Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Основная проблема с операционной деятельность в виртуальном пространстве заключается в том, что, после того как клиент открыл счет, кредитной организации оказывается затруднительно определить, проводит ли конкретную транзакцию именно официально зарегистрированный владелец счета, а иногда даже понять, имеет ли экономический смысл проводимая операция (и вообще имеет ли место операция как таковая). Тем самым проблема ФМ (оперативного контроля) усложняется многократно. Поэтому во многих странах выпущены специальные руководства по ПОД/ФТ, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности [167] .
167
Эта
Следует отметить, что само понятие «виртуальность» используется не случайно — то физическое пространство, которое соответствует ИКБД в случае, например, интернет-банкинга, реально формируется только на то время, пока идут сеансы связи между различными распределенными «по всему миру» web-серверами, шлюзами, маршрутизаторами, коммутаторами и другими компонентами этого контура. По завершении каждого сеанса, точнее, после прохождения маршрута одним или несколькими пакетами данных такое физическое пространство видоизменяется (все они могут проходить разными маршрутами), и о том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия в соответствии с теми или иными командами (предположительно известных, официально зарегистрированных личностей и/или систем/серверов), а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях файлов компьютерных журналов, которые предназначены для регистрации системных событий (если таковые, кстати, вообще ведутся в системах электронного банкинга и банковских автоматизированных системах кредитной организации).
Многие современные электронные платежные инструменты характеризуются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с различными платежными системами, глобальностью действия и «автоматизированностью», т. е. применением так называемых «безлюдных» технологий. Эти особенности снижают эффективность таких традиционных методов ПОД/ФТ, как требование установления личности клиента, отслеживания и анализа содержания операций, предоставления той или иной дополнительной информации и т. п. Пока что в борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле. К примеру, устанавливаются требования увеличения видов и объема подлежащих фиксации данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов проведения расследований подозрительных ситуаций. Таким образом, основная в этом случае задача следования кредитными организациями принципу «знай своего клиента» оказалась при работе в киберпространстве довольно сложной.
Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Появление технологий электронного банкинга как таковое переводит банковские операции в такую форму, когда реальные, скажем, первичные документы, т. е. представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Собственно-то банковские операции совершаются, естественно, на уровне физическом, но, так сказать, «внечувственном». Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.
Вследствие сказанного важно подчеркнуть, что в современных условиях и в ближайшей перспективе контролирующим предоставление финансовых услуг органам требуются от кредитных организаций гарантии соответствия организации и содержания процесса ФМ (ПОД/ ФТ) способам и условиям осуществления ими своей банковской деятельности. Для предоставления гарантий такого рода кредитным организациям полезно прежде всего располагать внутренними документами (начиная с УБР), в которых было бы четко выражено понимание ими специфики ситуации осуществления ФМ на фоне новых банковских информационных технологий, описание используемого для него ПИО, увязка стратегических планов развития ДБО с необходимостью дальнейшего совершенствования ПОД/ФТ, а в вариантах массового ДБО — учет требований, возможно, связанных с работой в РМВ.
Полные и однозначные рекомендации относительно того, как организовывать специальные процедуры подтверждения идентичности клиентов и аутентичности информационного обмена, до настоящего времени для разных вариантов ДБО не разработаны. Из этого следует, что начиная с внедрения первой же ТЭБ руководству кредитных организаций целесообразно разрабатывать и внедрять процедуры такого рода еще до перехода к физической обработке ордеров и транзакций удаленных клиентов. Варианты их могут быть различны, зачастую для регулярной идентификации дистанционно работающих клиентов используются типовые правила обновления идентифицирующих и аутентифицирующих данных (такой процесс может быть реализован совершенно «естественно»). Вместе с тем на первый план выходят компьютерная грамотность и информированность клиентов кредитной организации, а значит, ее руководству логично было бы предусмотреть:
1) изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п.;
2) организацию процесса доведения необходимой информации до клиентов ДБО, например, через офисы, web-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д.;
3) адаптацию процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.
Все перечисленное позволит предотвратить или, как минимум, серьезно затруднить незаметное использование кредитных организаций в качестве посредников для трансфера или хранения незаконных доходов с использованием новых банковских информационных технологий. Важно, чтобы осознавалось возможное устаревание технологии ФМ и реализующих ее методов и средств по мере внедрения новых видов банковских услуг и развития автоматизации банковской деятельности, а также регулярно (или, как минимум, по мере внедрения каждой новой СЭБ) оценивалась потребность в их модернизации. Наличие в кредитной организации документов, в которых отражается описанный подход, а также возможность практической демонстрации внедренных в связи с переходом к ДБО процедур ФМ, снижают ее потенциальную подверженность компонентам правового и стратегического рисков.
Реализации упомянутых процедур в кредитных организациях посвящен ряд документов Банка России, в частности упоминавшимся в главе 4 Положением 262-П предусмотрено, что:
«2.9. Кредитная организация оценивает степень (уровень) Риска с учетом следующих операций повышенной степени (уровня) Риска: <…>
2.9.11. Осуществление банковских операций и иных сделок с использованием интернет-технологий.
<…>
2.10. Кредитная организация должна уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) Риска».
Необходимо отметить, что проблема заключается не в самих интернет-технологиях — это лишь один из вариантов ДБО и они упомянуты конкретно как наиболее распространенный в российском банковском секторе, а в том, для каких целей может быть использована любая технология ДБО. Практическое выполнение требований нормативных документов и рекомендаций предполагает прежде всего их фиксацию во внутренних документах кредитной организации (причем не ограничиваясь простым цитированием, как это нередко бывает), за которой в оптимальном варианте следует дополнение внутрибанковских процессов новыми процедурами в рамках процесса ФМ. Естественно, предполагается учет в них специфики каждой ТЭБ в связи с содержанием процессов УБР и ВК, а возможно и с работой СД кредитной организации.