Действующая редакция  

Предлагаемая редакция 

1. Положение о требованиях к формированию финансовой отчетности коммерческих банков Кыргызской Республики  

3. Порядок и сроки представления и публикации финансовой отчетности 

26. Дополнительная публикация компонентов финансовой отчетности (Отчета о финансовом положении на конец дня 31 декабря отчетного года, Отчета о совокупном доходе за период, Отчета о движении денежных средств и Отчета об изменениях в собственном капитале) вместе с аудиторским заключением должна быть осуществлена в средствах массовой информации на государственном и/или официальном языках. Банк осуществляет выбор средств массовой информации для публикации форм финансовой отчетности вместе с аудиторским заключением с тем, чтобы обеспечить ее широкое распространение и доступность пользователям. Публикация осуществляется в сроки и в порядке, определенные настоящим Положением.  

При этом обязательно должна быть ссылка на то, что с финансовой отчетностью и пояснениями к ней в полном объеме можно ознакомиться на официальном интернет-сайте банка, а также в головном офисе банка, его филиалах и сберегательных кассах.  

Сведения о публикации с приложением копии публикации, должны быть представлены в Национальный банк в течение 3-х рабочих дней после публикации.  

26. Дополнительная публикация компонентов финансовой отчетности (Отчета о финансовом положении на конец дня 31 декабря отчетного года, Отчета о совокупном доходе за период, Отчета о движении денежных средств и Отчета об изменениях в собственном капитале) вместе с аудиторским заключением должна быть осуществлена в средствах массовой информации на государственном и официальном языках. Банк осуществляет выбор средств массовой информации для публикации форм финансовой отчетности вместе с аудиторским заключением с тем, чтобы обеспечить ее широкое распространение и доступность пользователям. Публикация осуществляется в сроки и в порядке, определенные настоящим Положением.  

При этом обязательно должна быть ссылка на то, что с финансовой отчетностью и пояснениями к ней в полном объеме можно ознакомиться на официальном интернет-сайте банка, а также в головном офисе банка, его филиалах и сберегательных кассах.  

Сведения о публикации с приложением копии публикации, должны быть представлены в Национальный банк в течение 3-х рабочих дней после публикации.  

4. Ежедневная, ежемесячная и ежеквартальная финансовые отчетности, порядок и сроки их представления 

31. Ежеквартальные отчеты о финансовом положении, о совокупном доходе, о движении денежных средств и об изменениях в собственном капитале, а также информация, содержащейся в пункте 31-1 должны быть опубликованы на официальном интернет-сайте банка и в средствах массовой информации, на государственном и/или официальном языках не позже 30 числа месяца, следующего за отчетным кварталом.  

При этом в публикации обязательно должна быть ссылка на то, что с ежеквартальной финансовой отчетностью в полном объеме, указанном в пункте 27 настоящего Положения, можно ознакомиться в головном офисе банка, филиалах и его сберегательных кассах.  

Банк осуществляет выбор средств массовой информации для публикации ежеквартальной отчетности с тем, чтобы обеспечить ее широкое распространение и доступность пользователям.  

Если в течение квартала произошли операции, которые существенно повлияли или могут повлиять на финансовое состояние банка, то банку в полной ежеквартальной финансовой отчетности необходимо раскрыть данные события.  

Сведения о публикации с приложением копии публикации, должны быть представлены в Национальный банк в течение 3-х рабочих дней после публикации.  

Пользователи финансовой отчетности банка должны иметь возможность получать для изучения ежеквартальную финансовую отчетность банка в полном объеме, указанном в пункте 27 настоящего Положения, в связи с чем банк (головной офис, филиалы, сберегательные кассы) должен беспрепятственно предоставлять отчетность в полном объеме по первому требованию пользователей.  

31. Ежеквартальные отчеты о финансовом положении, о совокупном доходе, о движении денежных средств и об изменениях в собственном капитале, а также информация, содержащейся в пункте 31-1 должны быть опубликованы на официальном интернет-сайте банка и в средствах массовой информации, на государственном и официальном языках не позже 30 числа месяца, следующего за отчетным кварталом.  

При этом в публикации обязательно должна быть ссылка на то, что с ежеквартальной финансовой отчетностью в полном объеме, указанном в пункте 27 настоящего Положения, можно ознакомиться в головном офисе банка, филиалах и его сберегательных кассах.  

Банк осуществляет выбор средств массовой информации для публикации ежеквартальной отчетности с тем, чтобы обеспечить ее широкое распространение и доступность пользователям.  

Если в течение квартала произошли операции, которые существенно повлияли или могут повлиять на финансовое состояние банка, то банку в полной ежеквартальной финансовой отчетности необходимо раскрыть данные события.  

Сведения о публикации с приложением копии публикации, должны быть представлены в Национальный банк в течение 3-х рабочих дней после публикации.  

Пользователи финансовой отчетности банка должны иметь возможность получать для изучения ежеквартальную финансовую отчетность банка в полном объеме, указанном в пункте 27 настоящего Положения, в связи с чем банк (головной офис, филиалы, сберегательные кассы) должен беспрепятственно предоставлять отчетность в полном объеме по первому требованию пользователей.  

2. Положение о критериях системности коммерческих банков и небанковских финансово-кредитных организаций  

Глава 2. Критерии системности банков 

10. Критерии системно-значимых банков необходимо определять на основе количественных показателей, а также качественной информации о коммерческих банках, которая дополнит количественную информацию и позволит точнее определить системную значимость банков.   

Оценка системной значимости банков проводиться ежегодно. Количественные показатели, применяемые для оценки системной значимости банков в банковской системе, рассчитываются на основе их финансовых показателей после последней оценки (данные по состоянию на конец года), а затем группируются по следующим трем категориям (с соответствующим взвешиванием):   

 1) Размеры определенных показателей банка (доля взвешивания составляет 50 %).  

а) Показатель величина активов (П1). Доля активов банка в удельном весе от общего количества активов банковской системы. Данный критерий необходимо рассматривать с точки зрения влияния на экономику республики. Вес – 10%.  

б) Показатель величина депозитов физических лиц (П2). Доля депозитов физических лиц банка в удельном весе от общего объема депозитов физических лиц банковской системы. Данный критерий необходимо рассматривать с точки зрения критичности для подрыва доверия населения к банковской системе. Вес – 10%.   

в) Показатель величина депозитов юридических лиц (П3). Доля депозитов юридических лиц банка в удельном весе от общего объема депозитов юридических лиц банковской системы. Данный критерий необходимо рассматривать с точки зрения защиты интересов потребителей финансовых услуг. Вес – 10%.  

г) Показатель количество вкладчиков – физических и юридических лиц банка в удельном весе от общего количества вкладчиков – физических и юридических лиц банковской системы. Вес – 10% (П4)  

д) Показатель величина кредитного портфеля (П5). Доля кредитного портфеля (брутто-значение) от общего объема кредитного портфеля (брутто-значение) банковской системы. Вес – 10%.  

2) Взаимосвязанность с участниками банковской и/или финансовой системы Кыргызской Республики (доля взвешивания составляет 14 %).  

а) Показатель активы, размещенные в банках (П6). Объем размещенных активов (кредиты, депозиты и другие активы) банка в других банках Кыргызской Республики в удельном весе от активов, размещенных в банках банковской системы. Данный критерий характеризует возможность распространения риска неплатежеспособности банка на другие банки, т.е. возможность наступления «эффекта домино». Вес – 7%.  

б) Показатель обязательства, привлеченные от банков (П7). Объем совокупной задолженности (кредиты, депозиты и другие обязательства) банка перед другими банками Кыргызской Республики в удельном весе от обязательств, привлеченных от банков банковской системы. Вес – 7%.  

3) Уровень замещения (доля взвешивания составляет 36 %).  

а) Показатель концентрации кредитования в отраслях экономики отражает объем кредитов банка по секторам экономики, превышающим пороговое значение (более 15 %) в удельном весе от объема кредитов банковской системы по секторам экономики. Вес – 7%. (П8).  

б) Показатель территориальная сеть. Количество филиалов банка к общему количеству филиалов банковской системы. Вес – 5% (П9).  

в) Показатель доли входящих и исходящих платежей в СПК банка в объеме входящих и исходящих платежей в СПК банковской системы. Вес – 8% (П10).  

г) Показатель доли входящих и исходящих платежей в ГСРРВ банка в объеме входящих и исходящих платежей в ГСРРВ банковской системы. Вес – 8% (П11).  

д) Показатель доли трансграничных переводов (входящие и исходящие) банка в объеме трансграничных переводов банковской системы. Вес – 8% (П12). 

10. Критерии системно-значимых банков необходимо определять на основе количественных показателей, а также качественной информации о коммерческих банках, которая дополнит количественную информацию и позволит точнее определить системную значимость банков.   

Оценка системной значимости банков проводиться ежегодно, и при наличии изменений в банковской системе. Количественные показатели, применяемые для оценки системной значимости банков в банковской системе, рассчитываются на основе их финансовых показателей после последней оценки, а затем группируются по следующим трем категориям (с соответствующим взвешиванием):   

 1) Размеры определенных показателей банка (доля взвешивания составляет 50 %).  

а) Показатель величина активов (П1). Доля активов банка в удельном весе от общего количества активов банковской системы. Данный критерий необходимо рассматривать с точки зрения влияния на экономику республики. Вес – 10%.  

б) Показатель величина депозитов физических лиц (П2). Доля депозитов физических лиц банка в удельном весе от общего объема депозитов физических лиц банковской системы. Данный критерий необходимо рассматривать с точки зрения критичности для подрыва доверия населения к банковской системе. Вес – 10%.   

в) Показатель величина депозитов юридических лиц (П3). Доля депозитов юридических лиц банка в удельном весе от общего объема депозитов юридических лиц банковской системы. Данный критерий необходимо рассматривать с точки зрения защиты интересов потребителей финансовых услуг. Вес – 10%.  

г) Показатель количество вкладчиков – физических и юридических лиц банка в удельном весе от общего количества вкладчиков – физических и юридических лиц банковской системы. Вес – 10% (П4)  

д) Показатель величина кредитного портфеля (П5). Доля кредитного портфеля (брутто-значение) от общего объема кредитного портфеля (брутто-значение) банковской системы. Вес – 10%.  

2) Взаимосвязанность с участниками банковской и/или финансовой системы Кыргызской Республики (доля взвешивания составляет 14 %).  

а) Показатель активы, размещенные в банках (П6). Объем размещенных активов (кредиты, депозиты и другие активы) банка в других банках Кыргызской Республики в удельном весе от активов, размещенных в банках банковской системы. Данный критерий характеризует возможность распространения риска неплатежеспособности банка на другие банки, т.е. возможность наступления «эффекта домино». Вес – 7%.  

б) Показатель обязательства, привлеченные от банков (П7). Объем совокупной задолженности (кредиты, депозиты и другие обязательства) банка перед другими банками Кыргызской Республики в удельном весе от обязательств, привлеченных от банков банковской системы. Вес – 7%.  

3) Уровень замещения (доля взвешивания составляет 36 %).  

а) Показатель концентрации кредитования в отраслях экономики отражает объем кредитов банка по секторам экономики, превышающим пороговое значение (более 15 %) в удельном весе от объема кредитов банковской системы по секторам экономики. Вес – 7%. (П8).  

б) Показатель территориальная сеть. Количество филиалов банка к общему количеству филиалов банковской системы. Вес – 5% (П9).  

в) Показатель доли входящих и исходящих платежей в СПК банка в объеме входящих и исходящих платежей в СПК банковской системы. Вес – 8% (П10).  

г) Показатель доли входящих и исходящих платежей в ГСРРВ банка в объеме входящих и исходящих платежей в ГСРРВ банковской системы. Вес – 8% (П11).  

д) Показатель доли трансграничных переводов (входящие и исходящие) банка в объеме трансграничных переводов банковской системы. Вес – 8% (П12). 

Качественные характеристики, применяемые для оценки системной значимости банков в банковской системе, могут определяться, в том числе, на основе следующих данных банка:  

а) количество корреспондентских счетов и обороты по ним; 

б) количество выпущенных/действующих карт в обращении и объем транзакций; 

в) наличие мобильных кошельков/приложений, интернет банкинга и систем быстрых платежей; 

г) участие в реализации государственных программ; 

д) доля непроцентных доходов в структуре доходов банка; 

е) доля государственных средств в банке и связь банка с государством; 

ж) доля иностранных средств в капитале банка; 

з) доступность и обширность сети банкоматов, терминалов. 

13. Значение количественных показателей и общий показатель для банка должны рассчитываться на каждый отчетный период отдельно.   

Для определения системно-значимого банка по количественным показателям, общий показатель банка должен быть на уровне не менее 10% в течении последних либо последующих трех отчетных периодов. Изменение количественных показателей системно значимого банка могут повлиять на результат оценки его системной значимости, проводимой Национальным банком.  

13. Значение количественных показателей и общий показатель для банка должны рассчитываться на каждый отчетный период отдельно.   

Для определения системно-значимого банка по количественным показателям, общий показатель банка должен быть на уровне не менее 10% в течении последних либо последующих трех отчетных периодов (ежеквартально). Изменение количественных показателей системно значимого банка могут повлиять на результат оценки его системной значимости, проводимой Национальным банком.  

3. Положение о минимальных требованиях к внешнему аудиту банков и других финансово-кредитных организаций, лицензируемых Национальным банком Кыргызской Республики 

1. Общие положения 

3. Для целей настоящего Положения используются следующие понятия:  

…  

Внешний аудит информационных систем - независимая проверка внешним аудитором технических регламентов и требований банка, позволяющих обеспечить защиту информации и самих банковских систем от неправомерного вмешательства и иных угроз (рисков).  

… 

3. Для целей настоящего Положения используются следующие понятия:  

…  

Внешний аудит информационных систем - независимая комплексная проверка внешним аудитором технических регламентов и требований банка, позволяющих обеспечить безопасность и защиту информации и самих банковских систем от неправомерного вмешательства и иных угроз (рисков).  

… 

DDoS-атака (distributed denial of service) – целенаправленная атака путем подачи большого количества запросов в целях прекращения или затруднения работы «веб»-ресурса. 

Anti-fraud системы – программные комплексы для предотвращения мошеннических транзакций. 

Sql-инъекций - это уязвимость веб-безопасности, которая позволяет злоумышленнику вмешиваться в запросы, которые приложение делает к своей базе данных.  

Dmz - «демелитаризованная» /изолированная зона сети, отделяющая общедоступные сервисы организации от частной. 

3. Требования к внешнему аудитору банка  

21. Руководитель аудита информационных систем для проведения аудита информационных систем должен обладать:  

- квалификационным сертификатом (CISA, CISM и т.д.);  

- опытом аудита информационных систем финансово-кредитных организациях.  

21. Руководитель аудита информационных систем для проведения внешнего аудита информационных систем должен обладать:  

- квалификационным сертификатом (одним из CISA, CISM, CISSP и т.д.);  

- опытом аудита информационных систем финансово-кредитных организациях.  

6. Аудит информационных систем 

37. Банки должны проводить аудит информационной системы минимум один раз в два года. Срок проведения внешнего аудита информационных систем определяется из расчета двух последовательных лет с даты проведения последнего внешнего аудита информационных систем.  

37. Банки должны проводить внешний аудит информационных систем минимум один раз в два года. Срок проведения внешнего аудита информационных систем определяется из расчета двух последовательных лет с даты проведения последнего внешнего аудита информационных систем.  

При этом системно значимые банки, определяемые по количественным показателям в соответствии с Положением «О критериях системности коммерческих банков и небанковских финансово-кредитных организаций», а также банки, которые предоставляют дистанционные финансовые услуги (если объем данных операций свыше 10% от активов банка) должны проводить внешний аудит информационных систем ежегодно.  

В случае получения банком сертификации в соответствии с международным стандартом ISO 27001 «Система менеджмента информационной безопасности» по информационным системам банка, внешний аудит информационных систем может проводиться раз в три года.  

Банк должен проводить внешний аудит информационных систем дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг. Аудит информационных систем банка и его дочерней компании, предоставляющей услуги по разработке финансовых технологий должен осуществляться одной аудиторской организацией.  

37-1. В программе внешнего аудита, помимо соблюдений требований Положения о требованиях по обеспечению информационной безопасности в коммерческих банках Кыргызской Республики, дополнительно отражаются следующие вопросы/разделы: 

защита важной информации: шифрование данных (сокрытие данных по картам клиентов банка) и предотвращение утечек, управление неструктурированными данными, использование защищенных протоколов обмена с третьими лицами, использование многофакторной аутентификации, использование сертификатов безопасности;  

безопасность инфраструктуры: оценка обеспеченностью серверными и сетевыми ресурсами, оценка защиты виртуальных ресурсов и комплексной защиты от направленных атак, проверка наличия установки актуальных версий операционных систем и патчей безопасности, наличие использования банком внешних облачных ресурсов и другие; 

мониторинг: оценка управления инцидентами и цифровыми расследованиями инцидентов, анализ управления учетными записями и удаленным доступом к инфраструктуре, контроль привилегированных пользователей, анализ полноты логов систем для цифровых расследований; 

защита от взломов и мошенничества: использование anti-fraud систем, защита от DDoS-атак и sql-инъекций, использование нагрузочных тестов на «отказ в обслуживании», систем от межсайтового скриптинга и другие; 

защита приложений и баз данных: оценка защищенности баз данных, оценка безопасности программного кода приложений банка и использование автоматизированных инструментов проверки уязвимости кода как статический и динамический анализаторы (SAST и DAST), в том числе мобильного и интернет банкингов;  

сетевая безопасность: оценка топологии сети на предмет выделения подсети с серверами, pos-терминалами и банкоматами, подсети администрирования для привилегированных пользователей, наличия dmz-зон, наличия актуальных версий операционных систем и патчей безопасности; изучение полноты настроек систем предотвращения сетевых вторжений и сетевых аномалий; наличие межсетевых экранов и сканеров безопасности с актуальными подписками.  

Акцентированные области внешнего аудита должны банком регулярно пересматриваться в зависимости от актуальности. Национальный банк вправе дополнительно рекомендовать банку включить в программу внешнего аудита акцентированные области по результатам предыдущего аудита и/или при наличии инцидентов по информационной безопасности.  

37-2. Программа внешнего аудита должна утверждаться/согласовываться ответственными лицами банка по информационной безопасности.  

37-3. Банк при необходимости может проводить целевой аудит компонентов информационных систем на этапе создания, внедрения и экплуатации новых информационных систем. Однако, целевой аудит не исключает проведения внешнего аудита информационных систем. 

37-4. Целевой аудит банком может быть самостоятельно внепланово инициирован и проведен в качестве узкоспециализированного аудита, направленного на отдельный элемент инфраструктуры, для оценки бизнес-процесса или на соответствие конкретным критериям как быстродействие, безопасность, надежность, производительность или признанным международным стандартам (PCI DSS, COBIT, ITIL, ISO, NIST и другие).  

37-5. При внедрении банком нового приложения для удаленного доступа клиентов (интернет и мобильный банкинг) банк должен провести целевой внешний аудит безопасности программного кода. Результаты целевого аудита должны быть предоставлены в Национальный банк в течение 10 дней после получения отчета аудита.  

38. В ходе и для целей аудита информационных систем внешний аудитор должен осуществить анализ и оценку соответствия информационных систем банка требованиям:  

а) нормативных правовых актов Национального банка, в части информационной безопасности банка;  

б) внутренних политик/процедур информационных систем банка, утвержденных руководством банка.  

38. В ходе и для целей аудита информационных систем внешний аудитор должен: 

а) обозначить сроки проведения аудита, область аудита (проверяемые информационные системы, процессы, документы), подходы и применяемые инструменты аудита;  

б) осуществить анализ и оценку соответствия информационных систем и процессов банка требованиям:  

- нормативных правовых актов Национального банка в части информационной безопасности;  

- внутренних политик/процедур информационных систем банка, утвержденных руководством банка.  

39. При проведении внешнего аудита информационных систем как минимум необходимо:  

а) изучить внутренние нормативные документы по обеспечению информационной безопасности на предмет их достаточности и соответствия требованиям законодательства Кыргызской Республики и нормативных правовых актов Национального банка;  

б) изучить стратегические документы банка, бизнес-планы, политики и процедуры по управлению рисками информационных систем в целях оценки их адекватности, достаточности и актуальности;  

в) оценить систему управления качеством ИТ-процессов и систему управления операционными рисками;  

г) оценить систему обеспечения непрерывности деятельности информационных систем и планов восстановления информационных систем в случае чрезвычайных ситуаций;  

д) оценить уровень обеспечения безопасности сети, операционных систем, приложений и баз данных, персонала и физической безопасности;  

е) рассмотреть степень защищенности информационных систем в филиалах;  

ж) оценить систему управления доступом и распределения ролей в автоматизированных системах;  

з) оценить уровень осведомленности персонала банка в области информационной безопасности;  

и) рассмотреть вопросы соблюдения требований законодательства в отношении прав интеллектуальной собственности и использования лицензионных программных продуктов.  

39. При проведении внешнего аудита информационных систем как минимум необходимо:  

а) оценить внутренние документы по обеспечению информационной безопасности на предмет их необходимости, достаточности и соответствия требованиям законодательства Кыргызской Республики, нормативных правовых актов Национального банка;  

б) изучить стратегические документы банка, бизнес-планы, политики и процедуры по управлению рисками информационных систем в целях оценки их адекватности, достаточности и актуальности;  

в) оценить систему управления информационной безопасности и систему управления операционными рисками;  

г) оценить систему обеспечения непрерывности деятельности информационных систем и планов восстановления информационных систем в случае чрезвычайных ситуаций;  

д) оценить риски, связанные с угрозами нарушения информационной безопасности в отношении активов банка, идентификация уязвимостей информационных систем;  

е) рассмотреть степень защищенности информационных систем в филиалах;  

ж) оценить систему управления доступом и распределения ролей в автоматизированных системах;  

з) оценить уровень осведомленности персонала банка в области информационной безопасности и меры банка по информированию персонала;  

и) рассмотреть вопросы соблюдения требований законодательства в отношении прав интеллектуальной собственности и использования лицензионных программных продуктов;  

л) оценить выполнение рекомендаций предыдущих внешних аудиторских проверок в виде разработки новых или совершенствования действующих внутренних процедур банка, а также мер по улучшению системы защищенности информационных систем. 

- 

39-1. По результатам аудита информационных систем внешний аудитор представляет оценку текущего состояния информационных систем и степень их защищенности.  

По результатам аудита дочерней компании, предоставляющей услуги по разработке финансовых технологий для реализации банковских услуг составляются отчеты на индивидуальной или консолидированной основе. 

7. Требования к банку о предоставлении заключения/отчета внешнего аудитора 

40. Аудиторское заключение составляется с соблюдением международных стандартов аудита и требований Национального банка. При этом для всех пользователей, согласно международным стандартам финансовой отчетности, аудиторское заключение по финансовой отчетности банка должно быть единым.  

40. В аудиторском заключении должна быть отражена информация в соответствии с международными стандартами аудита и требованиями Национального банка, включая рекомендации, которые должны быть включены в программу аудита. 

41. По завершению финансового года банк обязан:  

1) представить Национальному банку заверенную копию аудиторского заключения вместе с финансовой отчетностью и письмом аудитора к руководству банка за пять рабочих дней до дня проведения годового общего собрания акционеров;  

… 

41. По завершению финансового года банк обязан:  

1) представить Национальному банку заверенную копию аудиторского заключения вместе с финансовой отчетностью и письмом аудитора к руководству банка, включая рекомендации внешнего аудитора за пять рабочих дней до дня проведения годового общего собрания акционеров;  

… 

42. По завершению аудита информационных систем банк обязан представить Национальному банку заверенную копию аналитического отчета по результатам аудита информационных систем и письмо руководству в течение 5 рабочих дней.  

42. По завершению аудита информационных систем банк обязан представить Национальному банку заверенную копию аналитического отчета по результатам аудита информационных систем и письмо руководству в течение 5 рабочих дней.  

Аналитический отчет по результатам аудита информационных систем должен содержать как минимум информацию о масштабах аудита, использованных подходах аудита, информацию по исполнению рекомендаций предыдущих аудитов, краткие выводы о выявленных рисках, рекомендации, общее заключение по итогам аудита. 

49. Уполномоченные сотрудники Национального банка в ходе осуществления инспекторской проверки вправе встречаться с внешним аудитором и получать от них устную и письменную информацию.  

49. Уполномоченные сотрудники Национального банка в ходе осуществления инспекторской проверки вправе встречаться с внешним аудитором и получать от них устную и письменную информацию.  

В случае выявления рисков и недостатков в деятельности банка, Национальный банк вправе дополнительно рекомендовать внешнему аудитору включить в программу аудита и оценки проверку указанных вопросов. 

8. Заключительные положения 

54. В соответствии с законодательством Кыргызской Республики Национальный банк вправе потребовать от банка проведения внепланового аудита. При этом, услуги аудиторской организации оплачиваются банком.  

54. В соответствии с законодательством Кыргызской Республики Национальный банк вправе потребовать от банка проведения внепланового аудита.  

Национальный банк вправе назначить проведение внепланового целевого аудита в банке при возникновении событий/инцидентов информационной безопасности, которые привели к фактам мошенничества, кражам, взлому системы и иным угрозам, которые могут нести существенные убытки в банке в результате недостатков в системе управления информационной безопасностью. 

При этом, услуги аудиторской организации оплачиваются банком.  

57. Должностные лица банка обязаны:  

- создавать внешнему аудитору банка условия для своевременного и полного проведения аудиторской проверки, предоставлять всю документацию, необходимую для ее проведения, а также давать по его запросу разъяснения и объяснения в устной и письменной форме;  

- оперативно устранять все выявленные аудиторской проверкой нарушения, в том числе по ведению бухгалтерского учета, составлению финансовой отчетности, в системе внутреннего контроля банка.  

57. Должностные лица банка обязаны:  

- создавать внешнему аудитору банка условия для своевременного и полного проведения аудиторской проверки, предоставлять всю документацию, необходимую для ее проведения, а также давать по его запросу разъяснения и объяснения в устной и письменной форме;  

- оперативно устранять все выявленные аудиторской проверкой нарушения, в том числе по ведению бухгалтерского учета, составлению финансовой отчетности, в системе внутреннего контроля банка; 

- оперативно принимать меры по устранению выявленных аудиторской проверкой недостатков по информационной безопасности в целом, в том числе по рискам и угрозам, которые могут привести к убыткам и потерям в банке.  

4. Правила формирования системы внутреннего контроля и внутреннего аудита в банках и небанковских финансово-кредитных организациях, лицензируемых и регулируемых Национальным банком Кыргызской Республики 

3. Требования к процедурам внутреннего контроля 

24. Порядок контроля за управлением и обеспечением безопасных информационных потоков, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях, устанавливается внутренними документами банка с учетом настоящих Правил и распространяется на все направления деятельности и операции банка. Для этого банк должен:  

1) владеть адекватными и исчерпывающими финансовыми и другими необходимыми данными в оперативном режиме, а также обладать информацией о событиях и условиях рынка, которые могут влиять на принятие решений руководством банка;  

2) обеспечить внутренний контроль за автоматизированными информационными системами и техническими средствами, включающий в себя:  

- общий контроль автоматизированных систем, который предусматривает контроль компьютерных систем (контроль за главным компьютером, системой клиент-сервер и рабочими местами конечных пользователей и т.д.), проводимый с целью обеспечения бесперебойной и непрерывной работы. Общий контроль состоит из осуществляемых банком процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа;  

- программный контроль, который осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных и т.п.).  

24. Порядок контроля за управлением и обеспечением безопасных информационных потоков, включая порядок защиты от несанкционированного доступа и распространения конфиденциальной информации, а также от использования конфиденциальной информации в личных целях, устанавливается внутренними документами банка с учетом настоящих Правил и распространяется на все направления деятельности и операции банка. Для этого банк должен:  

1) владеть адекватными и исчерпывающими финансовыми и другими необходимыми данными в оперативном режиме, а также обладать информацией о событиях и условиях рынка, которые могут влиять на принятие решений руководством банка;  

2) обеспечить внутренний контроль за автоматизированными информационными системами и техническими средствами, включающий в себя:  

- общий контроль автоматизированных систем, который предусматривает контроль за серверами, сетевым оборудованием, базами данных, системой клиент-сервер и рабочими местами конечных пользователей и т.д., проводимый с целью обеспечения бесперебойной и непрерывной работы. Общий контроль состоит из осуществляемых банком процедур резервирования (копирования) данных и процедур восстановления функций автоматизированных информационных систем, осуществления поддержки в течение времени использования автоматизированных информационных систем, включая определение правил приобретения, разработки и обслуживания (сопровождения) программного обеспечения, порядка осуществления контроля за безопасностью физического доступа;  

- программный контроль, который осуществляется встроенными в прикладные программы автоматизированными процедурами, а также выполняемыми вручную процедурами, контролирующими обработку банковских операций и других сделок (контрольное редактирование, контроль логического доступа, внутренние процедуры резервирования и восстановления данных, контроль создания транзитных счетов, контроль удаленных записей и т.п.).  

25. Контроль обеспечения своевременности, достоверности и достаточности финансовой информации банка требует проверки как минимум следующего:  

- системы бухгалтерского учета в банке на предмет соответствия Международным стандартам финансовой отчетности и требованиям законодательства Кыргызской Республики;  

- в банке, осуществляющем операции в соответствии с исламскими принципами банковского дела и финансирования - системы бухгалтерского учета в банке на предмет соответствия стандартам Организации бухгалтерского учета и аудита для исламских финансовых институтов (AAOIFI) (в случае отсутствия определенных стандартов - на предмет соответствия стандартам МСФО при условии, что они не будут противоречить стандартам Шариата, утвержденных AAOIFI) и безопасным стандартам банковской практики, принятым в Кыргызской Республике;  

- наличия в банке внутреннего документа (руководство) по проведению бухгалтерских записей и проводок;  

- осуществления бухгалтерских записей на ежедневной основе и отражения каждой операции банка;  

- наличия отчетности, отражающей финансовое состояние банка на каждый день;  

- совпадения данных лицевых счетов, особенно относящиеся к депозитам, кредитам, валютным операциям и другим операциям, с данными главной книги банка;  

- осуществления регулярных сверок работниками, которые не вовлечены в процесс санкционирования или отражение операций в финансовой отчетности;  

- наличия документации, сформированной таким образом, что любая операция банка может быть прослежена от начала и до ее завершения или текущего состояния;  

- наличие подтверждения первичными документами всех операций банка и подтверждения любых изменений в проведении операции соответствующими записями.  

25. Контроль обеспечения своевременности, достоверности и достаточности финансовой информации банка требует проверки как минимум следующего:  

- системы бухгалтерского учета в банке на предмет соответствия Международным стандартам финансовой отчетности и требованиям законодательства Кыргызской Республики;  

- в банке, осуществляющем операции в соответствии с исламскими принципами банковского дела и финансирования - системы бухгалтерского учета в банке на предмет соответствия стандартам Организации бухгалтерского учета и аудита для исламских финансовых институтов (AAOIFI) (в случае отсутствия определенных стандартов - на предмет соответствия стандартам МСФО при условии, что они не будут противоречить стандартам Шариата, утвержденных AAOIFI) и безопасным стандартам банковской практики, принятым в Кыргызской Республике;  

- наличия в банке внутреннего документа (руководство) по проведению бухгалтерских записей и проводок;  

- осуществления бухгалтерских записей на ежедневной основе и отражения каждой операции банка;  

- наличия отчетности, отражающей финансовое состояние банка на каждый день;  

- совпадения данных лицевых счетов, особенно относящиеся к депозитам, кредитам, валютным операциям и другим операциям, с данными главной книги банка;  

- осуществления регулярных сверок работниками, которые не вовлечены в процесс санкционирования или отражение операций в финансовой отчетности;  

- наличия документации, сформированной таким образом, что любая операция банка может быть прослежена от начала и до ее завершения или текущего состояния;  

- наличие подтверждения первичными документами всех операций банка и подтверждения любых изменений в проведении операции соответствующими записями; 

- осуществления регулярного контроля операций, проводимых через транзитные счета.  

5. Положение о минимальных требованиях по управлению рисками в банках Кыргызской Республики 

10. Операционный риск 

71. Совет директоров должен утвердить политики, а Правление - процедуры для осуществления контроля и минимизации операционных рисков. В некоторых случаях они могут быть включены в другие внутренние документы, такие как, в кредитную или инвестиционную политику.  

72. Для предотвращения операционных рисков, банкам необходимо иметь в наличии планы на случай непредвиденных обстоятельств и планы непрерывного ведения деятельности, чтобы обеспечить непрерывное функционирование и минимизировать потери в случае непредвиденного сбоя. Планы должны включать, но не ограничиваться резервным копированием ключевой информации, а также, постоянным хранением такой резервной информации в отдельном месте.  

71. Совет директоров должен утвердить политики, а Правление - процедуры для осуществления контроля и минимизации операционных рисков. В некоторых случаях они могут быть включены в другие внутренние документы, такие как, в кредитную или инвестиционную политику.  

72. Для предотвращения операционных рисков, банкам необходимо иметь в наличии планы на случай непредвиденных обстоятельств и планы непрерывного ведения деятельности, чтобы обеспечить непрерывное функционирование и минимизировать потери в случае непредвиденного сбоя. Планы должны включать, но не ограничиваться резервным копированием ключевой информации, а также, постоянным хранением такой резервной информации в отдельном месте.  

72-1. При возникающих событиях/инцидентах информационной безопасности, приведших к простоям автоматизированной системы или других информационных систем банка с недоступностью услуг населению более 30 минут, банк не позднее 45 минут с момента события/инцидента должен информировать Национальный банк по каналам взаимодействия, и допонительно направить не позднее 1 рабочего дня со дня события/инцидента официальное письмо в Национальный банк с подробным описанием события/инцидента и о мерах предпринимаемых банком для устранения причин.  

72-2. В случае простоя автоматизированной системы или других информационных систем банка более 60 минут, связанных с недоступностью каких - либо банковских услуг населению, банк должен самостоятельно информировать население не позднее 90 минут с момента события/инцидента с помощью доступных ему каналов связи или средств массовой информации о времени устранения технических неполадок.  

                      УТВЕРЖДАЮ 

____________________________________ 

                       (должность) 

____________________________________ 

                         (подпись) 

"___" _______________ 20___ года 

Руководитель рабочей группы: 

Рабочая группа: 

Контактные данные ответственного лица: 

Ипасова Н.А., 31-28-81, nipasova@nbkr.kg 

(ФИО, тел., e-mail)