Глава 1. Требования к системе внутреннего контроля бюро кредитных историй
Пункт 1.1 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.1. В соответствии с частью 2 2 статьи 10 Федерального закона от 30 декабря 2004 года N 218-ФЗ "О кредитных историях" (далее - Федеральный закон "О кредитных историях") бюро кредитных историй (далее - бюро) обязано организовать систему внутреннего контроля бюро.
Система внутреннего контроля бюро должна быть направлена на соблюдение бюро требований законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро, включая:
обеспечение достоверности, полноты, объективности и своевременности составления и представления бюро бухгалтерской (финансовой) и иной отчетности;
обеспечение защиты информации бюро, включая предотвращение не контролируемого бюро распространения информации ограниченного доступа (далее - утечка информации);
обеспечение эффективности финансово-хозяйственной деятельности бюро;
исключение вовлечения бюро и его работников в осуществление противоправной и недобросовестной деятельности;
исключение конфликтов интересов, возникающих при осуществлении бюро своих функций, в том числе выявление и контроль конфликта интересов, а также предотвращение его последствий.
Пункт 1.2 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.2. Система внутреннего контроля бюро должна обеспечивать:
осуществление бюро мероприятий, направленных на выявление, анализ, оценку, мониторинг риска возникновения у бюро расходов (убытков) и (или) иных неблагоприятных последствий в результате несоответствия его деятельности требованиям законодательства Российской Федерации, нормативных актов Банка России, учредительных и внутренних документов бюро и (или) риска применения в отношении бюро, его акционеров (участников) и лиц, осуществляющих контроль в отношении акционеров (участников) бюро мер воздействия со стороны Банка России или органов исполнительной власти (далее - регуляторный риск), а также управление указанным риском;
разработку бюро мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска, реализацию и (или) контроль выполнения указанных мероприятий;
осуществление бюро процедур предотвращения конфликта интересов;
осуществление бюро контроля исполнения предписаний (требований) Банка России;
ведение электронных журналов (протоколов), учитывающих каждое действие бюро, связанное с осуществлением деятельности бюро, и содержащих:
дату и время (до секунд) выполнения каждого действия бюро;
идентификаторы источника формирования кредитных историй, пользователя кредитных историй, бюро, субъекта кредитных историй и лиц, указанных в пунктах 3-7 части 1 статьи 6 Федерального закона "О кредитных историях" (Собрание законодательства Российской Федерации, 2005, N 1, ст. 44; 2020, N 31, ст. 5061) (далее при совместном упоминании - взаимодействующие лица), определяемые в соответствии с внутренними документами бюро;
исходящие и входящие идентификаторы запроса и ответа, направляемых каждым взаимодействующим лицом, содержащие дату и время (до секунд) отправления (поступления) и номер запроса и ответа.
1.3. Система внутреннего контроля бюро должна функционировать на постоянной основе.
1.4. В целях организации системы внутреннего контроля бюро должно разработать политику внутреннего контроля, содержащую основные принципы (подходы) к организации системы внутреннего контроля бюро, в том числе порядок осуществления внутреннего контроля, утверждаемую советом директоров (наблюдательным советом) бюро, а при его отсутствии - общим собранием акционеров (участников) бюро. По решению бюро политика внутреннего контроля может содержаться в одном или нескольких внутренних документах бюро.
Политика внутреннего контроля должна пересматриваться бюро не реже одного раза в год.
1.5. В рамках организации системы внутреннего контроля бюро обязано назначить контролера или сформировать отдельное структурное подразделение (далее - служба внутреннего контроля).
Контролер (служба внутреннего контроля) должен быть подотчетен (должна быть подотчетна):
в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии с абзацем вторым пункта 1.7 настоящего Положения - совету директоров (наблюдательному совету) бюро, а в случае его отсутствия - общему собранию акционеров (участников) бюро;
во всех остальных случаях - единоличному исполнительному органу бюро.
Контролер не должен одновременно являться контролером (работником службы внутреннего контроля) и (или) аудитором (работником службы внутреннего аудита) лиц, оказывающих профессиональные услуги на финансовом рынке, а также в некредитных финансовых организациях и (или) кредитных организациях.
Контролер (служба внутреннего контроля) выполняет функции, указанные в подпунктах 1.9.2-1.9.5 пункта 1.9 настоящего Положения, в случае отсутствия принятого бюро (за исключением квалифицированного бюро) решения об организации и осуществлении внутреннего аудита в соответствии абзацем вторым пункта 1.7 настоящего Положения.
1.6. В рамках осуществления внутреннего контроля контролер (служба внутреннего контроля) выполняет следующие функции:
1.6.1. осуществляет проверки по всем направлениям деятельности бюро, включая любые подразделения и их работников, а также бизнес-процессы и операции, выполняемые бюро;
1.6.2. выявляет конфликты интересов, анализирует соблюдение требований законодательства Российской Федерации к структуре собственности бюро и подготавливает предложения совету директоров (наблюдательному совету) бюро или общему собранию акционеров (участников) бюро по устранению выявленных нарушений и недостатков в части выявления конфликта интересов, соблюдения требований законодательства Российской Федерации к структуре собственности бюро;
Подпункт 1.6.3 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.3. организует процессы, направленные на выявление, анализ, оценку, мониторинг и управление регуляторным риском, в том числе разрабатывает и контролирует выполнение мероприятий, направленных на предупреждение и предотвращение последствий реализации регуляторного риска;
Подпункт 1.6.4 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.4. ведет учет событий, связанных с регуляторным риском;
Подпункт 1.6.5 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.5. определяет вероятность возникновения событий, связанных с регуляторным риском, и осуществляет количественную оценку возможных последствий, связанных с их возникновением;
Подпункт 1.6.6 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.6. осуществляет анализ новых сервисов и функций, внедряемых бюро, и планируемых способов их реализации на предмет наличия регуляторного риска;
1.6.7. осуществляет анализ соблюдения бюро прав взаимодействующих лиц в рамках осуществления деятельности бюро;
Подпункт 1.6.8 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.8. участвует в рассмотрении обращений (в том числе жалоб), запросов и заявлений, связанных с деятельностью бюро, в части выявления регуляторного риска, а также проводит анализ статистики указанных обращений, запросов и заявлений (при наличии);
Подпункт 1.6.9 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.9. осуществляет анализ проектов внутренних документов, связанных с осуществлением деятельности бюро, в целях выявления регуляторного риска;
Подпункт 1.6.10 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.6.10. информирует органы управления бюро, указанные в абзацах третьем и четвертом пункта 1.5 настоящего Положения, обо всех случаях, препятствующих осуществлению функций контролера (службы внутреннего контроля).
1.7. В рамках организации системы внутреннего контроля квалифицированное бюро обязано организовать и осуществлять внутренний аудит путем назначения внутреннего аудитора, либо создания отдельного структурного подразделения, либо привлечения независимой внешней организации на основании договора (далее при совместном упоминании - Внутренний аудитор).
Бюро (за исключением квалифицированных бюро) вправе принять решение об организации и осуществлении внутреннего аудита путем назначения Внутреннего аудитора. При принятии такого решения внутренний аудит бюро осуществляется в порядке, предусмотренном для квалифицированных бюро в соответствии с пунктами 1.8-1.10, 1.12 настоящего Положения.
1.8. В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить подчиненность и подотчетность Внутреннего аудитора совету директоров (наблюдательному совету) квалифицированного бюро, а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро.
Внутренний аудитор не должен принимать участие в проверке деятельности и функций, которые осуществлялись им в течение проверяемого периода и в течение двенадцати месяцев после завершения осуществления указанных деятельности и функций.
1.9. В рамках осуществления внутреннего контроля Внутренний аудитор выполняет следующие функции:
1.9.1. осуществляет оценку качества и эффективности функционирования системы внутреннего контроля и системы управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения;
1.9.2. осуществляет проверку и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности, предусмотренной законодательством Российской Федерации и нормативными актами Банка России, а также надежности (включая достоверность, полноту и своевременность) сбора и представления указанной отчетности;
1.9.3. осуществляет оценку экономической целесообразности и эффективности новых сервисов и функций в рамках осуществляемой квалифицированным бюро деятельности по итогам их внедрения (установления);
1.9.4. осуществляет оценку полноты и точности информации, отраженной в базе событий, указанной в подпункте 2.6.1 пункта 2.6 настоящего Положения, а также корректности ведения указанной базы;
1.9.5. осуществляет валидацию и верификацию информации, предоставляемой совету директоров (наблюдательному совету), а в случае его отсутствия - общему собранию акционеров (участников) квалифицированного бюро, в целях контроля за реализацией мероприятий в рамках организации системы управления рисками.
1.10. Для выполнения в рамках системы внутреннего контроля функций, установленных пунктом 1.9 настоящего Положения, Внутренний аудитор:
составляет план проведения проверок (внутреннего аудита) с учетом оценки рисков, изменений в системе внутреннего контроля квалифицированного бюро, системе управления рисками квалифицированного бюро, требования к которой установлены главой 2 настоящего Положения, а также с учетом периодичности проведения проверок направлений деятельности и (или) бизнес-процессов, и (или) структурных подразделений квалифицированного бюро, содержащий в том числе перечень объектов внутреннего аудита, подлежащих проверке, предмет проверок (если планом проведения проверок (внутреннего аудита) предполагается определить отдельные направления оценки объекта внутреннего аудита), календарный график проведения проверок;
составляет акты о результатах проведенных проверок (внутреннего аудита), в которых должны быть отражены основания проведения проверок (внутреннего аудита), сроки их проведения, выводы и рекомендации Внутреннего аудитора (в том числе в части определения сроков реализации рекомендаций по совершенствованию деятельности квалифицированного бюро и ответственных за реализацию указанных рекомендаций лиц);
составляет и направляет не реже одного раза в год отчеты о проведенных проверках (проведенном внутреннем аудите) квалифицированного бюро и ходе выполнения органами управления квалифицированного бюро рекомендаций по совершенствованию деятельности такого бюро (при наличии указанных рекомендаций), а также о случаях, препятствующих осуществлению Внутренним аудитором своих функций (при наличии указанных случаев), членам совета директоров (наблюдательного совета) квалифицированного бюро, а при отсутствии совета директоров (наблюдательного совета) - общему собранию акционеров (участников) квалифицированного бюро.
В рамках организации системы внутреннего контроля квалифицированное бюро должно обеспечить хранение указанных в абзацах втором - четвертом настоящего пункта документов в течение не менее пяти лет с даты их составления.
Пункт 1.11 изменен с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
Пункт 1.11 изменен с 1 января 2023 г. - Указание Банка России от 8 ноября 2022 г. N 6309-У
1.11. Система внутреннего контроля бюро должна предусматривать хранение следующих документов:
форм подтверждения пользователями кредитной истории наличия согласия субъекта кредитной истории на получение его кредитного отчета со дня их получения бюро - в течение одного года;
кредитных отчетов, предоставляемых по запросу пользователей кредитной истории (включая передаваемые сведения о среднемесячных платежах, индивидуальные рейтинги и скоринги субъектов кредитных историй) со дня их формирования - в течение одного года;
электронных журналов (протоколов), указанных в абзацах шестом - девятом пункта 1.2 настоящего Положения, в электронном виде и в формате, определенном бюро в своих внутренних документах, со дня формирования электронного журнала (протокола) по каждому действию - в течение трех лет.
Положение дополнено пунктом 1.11 1 с 1 марта 2025 г. - Указание Банка России от 27 июня 2024 г. N 6778-У
1.12. В рамках организации системы внутреннего контроля бюро должно обеспечивать выполнение контролером (службой внутреннего контроля) и Внутренним аудитором своих функций и решение поставленных задач без вмешательства со стороны иных структурных подразделений и работников бюро, исполнение структурными подразделениями и должностными лицами бюро требований контролера (службы внутреннего контроля) и Внутреннего аудитора, связанных с выполнением их функций, а также обеспечивать контролера (службу внутреннего контроля) и Внутреннего аудитора:
ресурсами (материальными, техническими, кадровыми), необходимыми и достаточными для достижения поставленных перед ними задач;
доступом к информации, необходимой для осуществления ими своих функций.