Приложение
Изменения и дополнения в постановление Правления
Национального банка Кыргызской Республики «О Положении
«О минимальных требованиях к внешнему аудиту банков и
финансово-кредитных учреждений, лицензируемых Национальным банком Кыргызской Республики» от 14 июля 2005 года № 22/2
Внести в постановление Правления Национального банка Кыргызской Республики «О Положении «О минимальных требованиях к внешнему аудиту банков и финансово-кредитных учреждений, лицензируемых Национальным банком Кыргызской Республики» от 14 июля 2005 года № 22/2 следующие изменения и дополнения:
в Положение «О минимальных требованиях к внешнему аудиту банков и финансово-кредитных учреждений, лицензируемых Национальным банком Кыргызской Республики», утвержденном вышеуказанным постановлением:
- в пункте 2.4.2 слова «сотрудника банка» исключить;
- в пункте 3.3 после слов «ежегодному аудиту,» дополнить словами «в том числе аудиту информационной системы банка раз в три года»;
- пункт 3.4.1 дополнить подпунктом шесть следующего содержания:
«(6) Осуществить анализ и оценку соответствия информационных систем (ИС) банка требованиям:
а) международного стандарта COBIT (Control Objectives for Information and related Technology) и ISO 27001;
б) Национального банка, в части информационной безопасности банка;
в) внутренних политик/процедур информационных систем банка, утвержденные Высшим руководством банка.»;
- Раздел ІІІ дополнить пунктами 3.4.2 и 3.8.3 следующего содержания:
«3.4.2. При проведении внешнего аудита ИС, как минимум, необходимо:
а) изучить внутренние нормативные документы по обеспечению информационной безопасности на предмет их достаточности и соответствия требованиям законодательства КР и нормативным актам Национального банка;
б) изучить стратегические и бизнес-планы, политики и процедуры по управлению рисками ИС в целях оценки их адекватности, достаточности, актуальности;
в) определить ИТ-процессы организационной структуры и взаимосвязей информационной системы;
г) оценить систему управления качеством ИТ -процессов и систему управления операционными рисками;
д) оценить обеспечения непрерывности деятельности ИС и планов восстановления ИС в случае чрезвычайной ситуации;
е) оценить уровень обеспечения безопасности на уровне сети, операционной системы, приложений и баз данных, персонала и физической безопасности;
ж) рассмотреть степень защищенности информационных систем в филиалах;
з) оценить систему управления доступом и распределения ролей в автоматизированных системах;
и) оценить систему управления компетенциями персонала банка в области информационной безопасности. Оценить компетенции персонала ответственного за обеспечение информационной безопасности;
к) рассмотреть вопросы уязвимостей в используемом программном обеспечении (лицензии, обновления).»;
«3.8.3. Штатные или привлеченные аудиторы информационных систем аудиторской компании должны обладать:
- квалификационным сертификатом CISA;
- опытом аудита информационных систем финансово-кредитных учреждениях.»;
- пункт 5.3 дополнить абзацем восьмым следующего содержания:
«- оценки системы управления рисками ИС, как категории операционного риска.»;
- в пунктах 3.8.1., 3.8.2. и 3.13. сноски (3), (4) и (5) заменить на (2);
- сноски 3, 4 и 5 признать утратившим силу.
№ |
Действующая редакция |
Окончательная редакция |
1. |
2.4. Аудиторская организация или аудиторы, участвующие в аудите банка, или привлеченные аудиторы, участвующие в аудите банка, не считаются независимыми от банка, если они являются или являлись в течение двух последних лет: … 2.4.2. Деловым партнером (имеющим деловые отношения) любого инсайдера, члена Совета директоров, Шариатского совета, Правления, сотрудника банка, члена Комитета по аудиту банка или любого аффилированного лица банка; ... |
2.4. Аудиторская организация или аудиторы, участвующие в аудите банка, или привлеченные аудиторы, участвующие в аудите банка, не считаются независимыми от банка, если они являются или являлись в течение двух последних лет: … 2.4.2. Деловым партнером (имеющим деловые отношения) любого инсайдера, члена Совета директоров, Шариатского совета, Правления, сотрудника банка, члена Комитета по аудиту банка или любого аффилированного лица банка; … |
2. |
3.3. Банки, банковская холдинговая компания (материнская компания) значительная дочерняя компания банка или банковской холдинговой компании, представляющие собой аудируемую группу, подвергаются ежегодному аудиту, независимой аудиторской организацией (внешним аудитором),имеющей лицензию на проведение аудиторской проверки в соответствии с законодательством Кыргызской Республики об аудиторской деятельности и удовлетворяющей требованиям настоящего Положения. |
3.3. Банки, банковская холдинговая компания (материнская компания) значительная дочерняя компания банка или банковской холдинговой компании, представляющие собой аудируемую группу, подвергаются ежегодному аудиту, в том числе аудиту информационной системы банка раз в 3 года, независимой аудиторской организацией (внешним аудитором), имеющей лицензию на проведение аудиторской проверки в соответствии с законодательством Кыргызской Республики об аудиторской деятельности и удовлетворяющей требованиям настоящего Положения. |
3. |
|
Подпункт 3.4.1. пункта 3.4. дополнить текстом следующего содержания: (6) Осуществить анализ и оценку соответствия информационных систем (ИС) банка требованиям: а) международного стандарта COBIT (Control Objectives for Information and related Technology) и ISO 27001; б) Национального банка, в части информационной безопасности банка; в) внутренних политик/процедур информационных систем банка, утвержденные Высшим руководством банка. Пункт 3.4 дополнить подпунктом 3.4.2. следующего содержания: 3.4.2. При проведении внешнего аудита ИС, как минимум, необходимо: а) изучить внутренние нормативные документы по обеспечению информационной безопасности на предмет их достаточности и соответствия требованиям законодательства КР и нормативным актам Национального банка; б) изучить стратегические и бизнес-планы, политики и процедуры по управлению рисками ИС в целях оценки их адекватности, достаточности, актуальности; в) определить ИТ-процессы организационной структуры и взаимосвязей информационной системы; в) оценить систему управления качеством ИТ-процессов и систему управления операционными рисками; г) оценить обеспечения непрерывности деятельности ИС и планов восстановления ИС в случае чрезвычайной ситуации; д) оценить уровень обеспечения безопасности на уровне сети, операционной системы, приложений и баз данных, персонала и физической безопасности; е) рассмотреть степень защищенности информационных систем в филиалах; ж) оценить систему управления доступом и распределения ролей в автоматизированных системах; з) оценить систему управления компетенциями персонала банка в области информационной безопасности. Оценить компетенции персонала ответственного за обеспечение информационной безопасности; и) рассмотреть вопросы уязвимостей в используемом программном обеспечении (лицензии, обновления). |
4. |
|
Пункт 3.8 дополнить подпунктом 3.8.3. следующего содержания: 3.8.3. Штатные или привлеченные аудиторы информационных систем аудиторской компании должны обладать: - квалификационным сертификатом CISA; - опытом аудита информационных систем финансово-кредитных учреждениях. |
5. |
5.3. Внешний аудит банков не отменяет и не заменяет осуществление банковского надзора за деятельностью банков со стороны Национального банка. К инспекционной проверке деятельности банков и их филиалов Национальным банком Кыргызской Республики в случае необходимости может привлекаться независимая аудиторская организация и/или индивидуальный аудитор на договорной основе для выполнения: - обзора методов, используемых банком для составления регулятивных отчетов; - оценки адекватности управления и системы внутреннего контроля; - оценки системы внутреннего контроля (включая службу внутреннего аудита); - оценки следования принципам Международных стандартов финансовой отчетности, стандартам, утвержденным Организацией бухгалтерского учета и аудита для исламских финансовых институтов; - оценки соответствия деятельности банка требованиям законодательства Кыргызской Республики и нормативным актам Национального банка и др. |
Подпункт 5.3 дополнить абзацем 7 следующего содержания: 5.3. Внешний аудит банков не отменяет и не заменяет осуществление банковского надзора за деятельностью банков со стороны Национального банка. К инспекционной проверке деятельности банков и их филиалов Национальным банком Кыргызской Республики в случае необходимости может привлекаться независимая аудиторская организация и/или индивидуальный аудитор на договорной основе для выполнения: - обзора методов, используемых банком для составления регулятивных отчетов; - оценки адекватности управления и системы внутреннего контроля; - оценки системы внутреннего контроля (включая службу внутреннего аудита); - оценки следования принципам Международных стандартов финансовой отчетности, стандартам, утвержденным Организацией бухгалтерского учета и аудита для исламских финансовых институтов; - оценки соответствия деятельности банка требованиям законодательства Кыргызской Республики и нормативным актам Национального банка и др; - оценки системы управления рисками ИС, как категории операционного риска. |
6. |
|
сноски со 2 по 5 предлагаем объединить в одну, поскольку они являются идентичными. |