Каждый сотрудник банка ежегодно проходит обязательное обучение: противодействие отмыванию доходов и финансированию терроризма (ПОД/ФТ), информационная безопасность, продуктовое обучение, регуляторные изменения. В большинстве банков это сотни часов скучных видеолекций, которые сотрудники открывают фоном и кликают «следующий». Аттестация завалена. Регулятор недоволен. Безопасность нарушается. И всё повторяется в следующем году.

Что требует регулятор: конкретные нормы

Обязательное обучение в банковском секторе России определяется несколькими нормативными актами:

ПОД/ФТ (противодействие отмыванию доходов)

Основание: Федеральный закон №115-ФЗ от 07.08.2001 «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма» + Приказ Росфинмониторинга №203 от 03.08.2010 «О требованиях к подготовке и обучению кадров».

Что требуется:

• Целевой инструктаж при приёме — не менее 8 часов для сотрудников, работающих с клиентами и операциями
• Плановое обучение — не реже 1 раза в год для специалистов, не реже 1 раза в 3 года для руководителей
• Внеплановое обучение — при изменении законодательства по ПОД/ФТ (что происходит регулярно)

Информационная безопасность

Банки, работающие по ГОСТ Р ИСО/МЭК 27001, обязаны обеспечить систематическое обучение персонала в области ИБ. По требованиям Банка России (в том числе ГОСТ Р 57580.1-2017 «Безопасность финансовых операций») — ежегодный инструктаж для всех сотрудников, работающих с финансовыми данными.

Охрана труда

По Постановлению Правительства РФ №2464 от 24.12.2021: первичный инструктаж до начала работы, повторный — не реже 1 раза в 6 месяцев.

Суммарно: 40–80 часов обязательного обучения в год на каждого сотрудника. В банке на 300 человек — это 12 000–24 000 человеко-часов ежегодно.

Почему обучение по требованиям регулятора не работает

Проблема 1: Контент не для людей

Большинство курсов по ПОД/ФТ создаются юристами или регуляторами. Формат: 80 слайдов с текстом закона, потом 20 вопросов теста. Это не обучение. Это проверка способности прочитать нормативный документ.

Сотрудник запоминает не принцип — а формулировку, нужную для теста. Через 2 недели формулировка забыта, принцип так и не усвоен.

Проблема 2: Нет контекста «что это значит для моей работы»

Операционист за стойкой проходит курс по ПОД/ФТ. Там написано: «Обязательной идентификации подлежат клиенты при операциях свыше порогового значения». Что это значит для его реального рабочего дня — курс не объясняет.

Проблема 3: Мотивация нулевая

Сотрудник знает: курс нужно «закрыть». Не понять — закрыть. Открывает на втором мониторе, перематывает, кликает ответы наугад. Галочка стоит. Знаний нет.

Проблема 4: Нет персонализации

Операционист, кредитный аналитик и IT-специалист проходят один и тот же курс по информационной безопасности. Риски и обязанности у них принципиально разные — курс этого не учитывает.

Актуальность проблемы подтверждают данные Verizon Data Breach Investigations Report 2024: 68% утечек данных по всему миру связаны с человеческим фактором — ошибками персонала, фишингом, социальной инженерией. Формальное прохождение инструктажа этот риск не снижает.

Как сделать обязательное обучение, которое работает

Принцип 1: Контекстуализация под роль

Не один курс по ПОД/ФТ для всех — три версии для трёх ролей. Операционист учит, что делать при подозрительной транзакции на кассе. Аналитик — как проверять контрагентов. Руководитель — как выстраивать контроль в отделе. Одна тема, три курса, три правильных аудитории.

Принцип 2: Сценарии вместо определений

Вместо «Признаки подозрительной операции (перечень)» — «Клиент пришёл с большой суммой наличных и не может объяснить происхождение. Ваши действия?». Сценарное обучение строится на реальных ситуациях, которые сотрудник запомнит и применит на практике.

Принцип 3: Короткие модули + регулярное повторение

Один большой курс раз в год — низкая усвояемость. Лучше: 12 коротких модулей по 20–30 минут в течение года. Каждый привязан к актуальной теме: обновлению законодательства, реальному инциденту в индустрии, новому продукту. Годовой объём часов при этом остаётся в пределах нормативных требований.

Принцип 4: Аттестация без «угадывания»

Формирование тестов из расширенного банка вопросов исключает возможность запомнить правильные ответы. Каждая попытка — новый набор вопросов. Проверяется понимание, а не память.

Что реально меняется

Итог: обязательное обучение может быть эффективным

Требования регулятора не изменятся — они будут только ужесточаться. Вопрос в том, как выполнять их: формально (и нести риски инцидентов) или так, чтобы сотрудники действительно понимали, что делать в нестандартной ситуации.

Банк при системном подходе экономит время сотрудников, снижает риски инцидентов ИБ и ПОД/ФТ, проходит регуляторные проверки с полноценной документацией обучения.

Создадим обучение по требованиям регулятора для вашего банка

FLOW создаёт курсы по ПОД/ФТ и информационной безопасности с учётом требований российского регулятора. Все курсы экспортируются в SCORM 2004 — совместимо с любой LMS.

• Telegram: @flowup_by
• Сайт: flowup.by

Источники: Федеральный закон №115-ФЗ от 07.08.2001 «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма»; Приказ Росфинмониторинга №203 от 03.08.2010 «О требованиях к подготовке и обучению кадров организаций, осуществляющих операции с денежными средствами»; ГОСТ Р 57580.1-2017 «Безопасность финансовых операций»; Постановление Правительства РФ №2464 от 24.12.2021 «О порядке обучения по охране труда»; Verizon Data Breach Investigations Report 2024 (verizon.com).