеспечению доступа к инсайдерской информации, ее сохранности и защиты, в том числе следующие принципы:
принцип следования этическим стандартам (в случае их наличия);
принцип непрерывности и эффективности процесса обеспечения защиты и сохранности инсайдерской информации;
принцип предотвращения конфликта интересов при обращении инсайдерской информации;
принцип соответствия мер по обеспечению защиты и сохранности инсайдерской информации, в том числе предотвращению, выявлению и пресечению ее неправомерного использования, характеру и масштабу деятельности организации.
1.1.2. Перечень мер по обеспечению доступа, защиты и сохранности инсайдерской информации, принятие которых рекомендуется в соответствии с главой 2 настоящих Методических рекомендаций.
1.1.3. Порядок и сроки принятия мер по предотвращению неправомерного использования инсайдерской информации при наличии информации, поступившей из внутренних и внешних источников, в том числе информации о признаках недобросовестного поведения работников, а также членов органов управления организации.
1.1.4. Перечень мер по обеспечению недопущения незаконного разглашения и (или) использования инсайдерской информации работниками организации и (или) иными лицами, которым стала известна инсайдерская информация, в том числе случайно, в собственных интересах или в интересах третьих лиц, а также последствия, возникающие в результате незаконного разглашения и (или) использования инсайдерской информации.
1.1.5. Порядок информирования работников организации и ее органов управления о требованиях по соблюдению Федерального закона и принятых в соответствии с ним нормативных актов.
1.1.6. Порядок ознакомления работников организации и ее органов управления с действующими редакциями внутренних документов организации, разработанных в соответствии с частью 1 статьи 3, частью 1 статьи 9, статьей 11 и частями 1-3 статьи 12 Федерального закона.
1.1.7. Способы подтверждения факта ознакомления работников, имеющих доступ к инсайдерской информации, а также лиц, указанных в подпункте 1.1.16 настоящего пункта, с действующими перечнем инсайдерской информации, порядком доступа к инсайдерской информации, правилами охраны ее конфиденциальности, требованиями Федерального закона и принятых в соответствии с ним нормативных актов о последствиях неправомерного использования инсайдерской информации, а также порядок хранения документов, подтверждающих такое ознакомление.
1.1.10. Права и обязанности органов управления организации, утверждающих внутренние документы, разрабатываемые организациями в соответствии с частью 1 статьи 3, пунктом 1 части 1 статьи 9, статьей 11 и частями 1-3 статьи 12 Федерального закона в целях защиты и сохранности инсайдерской информации и реализации мер по предотвращению, выявлению и пресечению ее неправомерного использования.
1.1.12. Порядок уведомления лиц, включенных в список инсайдеров, об их включении в список инсайдеров в соответствии с пунктом 2 части 1 статьи 9 Федерального закона до передачи им инсайдерской информации.
1.1.13. Порядок ведения следующих списков:
1.1.14. Порядок ознакомления и доступа работников организации к информации, содержащейся в стоп-листе и листе наблюдения, и правила хранения информации, содержащейся в стоп-листе и листе наблюдения.
1.1.15. Права и обязанности в области обеспечения доступа, защиты и сохранности инсайдерской информации работников структурного подразделения (структурных подразделений) организации, должностные обязанности которых в силу заключаемых с клиентами организации договоров связаны с получением инсайдерской информации от клиентов организации, в том числе, права и обязанности в области обеспечения доступа, защиты и сохранности инсайдерской информации лиц, привлекающих клиентов, и лиц, осуществляющих оценку привлекаемых клиентов в соответствии с требованиями законодательства Российской Федерации и (или) внутренними документами организации.
1.1.16. Права и обязанности в области обеспечения доступа, защиты и сохранности инсайдерской информации работников структурного подразделения организации, в должностные обязанности которых входит совершение операций в собственных интересах организации, в том числе права и обязанности в области обеспечения доступа, защиты и сохранности инсайдерской информации лиц, принимающих решения о совершении операций в собственных интересах организации, и лиц, осуществляющих предварительную оценку условий сделок, заключаемых организацией, в том числе на их соответствие требованиям законодательства Российской Федерации (если такая оценка осуществляется).
1.1.17. Права и обязанности в области обеспечения доступа, защиты и сохранности инсайдерской информации работников структурного подразделения организации, которые предоставляют аналитические материалы лицам, указанным в подпункте 1.1.16 настоящего пункта, и (или) публичную информацию участникам финансового рынка, которая используется при совершении операций с финансовыми инструментами, иностранной валютой и (или) товарами.
1.1.18. Перечень мер, обеспечивающих исключение несанкционированного доступа в помещения структурных подразделений, указанных в подпункте 1.1.15 настоящего пункта, и к рабочим местам работников таких структурных подразделений.
1.1.20. Ограничение на использование работниками структурных подразделений, указанных в подпункте 1.1.16 настоящего пункта, личных средств связи, личных компьютеров и личных машинных носителей информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства) при осуществлении своих должностных обязанностей.
1.1.21. Ограничение на передачу работниками организации, имеющими доступ к инсайдерской информации, средств идентификации и аутентификации, используемых ими при работе с инсайдерской информацией, третьим лицам.
1.1.22. Перечень лиц, которым организацией предоставляется доступ к инсайдерской информации, порядок ее передачи указанным лицам инсайдерской информации, в том числе с согласия (без согласия ОДЛ), содержащий форму запроса о предоставлении инсайдерской информации, требования к содержанию запроса, в том числе обоснование необходимости получения инсайдерской информации, сроки рассмотрения запроса, основания для отказа в предоставлении согласия на передачу инсайдерской информации, последствия нарушения порядка использования и хранения инсайдерской информации.
1.1.23. Порядок ведения и хранения журнала передачи инсайдерской информации, включающий указание на фиксацию в нем даты и времени передачи инсайдерской информации, информации о лицах, передающих и получающих инсайдерскую информацию, сути передаваемой инсайдерской информации и способе ее передачи, предоставления ОДЛ, или иным уполномоченным лицом согласия на передачу инсайдерской информации.
Глава 2. Отдельные меры по обеспечению доступа к инсайдерской информации, ее защиты и сохранности
2.1. Организациям рекомендуется включать в разрабатываемые и утверждаемые ими порядок доступа к инсайдерской информации и правила охраны ее конфиденциальности меры, предусмотренные пунктом 2.2 настоящих Методических рекомендаций.
2.2. Организациям рекомендуется принимать следующие меры по обеспечению доступа к инсайдерской информации, ее защиты и сохранности:
2.2.2. Установление рабочих мест работников структурных подразделений, имеющих доступ к инсайдерской информации организации, а также работников структурных подразделений, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, в помещениях, отделенных друг от друга, а также от помещений, в которых находятся рабочие места работников иных структурных подразделений организации.
При невозможности разделения рабочих мест организациям рекомендуется разработать иные доступные и разумные меры, направленные на защиту и сохранность инсайдерской информации.
2.2.4. Разграничение прав доступа к базам данных работников, осуществляющих ввод инсайдерской информации в базы данных, и работников, осуществляющих последующую обработку инсайдерской информации.
2.2.5. Обеспечение исключения несанкционированного доступа к рабочим местам, компьютерам, машинным носителям информации работников организации, имеющих доступ к инсайдерской информации организации, а также работников структурных подразделений организации, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, работниками иных структурных подразделений, в том числе должностными лицами, указанными в абзаце третьем пункта 2.2.12 настоящих Методических рекомендаций, посредством средств идентификации и аутентификации субъектов доступа и объектов доступа, в том числе присвоение субъектам и объектам доступа уникального признака (идентификатора).
2.2.6. Обеспечение контроля за передачей средств идентификации и аутентификации работников организации, имеющих доступ к инсайдерской информации организации, работников (структурного подразделения) структурных подразделений организации, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, а также ОДЛ, иным лицам.
Организациям рекомендуется при обеспечении доступа к инсайдерской информации руководствоваться главой 7 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» в части процесса 1 «Обеспечение защиты информации при управлении доступом».
2.2.7. Установление копировальных машин, принтеров и аналогичных устройств, используемых работниками организации, имеющими доступ к инсайдерской информации организации, а также работниками структурных подразделений, указанных в подпункте 1.1.15 пункта 1.1 настоящих Методических рекомендаций, в местах, не доступных иным лицам.
2.2.8. Обеспечение соблюдения ограничений на использование личных средств связи, компьютеров, машинных носителей информации работниками структурных подразделений, указанными в подпункте 1.1.16 пункта 1.1 настоящих Методических рекомендаций, при осуществлении своих должностных обязанностей.
2.2.9. Проведение переговоров, в том числе переговоров с клиентами организации, в отдельных помещениях (комнатах переговоров), обеспечивающих исключение возможности неправомерного распространения информации о факте и содержании указанных переговоров, в случае наличия риска неправомерного использования инсайдерской информации.
2.2.10. Хранение документов, содержащих сведения, составляющие инсайдерскую информацию, в местах, доступ к которым ограничен (для документов на бумажном носителе, машинных носителях информации рекомендуется предусмотреть запираемые места (сейфы, шкафы, помещения и т.п.).
2.2.11. Обеспечение исключения конфликта интересов и получения согласия ОДЛ или иного уполномоченного лица, полученного в порядке и сроки, установленные порядком доступа к инсайдерской информации и правилами охраны ее конфиденциальности, при передаче (в случае возникновения такой необходимости) инсайдерской информации клиентов организации структурным подразделениям, совершающим операции в собственных интересах организации, а также лицам, принимающим решения о совершении таких операций, и лицам, осуществляющим предварительную оценку условий сделок, заключаемых организацией, в том числе на их соответствие требованиям законодательства Российской Федерации (если такая оценка осуществляется.
2.2.12. Обеспечение возможности передачи инсайдерской информации без согласия ОДЛ или иного уполномоченного лица в следующих случаях:
при передаче инсайдерской информации внутри рабочих (проектных) групп;
при передаче инсайдерской информации должностным лицам, определенным организацией;
При передаче инсайдерской информации, полученной рабочей (проектной) группой, лицам, в должностные обязанности которых не входит получение инсайдерской информации, а также при передаче инсайдерской информации рабочей (проектной) группе рекомендуется руководствоваться пунктом 2.2.11 настоящих Методических рекомендаций.
2.2.13. Доведение в уведомительном порядке до сведения ОДЛ или иного уполномоченного лица информацию о создании рабочей (проектной) группы, включая предмет и период деятельности, ее состав.
2.2.14. Определение должностных лиц, инсайдерская информация которым передается без согласия ОДЛ или иного уполномоченного лица, из числа работников осуществляющих следующие функции:
функции внутреннего контроля за деятельностью организации;
функции управления рисками организации;
функции внутреннего аудита организации;
функции правового сопровождения деятельности организации;
функции обеспечения информационной и экономической безопасности деятельности организации.
2.2.15. Обеспечение соблюдения запрета на совершение операций организацией в собственных интересах с финансовыми инструментами, входящими (эмитенты которых входят) в стоп-лист.
2.2.16. Обеспечение своевременного ознакомления работников организации и ее органов управления с порядком доступа к инсайдерской информации и правилами охраны ее конфиденциальности.
2.2.17. Регулярное обучение лиц, указанных в настоящих Методических рекомендациях, в целях повышения уровня их знаний в области обеспечения доступа, защиты и сохранности инсайдерской информации.
Глава 3. Заключительные положения.
Настоящие Методические рекомендации подлежат опубликованию в «Вестнике Банка России».
| Первый заместитель Председателя Банка России | С.А. Швецов |
Обзор документа
Банком России даны рекомендации по разработке и утверждению порядка доступа к инсайдерской информации и правил охраны ее конфиденциальности. Они предназначены для всех инсайдеров, кроме органов власти и физлиц.
Приводится перечень положений, которые целесообразно включить в порядок и правила.
Перечислены рекомендуемые меры по обеспечению доступа к инсайдерской информации, ее сохранности и защиты. В частности, рабочие места сотрудников структурных подразделений, имеющих доступ к инсайдерской информации организации, целесообразно устанавливать в отдельных помещениях. Мониторы компьютеров этих сотрудников следует располагать таким образом, чтобы исключить риски ознакомления иными лицами с инсайдерской информацией.
Работникам, в должностные обязанности которых входит совершение операций в собственных интересах организации, рекомендовано ограничить использование личных средств связи, компьютеров и машинных носителей информации при осуществлении своих должностных обязанностей.
Проводить переговоры, в том числе с клиентами, целесообразно в отдельных помещениях, исключающих возможность неправомерного распространения информации о факте и содержании таких переговоров.
Финансовая сфера
Молчание — золото
Результаты предварительного исследования КПМГ организации функции внутреннего контроля по ПНИИИ/МР в России
Директор отдела консультирования по управлению рисками КПМГ в России и СНГ
Менеджер отдела консультирования по управлению рисками КПМГ в России и СНГ
Регуляторы финансовых рынков прикладывают значительные усилия, чтобы современный финансовый мир развивался по пути конвергенции норм регулирования в области внутреннего контроля. Этот тренд наблюдается и в сфере противодействия неправомерному использованию инсайдерской информации и манипулированию рынком (далее — ПНИИИ/МР) в России.
В марте 2019 года КПМГ (Группа по противодействию финансовым преступлениям) провела предварительное исследование организации функции внутреннего контроля по ПНИИИ/МР в России. Исследование было осуществлено в рамках нашего диалога с участниками рынка, начатого на конференции (на площадке КПМГ), посвященной вопросам осуществления внутреннего контроля по ПНИИИ/МР.
Респондентами исследования стали профессиональные участники рынка ценных бумаг, эмитенты, кредитные организации, осуществляющие расчеты по результатам сделок, совершенных через организаторов торговли, управляющие компании и другие участники рынка ценных бумаг и производных финансовых инструментов.
Наши респонденты получили 30 вопросов. Во многих вопросах была предусмотрена возможность указать более одного варианта ответа.
Можно с уверенностью утверждать, что результаты опроса подтвердили наши ожидания касательно необходимости уделять пристальное внимание обновленным требованиям по ПНИИИ/МР со стороны топ-менеджмента организаций-эмитентов, профессиональных участников рынка ценных бумаг, кредитных и страховых организаций и других. Скорее всего, требования законодательства будут значимым источником регуляторного риска.
Так, в результате нашего исследования мы увидели следующее: хотя большинство респондентов указали, что на момент опроса применяли отдельные лучшие практики и подходы, а некоторые отметили, что провели автоматизацию отдельных процессов, в целом участники рынка были склонны переоценивать зрелость системы внутреннего контроля по ПНИИИ/МР в своих организациях.
Результаты исследования также указывают на три наиболее значимых области дальнейшего развития функции внутреннего контроля по ПНИИИ/МР:
Предлагаем ознакомиться с результатами нашего исследования более подробно в разрезе пяти блоков.
Блок 1. Организация функции внутреннего контроля по ПНИИИ/МР
В рамках первого блока исследования мы рассмотрели вопросы подхода респондентов к построению функции внутреннего контроля по ПНИИИ/МР. Уже на этапе анализа первого блока исследования нами была сформирована гипотеза о переоцененности участниками рынка уровня зрелости системы внутреннего контроля, которая была в дальнейшем подтверждена.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
В подтверждение вышеупомянутой гипотезы, с одной стороны, большинство (88%) респондентов высказались за применение передовых рыночных практик в сфере ПНИИИ/МР. Более того, больше половины респондентов (55%) указали, что не планируют значительно изменять систему внутреннего контроля в преддверии вступления в силу поправок к Федеральному закону 27.07.2010 № 224-ФЗ, так как, по их мнению, система уже соответствует предъявляемым к ней новым требованиям.
С другой стороны, как показали последующие ответы в рамках исследования, всего четверть респондентов (24%) внедрили принцип «Тон сверху», только треть респондентов (29%) используют автоматизированные системы для мониторинга операций на рынке ценных бумаг, и лишь 14% респондентов отметили, что в их организации соблюдаются «открытые» и «закрытые» периоды. Это несоответствие внутренних ожиданий и предпринимаемых мер продемонстрировано на рис. 1 и 2.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
Блок 2. Система внутреннего контроля с точки зрения корпоративного управления
В рамках нашей деятельности мы часто изучаем функции и положения служб внутреннего контроля в организационной структуре компаний, вопросы подчиненности и количества сотрудников в подразделении внутреннего контроля, а также вопросы внутренних коммуникаций. Поэтому в рамках второго блока мы уделили внимание теме «Системы внутреннего контроля с точки зрения корпоративного управления».
Результаты опроса показали, что почти у 70% респондентов Служба внутреннего контроля выступает в качестве подразделения, ответственного за ПНИИИ/МР, в рамках их организационной структуры. Наиболее распространенное количество сотрудников в ответственном подразделении — от двух до трех человек (49% респондентов). Однако при этом треть респондентов (31%) указали, что в их организации функцию ПНИИИ/МР выполняет только один сотрудник. Респонденты в ответах обозначили, что соблюдают требования к независимости ответственного должностного лица (далее — ОДЛ). В то же время мы отметили наличие переходного состояния в отношении административной подчиненности ОДЛ — у некоторых респондентов ОДЛ подотчетен единоличному исполнительному органу (в соответствии с требованиями Федерального закона от 03.08.2018 № 310-ФЗ), а у некоторых — Совету директоров.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России».
Ответы, представленные респондентами на указанные выше вопросы, указывают на то, что внутрикорпоративное управление в части внутреннего контроля по ПНИИИ/МР в целом не противоречит текущим требованиям российского законодательства. Однако далеко не всегда организации готовы применять лучшие практики в этой области. Данное замечание подтверждает высказанную нами выше гипотезу о возможной переоцененности участниками опроса уровня зрелости функции внутреннего контроля по ПНИИИ/МР.
По результатам опроса мы увидели, что важнейший принцип организации системы внутреннего контроля — принцип «Трех линий защиты» — пока внедрен не полностью. Так, чуть менее половины респондентов (45%) отметили, что учли этот принцип в полной мере при формировании организационной структуры. Еще четверть респондентов (26%) указали, что частично внедрили его (с преимущественным вовлечением двух из трех линий защиты). Однако оставшаяся часть респондентов (27%) только планирует внедрение принципа «Трех линий защиты».
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
Кроме того, в подтверждение неполного применения участниками рынка лучших практик, возможно, показателен подход к организации системы информирования о нарушениях в сфере НИИИ/МР — «горячую линию» для целей ПНИИИ/МР не используют большинство респондентов (71%).
Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России».
В рамках исследования нам, к сожалению, не удалось получить однозначную информацию о применяемом респондентами подходе к информированию об инцидентах. Уведомления о нарушениях от сотрудников (в соответствии с предоставленными ответами) получают в основном непосредственные руководители подразделений сотрудников и ОДЛ / Службы внутреннего контроля, однако только 12% респондентов информируют единоличный исполнительный орган, 6% респондентов — Службу внутреннего аудита, и лишь 4% респондентов — Службу управления рисками и Совет директоров. Результаты, полученные в рамках данного вопроса, мы считаем несколько противоречивыми и поэтому планируем уточнить информацию в последующих исследованиях.
Блок 3. Обучение и информирование
В третьем блоке освещены аспекты, связанные с формированием у сотрудников культуры управления риском НИИИ/МР. Ответы респондентов указывают на отсутствие явных противоречий существующей функции внутреннего контроля по ПНИИИ/МР законодательным требованием. Однако мы видим, что существенной зоной развития является внедрение одной из ведущих практик — риск-ориентированного подхода, что, в целом, также может указывать на некоторую переоцененность уровня зрелости функции внутреннего контроля на момент проведения исследования. Результаты этого блока также указывают на вторую значимую область развития функции внутреннего контроля по ПНИИИ/МР — применение подхода дифференцированного обучения.
В частности, подавляющее большинство респондентов (96%) осуществляют обучение сотрудников по вопросам ПНИИИ/МР, что демонстрирует наличие комплаенс-контроля по соответствию законодательным требованиям. Однако две трети респондентов (69%) проводят обучение сотрудников посредством рассылки учебных материалов, регуляторных обзоров, изменений законодательства для самостоятельного ознакомления. Кроме того, только треть (35%) респондентов очно обучает своих сотрудников, и лишь 14% респондентов осуществляют проверку знаний по итогам обучения (тестирование). Информационные плакаты используют всего 6% респондентов.
Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России».
В отношении неполного применения риск-ориентированного подхода в рамках обучения также показательны ответы на вопрос, в котором респондентам предлагалось указать те подразделения, которые участвуют в углубленных обучающих мероприятиях (ключевое слово — «углубленные». — Авт.). Наиболее популярным ответом (76%) стал следующий: «Все сотрудники структурных подразделений, имеющие доступ к инсайдерской информации клиентов / самой организации».
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
Блок 4. Роль информационной безопасности и автоматизированных систем
В четвертый блок мы включили вопросы использования IT-систем для целей ПНИИИ/МР в двух аспектах: взаимодействие со Службой информационной безопасности и автоматизация процессов. Основываясь на опыте КПМГ, мы считаем, что внедрение принципов информационной безопасности и автоматизация процессов — значимая область для целей повышения эффективности функции внутреннего контроля по ПНИИИ/МР. Этому аспекту уделяется значительное внимание в Методических рекомендациях Банка России от 14.09.2019 № 23-МР.
В целом, респонденты отметили, что в целях ПНИИИ/МР достаточно активно взаимодействуют со Службой информационной безопасности, но многие еще не полностью внедрили принципы информационной безопасности в систему внутреннего контроля. Также ответы позволяют сделать вывод о том, что автоматизация процессов внутреннего контроля находится на начальной стадии внедрения: процессы осуществляются в основном вручную, доработка автоматизированных систем реализуется преимущественно с использованием внутренних кадровых ресурсов.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
Рассматривая взаимодействие со Службой информационной безопасности, мы задали респондентам вопрос о целях взаимодействия Службы внутреннего контроля (ОДЛ) со Службой информационной безопасности. Среди респондентов наиболее популярными стали следующие ответы: недопущение неправомерного доступа к инсайдерской информации и обеспечение безопасности ее хранения (73%), проведение внутренних расследований (65%), выявление фактов несанкционированных попыток доступа к инсайдерской информации (65%) и другие. При этом только 22% респондентов указали, что принципы информационной безопасности внедрены в систему внутреннего контроля в соответствии с Методическими рекомендациями Банка России от 14.09.2018 № 23-МР.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
В отношении применения одного из значимых инструментов внутреннего контроля — автоматизации — были получены ответы, которые, с одной стороны, подтверждают гипотезу о переоцененности участниками рынка уровня зрелости системы внутреннего контроля, а с другой стороны, указывают на одну из самых важных областей развития функции внутреннего контроля по ПНИИИ/МР.
В частности, треть респондентов указали на отсутствие автоматизации процессов. Остальные респонденты отметили лишь отдельные автоматизированные процессы: выявление нестандартных заявок и сделок на предмет подозрений в манипулировании рынком (29%), ведение списка инсайдеров (22%), проведение обучающих мероприятий для сотрудников (20%) и другие. Для проведения преобразований автоматизированной системы внутреннего контроля только 18% респондентов привлекают внешних экспертов — вендоров IT-решений и консультантов, остальные используют внутренних специалистов.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»
Блок 5. Оценка эффективности и зрелости процессов
В последнем, пятом блоке рассмотрены вопросы осуществления оценки зрелости системы внутреннего контроля по ПНИИИ/МР. Ответы респондентов указывают на то, что функция внутреннего контроля по ПНИИИ/МР как часть интегрированной комплаенс-функции с присущей ей оценкой зрелости и составлением комплаенс-плана находится на стадии становления. По нашему мнению, оценка зрелости функции внутреннего контроля и разработка комплаенс-плана являются третьей наиболее значимой областью развития функции внутреннего контроля по ПНИИИ/МР.
Осуществление оценки зрелости функции внутреннего контроля на ежегодной основе необходимо для формирования у топ-менеджмента организации комплексного понимания качества указанной функции. Тем не менее почти половина респондентов (45%) не проводят оценку зрелости функции внутреннего контроля по ПНИИИ/МР, и только треть респондентов (31%) осуществляют ее в рамках проверок внутреннего аудита либо ОДЛ.
Что касается составления комплаенс-плана (дорожной карты) для целей ПНИИИ/МР — важной составляющей интегрированного подхода в рамках развития комплаенс-функции, подавляющее большинство респондентов (72%) указали, что комплаенс-план не разрабатывается. Остальные 28% респондентов либо составляют комплаенс-план первый раз на момент проведения исследования, либо разрабатывают и утверждают его на ежегодной основе.
Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России
Основные выводы
Таким образом, результаты исследования скорее подтверждают нашу гипотезу о высокой вероятности того, что организации — субъекты Федерального закона от 27.07.2010 № 224-ФЗ склонны переоценивать уровень зрелости функции внутреннего контроля по ПНИИИ/МР. С одной стороны, организации приводят свои процессы в соответствие с регуляторными требованиями, с другой стороны, внедрение риск-ориентированного подхода, позволяющего в значительной мере повысить эффективность функции, находится на стадии становления.
Руководствуясь нашим профессиональным опытом, мы выделили следующие области в качестве перспективных направлений развития функции внутреннего контроля по ПНИИИ/МР:
1. Федеральный закон от 03.08.2018 № 310-ФЗ «О внесении изменений в Федеральный закон «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» и отдельные законодательные акты Российской Федерации».
2. Федеральный закон от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».
3. Методические рекомендации Банка России от 14.09.2018 № 23-МР по разработке и утверждению порядка доступа к инсайдерской информации и правил охраны ее конфиденциальности.