Вернуться назад

Приложение  

 

Изменения и дополнения в постановление Правления  

Национального банка Кыргызской Республики «О Положении  

«О минимальных требованиях к внешнему аудиту банков и  

финансово-кредитных учреждений, лицензируемых Национальным банком Кыргызской Республики» от 14 июля 2005 года № 22/2 

 

Внести в постановление Правления Национального банка Кыргызской Республики «О Положении «О минимальных требованиях к внешнему аудиту банков и финансово-кредитных учреждений, лицензируемых Национальным банком Кыргызской Республики» от 14 июля 2005 года № 22/2 следующие изменения и дополнения: 

в Положение «О минимальных требованиях к внешнему аудиту банков и финансово-кредитных учреждений, лицензируемых Национальным банком Кыргызской Республики», утвержденном вышеуказанным постановлением: 

- в пункте 2.4.2 слова «сотрудника банка» исключить;  

- в пункте 3.3 после слов «ежегодному аудиту,» дополнить словами «в том числе аудиту информационной системы банка раз в три года»; 

- пункт 3.4.1 дополнить подпунктом шесть следующего содержания: 

«(6) Осуществить анализ и оценку соответствия информационных систем (ИС) банка требованиям: 

а) международного стандарта COBIT (Control Objectives for Information and related Technology) и ISO 27001; 

б) Национального банка, в части информационной безопасности банка; 

в) внутренних политик/процедур информационных систем банка, утвержденные Высшим руководством банка.»; 

- Раздел ІІІ дополнить пунктами 3.4.2 и 3.8.3 следующего содержания: 

«3.4.2. При проведении внешнего аудита ИС, как минимум, необходимо: 

а) изучить внутренние нормативные документы по обеспечению информационной безопасности на предмет их достаточности и соответствия требованиям законодательства КР и нормативным актам Национального банка;  

б) изучить стратегические и бизнес-планы, политики и процедуры по управлению рисками ИС в целях оценки их адекватности, достаточности, актуальности; 

в) определить ИТ-процессы организационной структуры и взаимосвязей информационной системы; 

г) оценить систему управления качеством ИТ -процессов и систему управления операционными рисками; 

д) оценить обеспечения непрерывности деятельности ИС и планов восстановления ИС в случае чрезвычайной ситуации; 

е) оценить уровень обеспечения безопасности на уровне сети, операционной системы, приложений и баз данных, персонала и физической безопасности; 

ж) рассмотреть степень защищенности информационных систем в филиалах; 

з) оценить систему управления доступом и распределения ролей в автоматизированных системах; 

и) оценить систему управления компетенциями персонала банка в области информационной безопасности. Оценить компетенции персонала ответственного за обеспечение информационной безопасности; 

к) рассмотреть вопросы уязвимостей в используемом программном обеспечении (лицензии, обновления).»; 

«3.8.3. Штатные или привлеченные аудиторы информационных систем аудиторской компании должны обладать: 

- квалификационным сертификатом CISA; 

- опытом аудита информационных систем финансово-кредитных учреждениях.»; 

- пункт 5.3 дополнить абзацем восьмым следующего содержания: 

«- оценки системы управления рисками ИС, как категории операционного риска.»; 

- в пунктах 3.8.1., 3.8.2. и 3.13. сноски (3), (4) и (5) заменить на (2); 

- сноски 3, 4 и 5 признать утратившим силу.  

 

 

№ 

Действующая редакция 

Окончательная редакция 

1.  

2.4. Аудиторская организация или аудиторы, участвующие в аудите банка, или привлеченные аудиторы, участвующие в аудите банка, не считаются независимыми от банка, если они являются или являлись в течение двух последних лет:  

… 

2.4.2. Деловым партнером (имеющим деловые отношения) любого инсайдера, члена Совета директоров, Шариатского совета, Правления, сотрудника банка, члена Комитета по аудиту банка или любого аффилированного лица банка;  

... 

2.4. Аудиторская организация или аудиторы, участвующие в аудите банка, или привлеченные аудиторы, участвующие в аудите банка, не считаются независимыми от банка, если они являются или являлись в течение двух последних лет:  

… 

2.4.2. Деловым партнером (имеющим деловые отношения) любого инсайдера, члена Совета директоров, Шариатского совета, Правления, сотрудника банка, члена Комитета по аудиту банка или любого аффилированного лица банка;  

… 

2.  

3.3. Банки, банковская холдинговая компания (материнская компания) значительная дочерняя компания банка или банковской холдинговой компании, представляющие собой аудируемую группу, подвергаются ежегодному аудиту, независимой аудиторской организацией (внешним аудитором),имеющей лицензию на проведение аудиторской проверки в соответствии с законодательством Кыргызской Республики об аудиторской деятельности и удовлетворяющей требованиям настоящего Положения.  

3.3. Банки, банковская холдинговая компания (материнская компания) значительная дочерняя компания банка или банковской холдинговой компании, представляющие собой аудируемую группу, подвергаются ежегодному аудиту, в том числе аудиту информационной системы банка раз в 3 года, независимой аудиторской организацией (внешним аудитором), имеющей лицензию на проведение аудиторской проверки в соответствии с законодательством Кыргызской Республики об аудиторской деятельности и удовлетворяющей требованиям настоящего Положения.  

3.  

 

Подпункт 3.4.1. пункта 3.4. дополнить текстом следующего содержания: 

(6) Осуществить анализ и оценку соответствия информационных систем (ИС) банка требованиям: 

а) международного стандарта COBIT (Control Objectives for Information and related Technology) и ISO 27001; 

б) Национального банка, в части информационной безопасности банка; 

в) внутренних политик/процедур информационных систем банка, утвержденные Высшим руководством банка. 

Пункт 3.4 дополнить подпунктом 3.4.2. следующего содержания: 

3.4.2. При проведении внешнего аудита ИС, как минимум, необходимо: 

а) изучить внутренние нормативные документы по обеспечению информационной безопасности на предмет их достаточности и соответствия требованиям законодательства КР и нормативным актам Национального банка;  

б) изучить стратегические и бизнес-планы, политики и процедуры по управлению рисками ИС в целях оценки их адекватности, достаточности, актуальности; 

в) определить ИТ-процессы организационной структуры и взаимосвязей информационной системы; 

в) оценить систему управления качеством ИТ-процессов и систему управления операционными рисками; 

г) оценить обеспечения непрерывности деятельности ИС и планов восстановления ИС в случае чрезвычайной ситуации; 

д) оценить уровень обеспечения безопасности на уровне сети, операционной системы, приложений и баз данных, персонала и физической безопасности; 

е) рассмотреть степень защищенности информационных систем в филиалах; 

ж) оценить систему управления доступом и распределения ролей в автоматизированных системах; 

з) оценить систему управления компетенциями персонала банка в области информационной безопасности. Оценить компетенции персонала ответственного за обеспечение информационной безопасности; 

и) рассмотреть вопросы уязвимостей в используемом программном обеспечении (лицензии, обновления). 

4.  

 

Пункт 3.8 дополнить подпунктом 3.8.3. следующего содержания: 

3.8.3. Штатные или привлеченные аудиторы информационных систем аудиторской компании должны обладать: 

- квалификационным сертификатом CISA; 

- опытом аудита информационных систем финансово-кредитных учреждениях. 

5.  

5.3. Внешний аудит банков не отменяет и не заменяет осуществление банковского надзора за деятельностью банков со стороны Национального банка.  

К инспекционной проверке деятельности банков и их филиалов Национальным банком Кыргызской Республики в случае необходимости может привлекаться независимая аудиторская организация и/или индивидуальный аудитор на договорной основе для выполнения:  

- обзора методов, используемых банком для составления регулятивных отчетов;  

- оценки адекватности управления и системы внутреннего контроля;  

- оценки системы внутреннего контроля (включая службу внутреннего аудита);  

- оценки следования принципам Международных стандартов финансовой отчетности, стандартам, утвержденным Организацией бухгалтерского учета и аудита для исламских финансовых институтов; 

- оценки соответствия деятельности банка требованиям законодательства Кыргызской Республики и нормативным актам Национального банка и др.  

Подпункт 5.3 дополнить абзацем 7 следующего содержания: 

5.3. Внешний аудит банков не отменяет и не заменяет осуществление банковского надзора за деятельностью банков со стороны Национального банка.  

К инспекционной проверке деятельности банков и их филиалов Национальным банком Кыргызской Республики в случае необходимости может привлекаться независимая аудиторская организация и/или индивидуальный аудитор на договорной основе для выполнения:  

- обзора методов, используемых банком для составления регулятивных отчетов;  

- оценки адекватности управления и системы внутреннего контроля;  

- оценки системы внутреннего контроля (включая службу внутреннего аудита);  

- оценки следования принципам Международных стандартов финансовой отчетности, стандартам, утвержденным Организацией бухгалтерского учета и аудита для исламских финансовых институтов; 

- оценки соответствия деятельности банка требованиям законодательства Кыргызской Республики и нормативным актам Национального банка и др; 

- оценки системы управления рисками ИС, как категории операционного риска. 

6.  

 

сноски со 2 по 5 предлагаем объединить в одну, поскольку они являются идентичными.