Комплаенс в сфере информационных технологий, применяемых кредитными организациями

В настоящей статье автор исследует новый вид комплаенса (внутреннего контроля) на примере кредитной организации - информационно-технологический комплаенс. В статье дано авторское определение термина «информационно-технологический комплаенс». Кроме того, автором выявлены основные отличия информационно-технологического комплаенса от деятельности лица (сотрудника кредитной организации), ответственного за организацию обработки персональных данных, и сотрудников подразделений информационной безопасности кредитной организации. В статье рассмотрены основные направления деятельности подразделения информационно-технологического комплаенса, включая правовой и регуляторный анализ имплементации компанией новых информационных технологий; оценка и мониторинг регуляторного риска в сфере внедрения и использования информационных технологий и некоторые другие. В заключение автор предполагает, что информационно-технологический комплаенс в сравнительно скором будущем может стать объектом особого внимания со стороны регулятора в лице Банка России с последующим введением регуляторных требований, связанных с квалификацией соответствующих сотрудников и обязательными направлениями их деятельности.

In this article, the author explores a new type of compliance (internal control) on the example of a credit institution - information technology compliance. The author's definition of the term “Technology compliance” is given in the article. In addition, the author has identified the main differences between technology compliance and the activities of the person (employee of a credit institution) responsible for organizing the processing of personal data and employees of information security units of a credit institution. The article discusses the main activities of the technology compliance unit, including legal and regulatory analysis of the company's implementation of new information technologies; assessment and monitoring of regulatory risk in the field of implementation and use of technologies, and some others. In conclusion, the author suggests that technology compliance in the relatively near future may become the object of special attention from the regulator in the person of the Bank of Russia, followed by the introduction of regulatory requirements related to the qualifications of relevant employees and mandatory areas of their activities.