Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
2. Процесс УБР необходимо пересматривать ввиду появления большого числа не существовавших ранее источников компонентов банковских рисков, для воздействия на которые требуются новые процедуры, поддерживаемые рядом подразделений кредитной организации. На уровне мета-процесса формируются дополнительные схемы и механизмы взаимодействия между ними и предусматриваются дополнительные процедуры и функции в работе этих подразделений, ориентированные на подавление влияния таких источников.
3. Подразделение ИТ кредитной организации должно осваивать новую информационную технологию и СЭБ, реализующую внедряемую ТЭБ, обеспечивая то и другое в части аппаратно-программных средств (с учетом резервирования и ОИБ) и новой технической документации, включая руководства для клиентов ДБО и персонала подразделений организации. При этом учитывается необходимость повышения квалификации персонала, участие в составлении текстов договоров на ДБО
4. Служба ОИБ должна предусмотреть дополнительные меры по защите банковских автоматизированных систем кредитной организации и формированию ее периметра безопасности, включая внесение изменений в документы по ОИБ, внедрение соответствующего АЛО и разработку новых внутрибанковских документов, а также участие в составлении текстов договоров на ДБО и взаимодействии с провайдерами. Совместно со службами ИТ и ВК разрабатываются дополнительные программы и методики проверок ОИБ.
5. Служба ВК должна обеспечить наличие совокупной квалификации, необходимой для контроля использования и функционирования новой АС в кредитной организации, освоить внедряемую ТЭБ, разработать дополнительные программы и методики проверок, включая контроль процесса УБР, и формы отчетов для руководства, а совместно со службами ИТ и ОИБ — программы и методики проверок, контроля над провайдерами и SLA, планами действий на случай чрезвычайных обстоятельств, а также текстов договоров на ДБО.
6. Необходим учет особенностей электронного банкинга в документах кредитной организации, относящихся к ФМ или, как чаще говорят, «противодействию отмыванию денег и финансированию терроризма» (ПОД/ФТ) [106] , равно как и модернизация самого этого процесса с участием служб ИТ, ВК, экономической безопасности и юридического обеспечения банковской деятельности. При этом предусматривается разработка новых процедур взаимодействия с клиентами в соответствии с требованиями Банка России.
106
В соответствии с Федеральным законом от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», хотя тематика ФМ в кредитных организациях должна трактоваться существенно шире (см. параграф 5.6).
7. Модернизация юридического обеспечения банковской деятельности кредитной организации должна охватывать приобретение новой квалификации, связанной с особенностями внедряемой ТЭБ, участие в составлении текстов договоров с клиентами ДБО и провайдерами, приведение внутрибанковского документарного обеспечения в соответствие с новыми условиями банковской деятельности, а комплайенс-контроля и претензионной работы — с применением СЭБ (совместно со службами ИТ, ОИБ и ВК/ФМ).
8. Необходимо совершенствование взаимодействия сервис-центра кредитной организации с клиентами ДБО за счет освоения его сотрудниками содержания и условий обеспечения нового направления банковской деятельности и формирования механизмов получения ими от других структурных подразделений информации о функционировании СЭБ в ее связи с БАС, а также дополнительного направления претензионной работы в связи с возможными спорными или конфликтными ситуациями, включая SLA с провайдерами.
9. Планы действий на случай чрезвычайных обстоятельств необходимо дополнить разделом, описывающим новые возможные угрозы надежности банковской деятельности, обусловленные форс-мажорными и другими ситуациями, которые могут привести к прерыванию ДБО, нарушению целостности, доступности или конфиденциальности банковских и клиентских данных, а также порядком восстановления функционирования СЭБ в ее связи с БАС кредитной организации, включая информирование клиентов об инцидентах.
10. Должно быть организовано взаимодействие с провайдерами с определением SIAh анализом в кредитной организации возникающих зависимостей, которые также следует описывать как в части управления сопутствующими компонентами банковских рисков, так и в части принятия мер по предупреждению их реализации и по резервированию аутсорсинга с учетом обеспечения возможностей перехода в чрезвычайных ситуациях на резервные средства и предоставления клиентам ДБО резервных вариантов взаимодействия.
Руководство успешной высокотехнологичной кредитной организации не может не осознавать значимости документарного обеспечения меняющейся, технологически и технически усложняющейся банковской деятельности. По существу, в ходе пересмотра содержания внутрибанковских документов и адаптации их к новым условиям руководством кредитной организации одновременно решаются задачи адаптации общебанковских процессов управления к применению новой банковской информационной технологии и контроля ее использования персоналом данной организации и ее клиентами, пользующимися ДБО. Важно подчеркнуть, кстати, что оценка уровней (качества) обоих этих процессов (менеджмента в целом) представителями контролирующих органов чаще и прежде всего основывается на результатах оценки степени соответствия документарного обеспечения кредитной организации содержанию, характеру и масштабам ее банковской деятельности. В интересах руководства такой организации для получения положительного «мотивированного заключения» относительно качества ее корпоративного управления (по результатам изучения организации ее деятельности) необходимо внимательно относиться к содержанию внутрибанковской документации, своевременно обновляя ее при внедрении очередной ТЭБ для ДБО.
5.2. Адаптация управления банковскими рисками
Внедрение ТЭБ оказывается, как показывает практика, весьма нетривиальной задачей, которая хотя и имеет известные решения, но во многом отличается от базовой задачи автоматизации банковской деятельности, давно уже ставшей типовой, и обусловливается это во многом возникновением новых разновидностей компонентов банковских рисков. Основные проблемы при этом связаны не с внедрением каких-либо принципиально новых банковских автоматизированных систем, а с тем, что применение систем ДБО переводит предоставление банковских услуг в виртуальное пространство, скрывающее друг от друга кредитные организации и их клиентов, существующее лишь в отдельные кванты времени в конкретных электронных устройствах и линиях связи ИКБД и открывающее стороны их информационного взаимодействия для угроз, реализуемых через это пространство новыми, неизвестными ранее способами. Специфика этого пространства заключается и в его многообразии: Интернет, «эфир» (радиосвязь), кабельные соединения, компьютерные системы провайдеров кредитных организаций, входящих в ИКБД, и т. п. Несмотря на то что идея ДБО является общей для всех технологий такого рода, пока еще нельзя считать, что кредитные организации и их клиенты полностью осознают специфику разных вариантов реализации ДБО с учетом сопутствующих факторов риска и парирования их влияния.
Внедрение кредитной организацией любой ТЭБ и «выход» ее в мировую Сеть приводят к возникновению факторов риска, связанных с базовыми принципами, лежащими в основе применения открытых систем. Поэтому становятся необходимы анализ и оценка компонентов банковских рисков, принимаемых кредитной организацией в связи с использованием ДБО, адекватные сложности и особенностям каждой из таких технологий. Прежде всего требуется осознание того, что потоки данных, передаваемых, получаемых и хранимых в процессе банковской деятельности, представляют собой сведения о тех или иных информационных активах кредитной организации и об инструкциях, описывающих управление этими активами. Это означает, что виды угроз надежности банковской деятельности и способы их реализации радикально отличаются от своих аналогов в традиционной банковской деятельности (например, способы мошенничеств и хищения денежных средств, являющихся главным информационным активом современной кредитной организации, с помощью способов НСД, разновидностей сетевых атак и т. п.).
Все угрозы, ассоциируемые с ИКБД, должны учитываться при планировании, реализации и обеспечении внутрибанковских процессов и процедур; при этом целесообразно определять, какие из них являются внешними, а какие — внутренними, и приводить их описания в документах, регламентирующих процесс УБР и, возможно, процесс ОИБ (дублирование предпочтительнее, но тогда необходимо контролировать идентичность описаний). В число таких угроз входят мошенничества, вредительство, ошибки, сбои, отказы, аварии, катастрофы, НСД (проникновения и взломы) и т. п.
При оптимальном (с точки зрения автора) подходе к внедрению ТЭБ процесс УБР в кредитной организации необходимо пересматривать первым из всех внутрибанковских процессов, подлежащих адаптации. К сожалению, в российском банковском секторе этому процессу исторически не принято уделять серьезного внимания не только в связи с внедрением новых информационных технологий, но и, как показывает многолетнее практическое изучение организации банковской деятельности, независимо от каких бы то ни было информационных технологий вообще. Это и становится причиной непредвиденной реализации возникающих компонентов типичных банковских рисков, превентивный анализ возможностей возникновения которых не проводился перед вводом СЭБ в эксплуатацию (а лучше еще при выборе ТЭБ).