Итоги заседания Экспертного совета по регулированию, методологии внутреннего аудита, внутреннего контроля и управления рисками в Банке России и финансовых организациях 18 декабря 2024 года
Экспертный совет по регулированию, методологии внутреннего аудита, внутреннего контроля и управления рисками в Банке России и финансовых организациях при Банке России на заседании 18 декабря 2024 г. рассмотрел ряд ключевых вопросов, направленных на совершенствование практик внутреннего аудита, включая инновации во внутреннем аудите, управление данными, цифровую трансформацию, обеспечение непрерывности бизнеса и интеграцию киберрисков в систему управления рисками.
Раскрытие данных внешним пользователям.
В рамках заседания было проведено исследование существующих российских и международных практик предоставления данных внешним пользователям с целью развития культуры этичного обращения с информацией. Уникальность исследования заключается в обобщении опыта различных организаций с учетом разнообразия их деятельности, применяемых методологий и инструментов, а также национальных особенностей выявления и управления рисками. Это позволило сформулировать рекомендации по прозрачному и ответственному раскрытию информации, что способствует укреплению доверия между организациями и их внешними стейкхолдерами.
Модель оценки цифровой зрелости Банка России.
В ходе исследования были рассмотрены практические аспекты проведения внутреннего аудита оценки цифровой зрелости Банка России, представлены результаты апробации методики и обозначена дальнейшая роль внутреннего аудита во взаимодействии с профильными подразделениями для периодической оценки и повышения уровня цифровой зрелости организации. Эти меры направлены на обеспечение эффективной адаптации к быстро меняющимся условиям цифровизации и управлению возникающими рисками.
Обеспечение непрерывности бизнеса в Группе «Московская Биржа».
В ходе заседания были обсуждены ключевые элементы организации процессов обеспечения непрерывности бизнеса, включая системный подход к оценке и регулярный аудит, а также три основных направления оценки: организация процесса, ИТ-архитектура и ИТ-инфраструктура. Обсуждены актуальные вызовы, такие как кибератаки и санкционное давление, подчеркнута необходимость привлечения внешней экспертизы для повышения надежности ИТ-систем и инфраструктуры, а также важность квалификации внутренних аудиторов для эффективного управления непрерывностью бизнеса. Приведены результаты комплексной оценки, проведенной за последние 5 лет, и рекомендации по улучшению процессов. Обсуждается роль внутреннего аудита во взаимодействии с профильными подразделениями для обеспечения эффективного управления непрерывностью бизнеса.
Инновации во внутреннем аудите: Code Mining.
Представлен инновационный подход в использовании методов Code Mining в деятельности аудиторов для проверки бизнес-процессов. Code Mining представляет собой анализ исходного кода цифрового бизнес-процесса и может применяться для подтверждения идентифицированных проблем, а также для обнаружения новых инсайтов. Одним из решений при реализации Code Mining может быть использование больших языковых моделей, например GigaChat, которые способны объяснить логику кода, проанализировать его структуру и выявить ошибки. Применение Code Mining открывает аудиторам перспективные возможности для анализа цифрового оригинала бизнес-процесса, установления корневых причин отклонений и повышения скорости и качества аудита.
Построение функции внутреннего аудита в Группе «Аэрофлот».
В ходе заседания было рассмотрено построение эффективной функции внутреннего аудита в Группе «Аэрофлот» в контексте риск-ориентированного планирования и использования карты гарантий. Описана нормативно-правовая основа, регулирующая деятельность внутреннего аудита в России, включая ключевые федеральные законы и методические рекомендации. Анализируются нововведения, касающиеся ежегодного заключения внутреннего аудита для акционеров, а также создание подкомитета по внутреннему аудиту в Росстандарте. Рассматриваются подходы к риск-ориентированному планированию, включая инструменты риск-анализа, карты рисков и поставщиков гарантий. Представлены шаги по оценке и актуализации карты гарантий, что позволяет выявить пробелы и дублирование в обеспечении уверенности. В заключение описываются практические инструменты адаптации работы внутреннего аудита с учетом внешних и внутренних факторов.
Развитие экосистемности на рынке финансовых услуг.
Обсуждены актуальные вопросы развития экосистемности на рынке финансовых услуг, включая особенности экосистем и развитие встроенных финансов на платформах экосистем. Под экосистемой понимается партнерство организаций (включая кредитные, страховые и иные финансовые организации), осуществляющих деятельность на основе цифровых платформ, интернет-сервисов, аналитических и информационных систем для реализации продуктов и оказания услуг. В выступлении отражены внутренние и внешние противоречия функционирования экосистем на рынке финансовых услуг, а также макроэкономические и микроэкономические эффекты их развития. Развитие финансовых услуг в экосистемах происходит по принципу встраивания. Встроенные финансовые услуги пока в большей части находятся вне регуляторного поля, что создает дополнительные риски для потребителей. Экосистемность на рынке финансовых услуг, являясь позитивным трендом экономического развития, может генерировать серьезные риски, требующие особого регулирования. Представленные предложения по регулированию экосистем могут стать основой для совершенствования законодательства в данной области.
Модель «трех линий защиты» и переход к «четырем линиям» с интеграцией внешних аудиторских функций.
Рассмотрено взаимодействие между компонентами четырех линий защиты: взаимодействие между советом директоров и первыми двумя линиями, слаженность их кооперации с внутренним аудитом и динамика долгосрочной прибыли от привлечения внешних акторов. Для этого использовались вариации фундаментальных моделей теории игр, позволяющие анализировать возникающие внутри корпоративной структуры конфликты, подходы к их разрешению и выгоды от синергии – как на примере конкретных бизнес-подразделений, так и на уровне функционирования кредитной организации в рыночной системе.
Интеграция киберрисков в систему управления рисками.
Особое внимание уделено интеграции киберрисков в систему управления рисками финансовых организаций. В условиях увеличения количества кибератак и их сложности важно эффективно идентифицировать и оценивать киберугрозы, управлять ими. Обсуждены методы и инструменты, позволяющие финансовым организациям минимизировать потенциальные убытки и укрепить информационную безопасность. Подчеркнута необходимость комплексного подхода к управлению киберрисками, включающего их идентификацию, анализ, разработку стратегий управления и постоянный мониторинг эффективности принятых мер. Киберриски необходимо рассматривать в структуре общего ландшафта рисков компании для обеспечения взвешенных решений и прозрачности процесса принятия решений руководством.
Следующее заседание Совета состоится 27 февраля 2025 года.