Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей [165] . Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем» [166] . Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных
165
В зарубежной терминологии — vulnerability assessment.
166
Certified Information Systems Auditor и Certified Information Systems Manager.
– ’ Codeire D. Internal Audit; Davis C., Schiller М., Wheeler K. IT Auditing: Using Controls to Protect Information Assets.
В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:
над содержанием и ведением web-сайта, используемого кредитной организацией;
бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;
функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;
поставщиками программного обеспечения интернет-банкинга;
мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.
Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет-банкинга, используемого кредитной организацией.
Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.
В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):
разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;
контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;
регулярную проверку функциональности и надежности средств ВК, т. е. участие в эксплуатации и сопровождении автоматизированных систем, а также контроль над функционированием и состоянием аналогичных компьютерных систем провайдеров кредитной организации;
обеспечение адаптации мер по обеспечению управляемости и контролируемости ИКБД при модернизации автоматизированных систем и выводе их из эксплуатации и замене, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).
Эти процедуры, как и в случае адаптации ОИБ, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой кредитной организацией.
Точно так же «Положение о внутреннем контроле» (или его аналог) и связанные с ним внутрибанковские документы целесообразно пересматривать при внедрении каждой новой технологии электронного банкинга и реализующей ее системы и однозначно увязывать его содержание с содержанием «Положения об управлении банковскими рисками», включающего описания компонентов банковских рисков, ассоциируемых с электронным банкингом (как минимум операционного, правового, репутационного, неплатежеспособности и стратегического рисков). В «Положение о внутреннем контроле» кредитной организации целесообразно включить описание специальных функций контроля над управлением банковскими рисками, «привязав» их к конкретным системам электронного банкинга, а также над организацией ФМ и содержанием положения о его осуществлении в кредитной организации. Общая оценка значимости роли ВК с риск-ориентированных позиций в условиях применения и развития кредитными организациями технологий электронного банкинга может быть сформулирована следующим образом:
Недостатки в организации внутреннего контроля в условиях применения современных банковских информационных технологий могут оказаться наиболее серьезными источниками компонентов банковских рисков для кредитной организации и ее клиентов.
Новые информационные технологии и ассоциируемые с их применением в банковской деятельности потенциальные факторы возникновения источников компонентов банковских рисков «требуют» обеспечения гарантий адекватности ВК составу сложности и особенностям прежде всего технологий электронного банкинга, а также масштабам ДБО. Именно поэтому кредитным организациям, использующим в своей деятельности распределенные компьютерные технологии в «открытых системах», в условиях отсутствия (и невозможности) регламентации нормативными правовыми актами информатизации банковской деятельности необходимо разрабатывать новую индивидуальную методологию ее ВК начиная с применения ТЭБ. Кроме того, руководству высокотехнологичных кредитных организаций целесообразно помнить о том, что всегда остается вопрос: кто проверяет проверяющих?
5.6. Адаптация финансового мониторинга
Главное, что руководству высокотехнологичных кредитных организаций целесообразно учитывать при адаптации осуществления процесса ФМ к условиям электронного банкинга, это то, что применение таких технологий радикально изменяет характер взаимодействия между кредитными организациями и их клиентами, что может негативно повлиять на выполнение обязательств этих организаций перед контролирующими органами (очевидно, что в противном случае необходимости в ПОД/ФТ и ФМ не было бы). Если руководство кредитной организации, внедряющей ТЭБ, не придает должного значения этому факту и необходимость модернизации ФМ осознается недостаточно, то надежность (качество) процедур ФМ будет оцениваться заведомо неадекватно, следствием чего станет повышение банковских рисков: как минимум правового и стратегического, возможно, чрезмерное для этой организации. Чаще всего эти риски реализуются из-за скрытого вовлечения кредитной организации в противоправную деятельность, хотя имеют место и другие причины. Можно обоснованно говорить и о повышении своего рода «риска потери деловой репутации» в глазах ряда контролирующих органов, реализация которого всегда приводит к негативным последствиям для кредитной организации.
Более того, сложность осуществления ФМ в условиях применения технологий электронного банкинга и массового ДБО может возрасти настолько, что фактически потребуется формирование выделенного внутрибанковского процесса ФМ, приспосабливаемого к новым условиям банковской деятельности. Рост числа клиентов кредитной организации, обслуживаемых дистанционно, быстрое увеличение плотности потоков поступающих от них ордеров и предоставление им разнообразных каналов удаленного доступа к ее информационно-процессинговым ресурсам обусловливают возникновение потребности в автоматизированном анализе указанных потоков практически в реальном масштабе времени (РМВ). Для этого соответственно в дополнение к традиционному АПО банковской деятельности необходимо внедрять специализированное программно-информационное обеспечение (ПИО), позволяющее оперативно выявлять подпадающие под критерии ФМ ордера клиентов на выполнение банковских операций. Для сопровождения этого ПИО требуется обеспечение дополнительной квалификации для существующего персонала или формирование новой группы специалистов.
В последние годы рассматриваемые технологии стали достаточно активно использоваться для легализации доходов, полученных незаконным путем, совершения различных финансовых преступлений и другой противоправной деятельности, что заметно усложняет осуществление ПОД/ФТ. Что касается отмывания денег, то оно в последние годы по всему «цивилизованному миру» получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Во многих зарубежных публикациях отмечается, что в настоящее время имеет место неизбежное отставание законодательной базы от практики, регулирующей, в частности, новые банковские технологии и инструменты, что создает идеальные условия для их незаконного использования в целях отмывания денег. Отмеченная анонимность используется для такой противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или «мертвые души», а также так называемые «бумажные банки» (хотя на самом деле они скорее «виртуальные», т. е. не существующие реально, но имитируемые с помощью электронного документооборота) и т. п. Угрозы для кредитных организаций заключаются в том, что они могут оказаться незаметно вовлечены в незаконную деятельность со всеми вытекающими отсюда последствиями реализации компонентов правового, репутационного и стратегического рисков. Поэтому в области технологий электронного банкинга при изучении и анализе состава и структуры типичных банковских рисков акцент смещается с вида и содержания банковской деятельности в сторону организации и условий этой деятельности (с учетом особенностей новых способов ее осуществления с использованием ДБО).