Вернуться назад

  

  

Приложение 

к постановлению Правления Национального банка Кыргызской Республики 

от 15 июня 2017 года № 2017-П-12/25-2-(НПА) 

ПОЛОЖЕНИЕ 

о минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики 

(В редакции постановлений Правления Нацбанка КР от 24 апреля 2019 года № 2019-П-12/22-4, 28 июня 2019 года № 2019-П-12/34-3, 14 августа 2019 года № 2019-П-12/42-1, 9 сентября 2019 № 2019-П-33/47-4, 1 ноября 2019 года № 2019-П-33/55-3, 14 декабря 2022 года № 2022-П-12/78-9, 28 декабря 2022 года № 2022-П-12/83-7, 29 апреля 2023 года № 2023-П-12/29-1, 17 января 2024 года № 2024-П-12/1-3, 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

1. Общие положения 

1. Настоящее Положение о минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики" (далее - Положение) устанавливает минимальные требования (критерии) для аудита банков и микрофинансовых компаний, в том числе осуществляющих деятельность в соответствии с исламскими принципами банковского дела и финансирования или имеющих "исламское окно", ОАО "Финансовая компания кредитных союзов", жилищно-сберегательных кредитных компаний и гарантийных фондов (далее - банк). 

(В редакции постановления Правления Нацбанка КР от 17 января 2024 года № 2024-П-12/1-3) 

2. Целью настоящего Положения является эффективная организация деятельности банка по привлечению услуг аудиторских организаций, внедрение общепринятых процедур по их выбору, обеспечение сохранения аудиторами банка независимости при предоставлении аудиторских услуг и недопущение конфликта интересов. 

2-1. Аудит может быть обязательным и/или инициативным. Инициативный аудит проводится по решению аудируемого субъекта или иного заказчика аудита с учетом конкретных обязательств, сроков и объемов аудита. 

(В редакции постановления Правления Нацбанка КР от 29 апреля 2023 года № 2023-П-12/29-1) 

3. Для целей настоящего Положения используются следующие понятия: 

Внешний аудит банка - независимая проверка деятельности банка в целях выражения независимого мнения о достоверности финансовой отчетности во всех существенных аспектах в соответствии с международными стандартами финансовой отчетности и прочей информации в соответствии с законодательством Кыргызской Республики. 

Внешний аудитор банка - независимая аудиторская организация (в том числе ее аудиторы, включенные в группу аудиторской проверки), образованная в соответствии с требованиями законодательства Кыргызской Республики. 

Требования к аудиту включают в себя требования, которые банк должен выставить к аудиторской организации, ее штату, привлеченным аудиторам (физическим и юридическим лицам), аудиторской проверке (на любой стадии), аудиторскому заключению в соответствии с законодательством Кыргызской Республики и настоящим Положением. 

Внешний аудит информационной безопасности  независимая комплексная проверка внешним аудитором технических регламентов и требований банка, позволяющих обеспечить безопасность и защиту информации и самих банковских систем от неправомерного вмешательства и иных угроз (рисков). 

Конфликт интересов - ситуация, при которой заинтересованность внешнего аудитора банка может повлиять на его мнение о достоверности финансовой отчетности банка. 

Независимость внешнего аудитора банка - способность внешнего аудитора банка действовать самостоятельно, независимо от чьего-либо влияния на результаты его заключений, выводов и в условиях, исключающих всякое постороннее воздействие на выражение мнения внешним аудитором банка. 

 

Термины должностные лица банка, аффилированные лица и связанные с банком лица, дочерняя компания банка или банковской холдинговой компании, исламский банк, банк, имеющий "исламское окно", исламские принципы банковского дела и финансирования, Шариатский совет - имеют значения, согласно законодательству Кыргызской Республики. 

DDoS-атака (distributed denial of service)  целенаправленная атака путем подачи большого количества запросов в целях прекращения или затруднения работы информационной системы.  

Anti-fraud системы  программные комплексы для предотвращения мошеннических транзакций.  

Sql-инъекция - уязвимость, которая позволяет атакующему использовать фрагмент вредоносного кода на языке структурированных запросов (SQL) для манипулирования базой данных и получения доступа к информации.   

Dmz-зона  часть локальной сети, предназначенная для размещения сетевых устройств взаимодействующих с внешними сетями, в частности с сетью интернет. 

(В редакции постановлений Правления Нацбанка КР от 28 июня 2019 года № 2019-П-12/34-3. 28 декабря 2022 года № 2022-П-12/83-7, от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

Примечание ИЦ "Токтом": Количество абзацев в пункте 3 настоящего положения не соответствует количеству абзацев в пункте 3 текста на государственном языке. 

2. Требования к внешнему аудиту банков 

4. Деятельность банка подлежит ежегодной внешней аудиторской проверке согласно международным стандартам аудита, признанным в Кыргызской Республике, а также в порядке, установленном законодательством Кыргызской Республики и в соответствии с настоящим Положением. 

5. В отношениях, осуществляемых в соответствии с исламскими принципами банковского дела и финансирования, применяются стандарты аудита для исламских финансовых институтов, разрабатываемые Организацией бухгалтерского учета и аудита для исламских финансовых институтов (AAOFI). 

6. С целью выявить и оценить риски существенного искажения как по причине недобросовестных действий, так и вследствие ошибки внешний аудитор банка проводит консультации с сотрудниками службы внутреннего аудита банка для получения информации о системе внутреннего контроля банка, а также информации о выявленных проблемах банка службой внутреннего аудита банка. Внешний аудитор банка должен иметь доступ ко всем материалам и отчетам службы внутреннего аудита банка. 

7. Банк разрабатывает внутренние нормативные документы по привлечению внешнего аудита, утверждаемые Советом директоров банка, не противоречащие требованиям Положения, включая определение: 

- перечня критериев для отбора внешнего аудитора банка; 

- условий найма внешнего аудитора; 

- порядка и условий оплаты услуг аудиторской организации за аудит финансовой отчетности, а также за предоставление сопутствующих (неаудиторских) услуг банку и подконтрольным банку организациям. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

8. Выбор аудиторской организации осуществляется банком самостоятельно, с соблюдением требований законодательства Кыргызской Республики. 

9. Необходимо рассмотреть предложения не менее трех аудиторских организаций для выбора наиболее приемлемой аудиторской организации с точки зрения качества внешнего аудита банка. При назначении банком внешнего аудитора выбор должен определяться не только со стороны минимизации затрат за услуги внешнего аудитора. 

В период проведения внешнего аудита должен быть неизменный ключевой состав аудиторов, осуществляющих внешний аудит банка, за исключением изменений в ключевом составе аудиторов, согласованных между банком и внешним аудитором, которые утверждаются Комитетом по аудиту банка. 

10. Совет директоров банка отбирает аудиторские организации и кандидатуры аудиторов для вынесения на рассмотрение общего собрания акционеров. Не позднее девяноста рабочих дней до дня проведения общего собрания акционеров банк уведомляет Национальный банк об аудиторской организации и кандидатурах аудиторов. Национальный банк вправе отклонить аудиторскую организацию и кандидатуры аудиторов, как не соответствующие установленным требованиям для аудиторской проверки банков и уведомить банк об этом не позднее десяти рабочих дней со дня поступления уведомления с указанием требования, которому не соответствует аудиторская организация, кандидатуры аудиторов. 

11. Выбор внешнего аудитора банка, проведение переговоров с аудиторской организацией в отношении вознаграждения, сроков, условий проведения внешнего аудита банка и представление внешнего аудитора банка на рассмотрение общего собрания акционеров банка является исключительной компетенцией Совета директоров банка. 

При заключении договора на проведение аудиторской проверки финансовой отчетности должны быть включены требования, изложенные в главе 5 настоящего Положения, и в договоре на проведение аудита информационной безопасности  требования, изложенные в главе 6 настоящего Положения. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

12. Совету директоров банка в процессе выбора внешнего аудитора банка следует потребовать от аудиторской организации представить свидетельства (доказательства) наличия условий, установленных в пункте 18 настоящего Положения, а также: 

а) список финансово-кредитных и других организаций, внешний аудит которых осуществляла данная аудиторская организация за последние три года; 

б) предложения, включающие планируемый масштаб аудиторской проверки, период, который будет изучен в ходе аудиторской проверки, график проведения внешнего аудита банка, а также отчеты, которые планируется подготовить. 

13. Банк в течение трех рабочих дней обязан уведомить Национальный банк в письменном виде: 

а) о выборе (назначении) внешнего аудитора банка или банковской группы после принятия решения Общим собранием акционеров банка. 

В данном уведомлении должно быть указано о наличии регистрации в Едином государственном реестре (индивидуальный регистрационный номер аудиторской организации и аудитора, дата регистрации), юридический адрес, включая телефоны аудиторской организации, ФИО руководителя аудиторской организации; 

б) о смене внешнего аудитора банка и ее причинах, если смена внешнего аудитора банка произошла в период проведения внешнего аудита банка. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

3. Требования к внешнему аудитору банка 

14. Внешним аудитором банка может быть только аудиторская организация, включенная в Единый государственный реестр аудиторов, аудиторских организаций и профессиональных аудиторских объединений на территории Кыргызской Республики и отвечающая установленным Национальным банком требованиям для аудиторской проверки банков. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

15. При проведении внешнего аудита банка внешний аудитор банка должен соблюдать ограничения, установленные законодательством Кыргызской Республики и нормативными правовыми актами Национального банка. 

16. Внешний аудитор банка должен оставаться независимым, объективным, избегать ситуаций, которые дают основание считать, что существует конфликт интересов. Внешний аудитор банка при наличии рисков, представляющих угрозу независимости аудиторской организации и аудитору, должен представлять банку в письменной или электронной форме информацию о таких рисках и мерах, применяемых с целью их сокращения. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

17. Внешний аудитор должен быть независимым от банка, что означает способность действовать самостоятельно, независимо от чьего-либо влияния на результаты аудиторского заключения, выводы, и в условиях, исключающих какое-либо постороннее воздействие на выражение внешним аудитором своего мнения. В договоре о проведении внешнего аудита должно быть отражено заявление аудиторской организации о том, что сама аудиторская организация или любой ее аудитор, или иной работник, включенный в состав аудиторской проверки, не имеют какого-либо интереса в банке, независимы и не связаны никакими отношениями с банком и его должностными лицами. 

18. Аудиторская организация или аудиторы, участвующие в аудите банка, или привлеченные аудиторы, участвующие в аудите банка, не считаются независимыми от банка, если они являются или являлись в течение двух последних лет: 

1) лицами, которые прямо или косвенно имеют значительное участие в капитале банка или его аффилированных лиц; 

2) аффилированными лицами банка или его аффилированных лиц; 

3) аудиторской организацией или организацией, находящейся в одной международной сети, которой оказывались услуги: 

- по восстановлению и ведению бухгалтерского учета; 

- связанные с разработкой методики бухгалтерского учета; 

- по составлению финансовой отчетности; 

- внутреннего аудита; 

4) работником банка или его аффилированных лиц; 

5) в иных случаях, предусмотренных законодательством Кыргызской Республики. 

(В редакции постановления Правления Нацбанка КР от 14 декабря 2022 года № 2022-П-12/78-9) 

19. Банк не должен привлекать аудиторскую организацию в качестве внешнего аудитора банка, если имеют место подтвержденные обстоятельства, подвергающие сомнению независимость внешнего аудитора банка, в том числе, если имеют место отношения, при которых аудиторская организация, или любые из ее аудиторов, по существу, являются связанным с банком лицом в соответствии с банковским законодательством. Аудиторская организация, выбранная для аудита банка или банковской группы, должна: 

- быть включена в Единый государственный реестр аудиторов, аудиторских организаций и профессиональных аудиторских объединений на территории Кыргызской Республики, а также иметь опыт аудиторской деятельности не менее трех лет; 

- быть независимой от банка; 

- иметь опыт аудита коммерческих банков и финансово-кредитных организаций в соответствии с международными стандартами аудита и международными стандартами финансовой отчетности, а также в соответствии со стандартами, утвержденными Организацией бухгалтерского учета и аудита для исламских финансовых институтов; 

- иметь штатных или привлеченных аудиторов в количестве, достаточном для качественного и своевременного выполнения поставленных задач. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

20. Руководитель аудиторской проверки финансовой отчетности должен состоять в Едином государственном реестре аудиторов, аудиторских организаций и профессиональных аудиторских объединений на территории Кыргызской Республики, и обладать: 

- квалификацией в соответствии с требованиями законодательства по аудиту или международной квалификацией; 

- трехлетним опытом аудита коммерческих банков и финансово-кредитных организаций; 

- опытом аудита в финансово-кредитных организациях в соответствии с международными стандартами аудита и международными стандартами финансовой отчетности; 

- знаниями в области банковского дела и банковского законодательства Кыргызской Республики; 

- знаниями стандартов AAOFI и трехлетним опытом аудита банков и финансово-кредитных организаций, осуществляющих деятельность в соответствии с исламскими принципами банковского дела и финансирования - для аудиторской проверки банка, оказывающих услуги по исламским принципам банковского дела и финансирования. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

21. Руководитель аудита информационной безопасности для проведения внешнего аудита информационной безопасности должен обладать:   

- квалификационным сертификатом (одним из CISA, CISM, CISSP и т.д.);   

- опытом аудита информационных систем и/или информационной безопасности финансово-кредитных организаций. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

22. Внешний аудит банка не может осуществляться одной и той же аудиторской организацией более пяти лет подряд. Срок ротации определяется из расчета пяти последовательных лет к дате, когда Общее собрание акционеров банка должно принять решение об избрании (назначении) внешнего аудитора банка. 

23. По ходатайству банка в Национальный банк об изменении срока ротации, входящего в состав банковской группы, срок ротации может быть увеличен, если для международной холдинговой компании, в которую входит банк, предусмотрен законодательством страны регистрации срок ротации внешнего аудитора, отличный от установленного настоящим Положением. 

4. Аудит банковской группы 

24. Банк, находящийся во главе банковской группы, банковская холдинговая компания или материнская компания и дочерняя компания банка, представляющие собой аудируемую группу, подвергаются ежегодному аудиту независимой аудиторской организацией (внешним аудитором), включенной в Единый государственный реестр аудиторов, аудиторских организаций и профессиональных аудиторских объединений на территории Кыргызской Республики в соответствии с требованиями настоящего Положения. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

25. Аудит банка или банковской группы проводится на консолидированной основе и индивидуально для каждого участника банковской группы. Аудит банковской группы должен осуществляться одной аудиторской организацией. 

26. Национальный банк может исключить требования, указанные в пункте 27, по ходатайству банка и его аффилированного лица (аффилированных лиц), если банк и аффилированное лицо предоставят доказательства и Национальный банк признает наличие следующих обстоятельств: 

а) невозможность проведения аудита для всех лиц аудируемой группы одной аудиторской организацией из-за высокой стоимости аудита, могущей привести к негативным последствиям для финансового состояния банка, или отсутствия аудиторской организации, которая могла бы завершить аудит каждого лица аудируемой группы в течение необходимого времени или осуществить надлежащий аудит в отношении каждого лица аудируемой группы; 

б) банком или его аффилированным лицом были предприняты все меры по исполнению требований, указанных в настоящем пункте; 

в) предоставление Национальным банком разрешения на осуществление различными аудиторскими организациями аудита различных лиц аудируемой группы не вызовет неблагоприятное воздействие на результаты аудита банка любого аффилированного лица банка или банковской группы в целом. 

27. Национальный банк не может исключить требование об аудите всех лиц, входящих в аудируемую группу, одной аудиторской организацией до тех пор, пока все аудиторские организации, которые предположительно будут проводить аудит различных лиц, входящих в аудируемую группу, не договорятся в письменной форме о предоставлении друг другу доступа к их рабочим документам и аудиторскому заключению, относящимся к аудиту банка и его аффилированных лиц, обмену информацией в течение проведения аудита и осуществления взаимодействия между ними относительно содержания их аудиторских заключений. 

28. По результатам аудита банковской группы составляются отчеты отдельно по каждому участнику группы и консолидированный отчет. 

В случае если показатель чистого суммарного капитала участника банковской группы составляет менее 5% от чистого суммарного капитала банка, находящегося во главе банковской группы, отдельная отчетность по участнику банковской группы не требуется. 

5. Аудит финансовой отчетности 

29. По завершению финансового года банк обязан обеспечить проведение внешнего аудита банка в срок не позднее девяноста дней с начала нового финансового года. 

30. Внешний аудитор обеспечивает повышение степени уверенности пользователей в достоверности финансовой отчетности во всех ее существенных аспектах в соответствии с применимыми основами представления финансовой отчетности (международным стандартам финансовой отчетности). 

(В редакции постановления Правления Нацбанка КР от 28 июня 2019 года № 2019-П-12/34-3) 

31. Внешнему аудитору необходимо рассмотреть подверженность финансовой отчетности банка существенному искажению и использование применяемых принципов финансовой отчетности в отношении данных и обстоятельств, относящихся к деятельности банка, а также: 

а) оценить выявленные риски и определить, распространяются ли они на финансовую отчетность в целом и могут ли потенциально оказать влияние на многие утверждения, цели и стратегии банка, а также связанные с ними коммерческие риски, способные привести к рискам существенного искажения; 

б) оценить выбор и применение учетной политики, включая причины любых ее изменений. Внешний аудитор оценивает, соответствует ли учетная политика банка характеру его коммерческой деятельности и соответствуют ли выбранные и применяемые положения учетной политики применимой концепции подготовки финансовой отчетности и являются ли они надлежащими; 

в) оценить и проанализировать финансовые результаты деятельности банка с целью выявления и оценки рисков существенного искажения как по причине недобросовестных действий, так и вследствие ошибки, на уровне финансовой отчетности и на уровне предпосылок, разработки и проведения аудиторских процедур в ответ на эти риски. 

32. Внешнему аудитору необходимо рассмотреть соответствие учета и классификации активов банка законодательству Кыргызской Республики, нормативным требованиям Национального банка, учетной политике и процедур банка. Для этих целей внешнему аудитору банка следует выполнить соответствующие процедуры в рамках аудита, проводимого в соответствии с международными стандартами аудита и требованиями Национального банка, необходимыми для целей выражения мнения в отношении соответствия финансовой отчетности банка во всех существенных аспектах установленным принципам представления финансовой отчетности, необходимые для получения информации в отношении следующих подпунктов: 

а) оценки соответствия применяемой банком кредитной политики обстоятельствам, включая характер, размер и сложность деятельности банка, в рамках оценки системы внутреннего контроля банка, связанной с финансовой отчетностью и являющейся значимой для аудита, включая: 

- обеспечивается ли качество управления кредитными рисками через надлежащую деятельность Кредитного комитета банка; 

- имеются ли в наличии процедуры рассмотрения кредитной заявки; 

- обеспечивается ли сбор необходимой и достаточной информации о заемщике; 

- осуществляется ли контроль (мониторинг) за своевременностью возврата кредита, в том числе аффилированными и связанными лицами, определяемыми таковыми в соответствии с международным стандартом финансовой отчетности и банковским законодательством; 

- обеспечена ли необходимая обоснованность реструктуризации кредитов; 

- ведется ли перечень предпринятых банком в течение отчетного периода мероприятий, направленных на возврат кредита, в том числе по кредитам, по которым ведутся судебные разбирательства; 

б) обоснованности классификации и оценки (обоснованности отчислений в резерв на покрытие потенциальных потерь и убытков) кредитного портфеля и иных активов, а также забалансовых обязательств, проведенных руководством; 

в) оценки надлежащего характера применяемой учетной политики, а также обоснованности оценочных значений, рассчитанных руководством, в отношении прочих активов - недвижимости, приобретенной банком в результате взыскания залога; 

г) наличия оценки залогов по предоставляемым кредитам и является ли оценка, проводимая руководством, обоснованной; 

д) соответствия периодичности проводимой банком процедурам подтверждения остатков по счетам ссудной задолженности и счетам "лоро" и "ностро" в соответствии с внутренними политиками банка и требованиями Национального банка, а также обеспечение соответствия учета депозитов установленной структуре депозита и других заимствований; 

е) оценки надлежащего характера применяемой учетной политики и соответствующего раскрытия информации по видам операций на рынке ценных бумаг, в том числе при осуществлении операций доверительного управления. 

33. Необходимо рассмотреть соответствие учета и раскрытия операций с аффилированными и связанными лицами соответствующим требованиям. Для этих целей внешнему аудитору банка следует выполнить все процедуры, необходимые для получения информации в отношении того, что: 

а) аффилированные и связанные лица и операции с ними установлены; 

б) существует ли соответствующее разрешение и политика по осуществлению операций с аффилированными и связанными лицами, включая надлежащее отражение и раскрытие условий проведения этих операций в финансовой отчетности банка; 

в) имеются ли достаточные и надлежащие аудиторские доказательства, что дебиторская задолженность в результате операций с аффилированными и связанными лицами будет своевременно погашена; 

г) при анализе операций с аффилированными и связанными лицами соблюдаются и применяются общепринятые в банковской практике банка процедуры оценки и управления рисками (такие как оценка кредитов, принятие залогов и т.п.). 

34. В ходе изучения значимых для аудита средств контроля внешний аудитор анализирует их структуру и с помощью дополнительных процедур (наряду с направлением запросов работникам организации) устанавливает, внедрены ли эти средства контроля на практике. 

Оценка соответствия внешним аудитором системы внутреннего контроля банка обстоятельствам, включая характер, размер и сложность деятельности банка, может проводиться путем получения информации об/о: 

а) адекватности структуры управления банка видам и объемам выполняемых банком операций (участие органов управления в принятии решений, распределение обязанностей между руководителями, наличие положений о структурных подразделениях и должностных инструкций); 

б) организации контроля за отражением всех операций в бухгалтерском учете и за подготовкой достоверной финансовой отчетности; 

в) организации работы системы внутреннего контроля в банке; 

г) организации контроля за деятельностью дочерних компаний и филиалов банка; 

д) организации управления рисками в банке; 

е) выполнении рекомендаций предыдущей аудиторской проверки в виде разработки новых или совершенствования действующих внутренних процедур банка, а также по улучшению системы внутреннего контроля банка. 

35. На основе аудиторской выборки внешний аудитор рассматривает соответствие операций и процедур проведения операций банка по осуществлению платежей и расчетов законодательству Кыргызской Республики и нормативным требованиям Национального банка. Для этих целей внешнему аудитору банка необходимо провести проверку в отношении того, в какой степени соблюдается и обеспечивается: 

а) соответствие бумажных платежных документов их электронным аналогам; 

б) своевременность проведения платежей; 

в) соблюдение условий конфиденциальности и безопасности при проведении электронных платежей и работе с личными ключами уполномоченных лиц банка, соблюдение правил их хранения и использования; 

г) своевременность и правильность зачисления средств на счета клиентов и списания средств со счетов клиентов; 

д) своевременность приема и передачи информации при проведении электронных платежей; 

е) выполнение требований по заполнению реквизитов платежных документов. 

36. Внешний аудитор придерживается в полном объеме требований международных стандартов аудита, стандартов аудита для исламских финансовых институтов в отношении ответственности внешнего аудитора банка по рассмотрению недобросовестных действий и ошибок в ходе аудита финансовой отчетности банка. 

6. Аудит информационной безопасности 

(Наименование главы в редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2

37. Банки должны проводить внешний аудит информационной безопасности минимум один раз в два года. Срок проведения внешнего аудита информационной безопасности определяется из расчета двух последовательных лет с даты проведения последнего внешнего аудита информационной безопасности.   

При этом системно значимые банки, определяемые по количественным показателям в соответствии с Положением «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций», а также банки, которые предоставляют дистанционные финансовые услуги (если объем данных операций свыше 10% от активов банка), должны проводить внешний аудит информационной безопасности ежегодно.   

В случае получения банком сертификации в соответствии с международным стандартом ISO 27001 «Система менеджмента информационной безопасности» и последующего соответствия этому стандарту внешний аудит информационной безопасности может проводиться раз в три года.   

Банк должен проводить внешний аудит информационной безопасности дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг. Аудит информационной безопасности банка и его дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг, должен осуществляться одной аудиторской организацией. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

37-1. В программе внешнего аудита, помимо соблюдений требований Положения о требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики, дополнительно отражаются следующие вопросы/разделы: 

- защита важной информации: шифрование данных (сокрытие данных по картам клиентов банка) и предотвращение утечек, управление неструктурированными данными (например, видео- и аудиозаписи), использование защищенных протоколов обмена с третьими лицами, использование многофакторной аутентификации, использование сертификатов безопасности; 

- безопасность инфраструктуры: оценка обеспеченностью серверными и сетевыми ресурсами, оценка защиты виртуальных ресурсов и комплексной защиты от направленных атак, проверка наличия установки актуальных версий операционных систем и патчей безопасности, наличие использования банком внешних облачных ресурсов и другие; 

- мониторинг: оценка управления инцидентами и цифровыми расследованиями инцидентов, анализ управления учетными записями и удаленным доступом к инфраструктуре, контроль привилегированных пользователей, анализ полноты логов систем для цифровых расследований; 

- защита от взломов и мошенничества: использование anti-fraud систем, защита от DDoS-атак и sql-инъекций, использование нагрузочных тестов на отказ в обслуживании, защита систем от межсайтового скриптинга и другие; 

- защита приложений и баз данных: оценка защищенности баз данных, оценка мер безопасности программного кода приложений банка и использование автоматизированных инструментов проверки уязвимости кода, таких как статический и динамический анализаторы (SAST и DAST), в том числе мобильного и интернет-банкинга, в случае наличия в банке внутренней разработки программного обеспечения; 

- сетевая безопасность: оценка топологии сети на предмет выделения подсети с серверами, POS-терминалами и банкоматами, подсети администрирования для привилегированных пользователей, наличия dmz-зон, наличия актуальных версий операционных систем и патчей безопасности; изучение полноты настроек систем предотвращения сетевых вторжений и сетевых аномалий; наличие межсетевых экранов и сканеров безопасности с актуальными подписками. 

Акцентированные области внешнего аудита должны регулярно пересматриваться банком в зависимости от актуальности. Национальный банк вправе дополнительно рекомендовать банку включить в планируемый внешний аудит акцентированные области по результатам предыдущего аудита и/или при наличии инцидентов по информационной безопасности. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

37-2. Техническое задание для внешнего аудита должно утверждаться/согласовываться ответственными лицами банка по информационной безопасности и информационным технологиям. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

37-3. Банк при необходимости может проводить целевой аудит компонентов информационных систем на этапе создания, внедрения и эксплуатации новых информационных систем. Однако целевой аудит не исключает проведения внешнего аудита информационной безопасности. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

37-4. Целевой аудит может быть самостоятельно внепланово инициирован банком и проведен в качестве узкоспециализированного аудита, направленного на отдельный элемент инфраструктуры, для оценки бизнес-процесса либо на соответствие конкретным критериям как быстродействие, безопасность, надежность, производительность или признанным международным стандартам (PCI DSS, COBIT, ITIL, ISO, NIST и другие). 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

37-5. При внедрении банком нового приложения для удаленного доступа клиентов (мобильный и интернет-банкинг) банк должен провести целевой внешний аудит безопасности программного кода в случае наличия в банке внутренней разработки программного обеспечения. Результаты целевого аудита должны быть предоставлены в Национальный банк в течение 10 дней после получения отчета аудита. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

38. В ходе и для целей аудита информационной безопасности внешний аудитор должен:  

а) обозначить сроки проведения аудита, область аудита (проверяемые информационные системы, процессы, документы), подходы и применяемые инструменты аудита;   

б) осуществить анализ и оценку соответствия информационных систем и процессов банка требованиям:   

- нормативных правовых актов Национального банка в части информационной безопасности;   

- внутренних политик/процедур информационных систем банка, утвержденных руководством банка. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

 

39. При проведении внешнего аудита информационной безопасноси как минимум необходимо:   

а) оценить внутренние документы по обеспечению информационной безопасности на предмет их необходимости, достаточности и соответствия требованиям законодательства Кыргызской Республики, нормативных правовых актов Национального банка;   

б) изучить стратегические документы банка, бизнес-планы, политики и процедуры по управлению рисками информационной безопасности в целях оценки их адекватности, достаточности и актуальности;   

в) оценить систему управления информационной безопасности и систему управления операционными рисками;   

г) оценить систему обеспечения непрерывности деятельности информационных систем и планов восстановления информационных систем в случае чрезвычайных ситуаций;   

д) оценить риски, связанные с угрозами нарушения информационной безопасности в отношении активов банка, идентификацировать уязвимости информационных систем;   

е) рассмотреть степень защищенности информационных систем в филиалах, если в них наблюдается низкий уровень централизации и размещены критические элементы инфраструктуры;   

ж) оценить систему управления доступом и распределения ролей в автоматизированных системах;   

з) оценить уровень осведомленности персонала банка в области информационной безопасности и меры банка по информированию персонала;   

и) рассмотреть вопросы соблюдения требований законодательства в отношении прав интеллектуальной собственности и использования лицензионных программных продуктов;   

к) оценить выполнение рекомендаций предыдущих внешних аудиторских проверок в виде разработки новых или совершенствования действующих внутренних процедур банка, а также мер по улучшению системы защищенности информационных систем;  

л) оценить систему управления рисками поставщиков услуг по критичным информационным системам банка в случае передачи банком бизнес-процессов по управлению информационными технологиями на аутсорсинг. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

39-1. По результатам аудита информационной безопасности внешний аудитор представляет оценку текущего состояния информационных систем и степень их защищенности.   

По результатам аудита дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг, составляются отчеты на отдельной или консолидированной основе. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

 

7. Требования к банку о предоставлении заключения/отчета внешнего аудитора 

40. В аудиторском заключении должна быть отражена информация в соответствии с Международными стандартами аудита и требованиями Национального банка, в том числе рекомендации, которые должны быть включены в программу аудита.  

(В редакции постановлений Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7, от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

41. По завершению финансового года банк обязан: 

1) представить Национальному банку заверенную копию аудиторского заключения вместе с финансовой отчетностью и письмом аудитора к руководству банка, включая рекомендации внешнего аудитора, за пять рабочих дней до дня проведения годового общего собрания акционеров; 

2) обеспечить утверждение общим собранием акционеров годовой финансовой отчетности банка в срок не позднее девяноста дней с начала нового финансового года; 

3) представить Национальному банку заверенную копию аудиторского заключения вместе с финансовой отчетностью, утвержденной общим собранием акционеров, и письмом внешнего аудитора к руководству банка в срок не позднее ста пяти дней с начала нового финансового года; 

4) опубликовать годовую финансовую отчетность банка (в том числе консолидированную отчетность) вместе с аудиторским заключением в средствах массовой информации, не позднее ста двадцати дней с начала нового финансового года, по форме и в порядке, установленным Национальным банком. 

42. По завершении аудита информационной безопасности банк обязан представить Национальному банку заверенную копию аналитического отчета по результатам аудита информационной безопасности и письмо руководству в течение 5 (пяти) рабочих дней.   

Аналитический отчет по результатам аудита информационной безопасности должен содержать как минимум информацию о масштабах аудита, использованных подходах аудита, информацию по исполнению рекомендаций предыдущих аудитов, краткие выводы о выявленных рисках, рекомендации, общее заключение по итогам аудита. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

43. Банки представляют в Национальный банк копии изданий, в которых была опубликована годовая финансовая отчетность банка, подтвержденная внешним аудитором банка, в течение 3-х рабочих дней после публикации. 

44. Банк должен уведомить уполномоченный государственный орган, регулирующий аудиторскую деятельность, о проведении обязательного аудита и публикации финансовой отчетности согласно законодательству Кыргызской Республики. 

45. Национальный банк имеет право потребовать, чтобы банк, банковская холдинговая компания или дочерняя компания исправили недостатки, приведшие к аудиторскому заключению с оговорками или какому-либо другому неблагоприятному мнению внешнего аудитора относительно финансовой отчетности банка, любой его дочерней компании, банковской холдинговой компании или любой значительной дочерней компании банковской холдинговой компании. 

46. Национальный банк имеет право применить к руководству банка, членам Совета директоров, членам Комитета по аудиту банка, к контролирующим акционерам и/или к самому банку любые меры, установленные банковским законодательством, вплоть до отзыва лицензии, если выявленные в ходе аудиторской проверки недостатки не будут исправлены в течение периода времени, установленного Национальным банком. 

47. Внешний аудитор обязан, в течение одного рабочего дня с момента обнаружения нижеперечисленных обстоятельств, информировать Правление, Совет директоров банка и Национальный банк: 

1) об обнаруженных фактах, создающих угрозу стабильности и о событиях или условиях, указывающих на неспособность банка продолжать свою деятельность непрерывно в течение двенадцати месяцев после окончания отчетного периода; 

2) о событиях или условиях, являющихся основаниями по законодательству Кыргызской Республики для введения Временной администрации и отзыва лицензии; 

3) о решении отказаться от осуществления внешнего аудита банка в ходе аудиторской проверки банка; 

4) о раскрытии мошенничества или мошеннической схемы или о выявлении сделок, подпадающих под признаки операции, связанной с финансированием террористической деятельности и легализацией (отмыванием) преступных доходов; 

5) об отказе банка сообщить какую-либо информацию Национальному банку по просьбе внешнего аудитора; 

6) о выявлении значительных нарушений или недостатков в системе внутреннего контроля, которые могли бы привести к существенным убыткам в банке в следующем после отчетного периода в соответствии с международными стандартами аудита или требованиями законодательства Кыргызской Республики; 

7) в иных случаях, предусмотренных законодательством Кыргызской Республики. 

(В редакции постановления Правления Нацбанка КР от 14 августа 2019 года № 2019-П-12/42-1) 

48. По требованию Национального банка внешний аудитор обязан предоставить любую информацию, связанную с проведением аудита. Предоставление такой информации не считается раскрытием конфиденциальной информации при проведении внешнего аудита. 

49. Уполномоченные сотрудники Национального банка в ходе осуществления инспекторской проверки вправе встречаться с внешним аудитором и получать от них устную и письменную информацию. 

В случае выявления рисков и недостатков в деятельности банка Национальный банк вправе дополнительно рекомендовать внешнему аудитору включить в программу аудита и оценки проверку указанных вопросов. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

50. Руководство банка, поставленное в известность внешним аудитором банка о фактах нарушения законодательства либо об отказе в осуществлении внешнего аудита, обязано информировать Национальный банк, в течение двух рабочих дней о получении такой информации от внешнего аудитора. 

51. В случае если Национальный банк признает аудиторское заключение несоответствующим требованиям законодательства Кыргызской Республики и/или международных стандартов аудита, банк обязан провести повторный аудит с привлечением другой аудиторской организации за собственный счет. 

Банк не вправе привлекать аудиторскую организацию или аудиторов для проведения аудита следующего финансового года в случае, если предыдущее аудиторское заключение данной аудиторской организации или аудитора не было принято или было признано Национальным банком как несоответствующее требованиям законодательства Кыргызской Республики и/или международных стандартов аудита. 

(В редакции постановления Правления Нацбанка КР от 14 декабря 2022 года № 2022-П-12/78-9) 

8. Заключительные положения 

52. Национальный банк вправе не принять заключение внешнего аудитора банка, в том числе до проведения общего годового собрания и требовать проведения повторного аудита банка или аффилированного лица, если обнаружатся обстоятельства, которые включают: 

1) выявление фактов сокрытия информации, являющейся в соответствии с законодательством Кыргызской Республики основанием для выводов об ограничениях при проведении аудита; 

2) осуществление деятельности аудиторской организацией, не включенной в Единый государственный реестр аудиторов, аудиторских организаций и профессиональных аудиторских объединений на территории Кыргызской Республики; 

3) отзыв квалификационного сертификата аудитора уполномоченным органом; 

4) отсутствие независимости внешнего аудитора банка; 

5) не соблюдение и/или незнание внешним аудитором необходимых стандартов, практики аудита, бухгалтерского учета и банковского дела; 

6) выявление в деятельности аудиторской организации фактов несоответствия законодательству Кыргызской Республики и настоящему Положению. 

При обнаружении вышеуказанных обстоятельств, Национальный банк направляет соответствующее уведомление в адрес банка. Банк обязан провести повторный внешний аудит банка в соответствии с требованиями законодательства Кыргызской Республики и настоящего Положения. Повторный аудит осуществляется за счет банка и/или его аффилированных лиц. 

(В редакции постановления Правления Нацбанка КР от 28 декабря 2022 года № 2022-П-12/83-7) 

53. Национальный банк в порядке, установленном законодательством Кыргызской Республики, может предоставить внешнему аудитору банка необходимую информацию, относящуюся к вопросам внешнего аудита банка. 

Внешний аудит банков не отменяет и не заменяет осуществление банковского надзора за деятельностью банков со стороны Национального банка. 

К инспекторской проверке деятельности банков и их филиалов Национальным банком Кыргызской Республики в случае необходимости может привлекаться независимая аудиторская организация и/или индивидуальный аудитор на договорной основе для выполнения: 

- обзора методов, используемых банком для составления регулятивных отчетов; 

- оценки адекватности управления и системы внутреннего контроля; 

- оценки системы внутреннего контроля (включая службу внутреннего аудита); 

- оценки следования принципам Международных стандартов финансовой отчетности, стандартам, утвержденным Организацией бухгалтерского учета и аудита для исламских финансовых институтов; 

- оценки соответствия деятельности банка требованиям законодательства Кыргызской Республики и нормативным актам Национального банка и др.; 

- оценки системы управления рисками информационной безопасности как категории операционного риска. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

54. В соответствии с законодательством Кыргызской Республики Национальный банк вправе потребовать от банка проведения внепланового аудита.   

Национальный банк вправе назначить проведение внепланового целевого аудита в банке при возникновении событий/инцидентов информационной безопасности, приведших к фактам мошенничества, кражам, взлому системы и иным угрозам, которые могут принести существенные убытки банку в результате недостатков в системе управления информационной безопасностью.  

При этом услуги аудиторской организации оплачиваются банком. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

55. Цели, задачи и срок внеплановой аудиторской проверки обсуждаются Национальным банком, банком и внешним аудитором и оформляются протоколом, который подписывается тремя сторонами. Аудиторскую проверку может проводить аудиторская организация, удовлетворяющая требованиям законодательства Кыргызской Республики, включая нормативные правовые акты Национального банка. 

56. Банк вправе обжаловать решение Национального банка о проведении внепланового аудита в порядке и сроки, установленные законодательством Кыргызской Республики, включая нормативные правовые акты Национального банка. При этом обжалование банком данного решения Национального банка не приостанавливает его исполнение. 

57. Должностные лица банка обязаны: 

- создавать внешнему аудитору банка условия для своевременного и полного проведения аудиторской проверки, предоставлять всю документацию, необходимую для ее проведения, а также давать по его запросу разъяснения и объяснения в устной и письменной форме; 

- оперативно устранять все выявленные аудиторской проверкой нарушения, в том числе по ведению бухгалтерского учета, составлению финансовой отчетности, в системе внутреннего контроля банка; 

- оперативно принимать меры по устранению выявленных аудиторской проверкой недостатков по информационной безопасности в целом, в том числе по рискам и угрозам, которые могут привести к убыткам и потерям в банке. 

(В редакции постановления Правления Нацбанка КР от 12 апреля 2024 года № 2024-П-12/17-2-(НПА)) 

58. Должностным лицам и работникам банков запрещается: 

- оказывать воздействие на внешнего аудитора с целью изменить, обоснованные и подтвержденные документами и расчетами, выводы по результатам внешнего аудита банка; 

- предпринимать любые действия с целью ограничения круга вопросов, подлежащих выяснению, при проведении внешнего аудита банка; 

- ограничивать доступ внешнего аудитора банка к документам, отчетности, сотрудникам банка, а также к помещениям банка, если это необходимо для целей проведения внешнего аудита банка. 

При возникновении указанных событий, внешний аудитор банка обязан напрямую письменно сообщить о них в Национальный банк с предоставлением копии Совету директоров банка.