Вследствие этого (в части противодействия возможной ППД) структуру управления кредитной организации целесообразно сформировать таким образом, чтобы как минимум были гарантированы:
Разделение обязанностей, то есть наличие средств, которые гарантировали бы, чтобы те, кто управляет активами, не отвечали за контроль над соответствующими действиями, целостность записей об этом и не были связаны с собственно осуществлением транзакций. Обычно для этого проверяются совместно идентификация, аутентификация и авторизация пользователей (независимо от того, о ком конкретно идет речь: клиентах, операторах, операционистах, администраторах и пр.). Речь идет о грамотном разделении функций управления и контроля, а их не всегда легко определить (как, к примеру, в случае разработки и эксплуатации ПИО в банках).
Компетентность и ответственность персонала, поскольку контроль будет эффективным, только если те, кто его осуществляют, будут иметь необходимую квалификацию и при этом еще будут честными. Это означает, что в современных условиях информатизации, обусловливающих наличие высокой степени риска, недостаточно просто назначить специалистов для исполнения обязанностей, но требуется понимать, что заложенные в автоматизированные системы средства контроля должны действовать именно так, как предполагалось (и к тому же их нельзя было «обойти»).
Должный уровень полномочий ввиду того, что как отмечалось выше, типичной ошибкой в управленческих структурах является чрезмерная концентрация полномочий. Полномочия должны распределяться исключительно в границах необходимости их наличия. Очевидно, это требует от тех должностных лиц, которые управляют распределением полномочий, понимания того, какие существуют уровни полномочий и какие из них требуются в каждом конкретном случае. Здесь также должно действовать ограничение типа «необходимо знать» (то есть не более, чем требуется).
Регистрируемость, которая означает требование наличия средств контроля для регистрации всех решений, транзакций и действий, которые позволят определить, кто, что, когда делал, с должным уровнем уверенности. Как правило, для этого используются специальные компьютерные журналы (файлы — так называемые системные логи и аудиторские трейлы). Само по себе поддержание таких компьютерных журналов ничего особенно не гарантирует, поскольку их наличие может создать в организации ложное чувство безопасности. Поэтому, для того чтобы такие записи оставались эффективными, они должны регулярно тщательно пересматриваться на предмет их адекватности с принятием необходимых корректирующих мер.