Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Для иллюстрации проявления такой специфики в варианте интернет-банкинга на рис. 5.8 приведена карикатура (с www. cartoonbank.com), которая, по мнению автора, лаконично и точно отражает суть рассматриваемой проблематики.
При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию интернет-банкинга. Поэтому кредитной организации целесообразно разработать, документировать и внедрить дополнительные процедуры подтверждения идентичности клиентов ДБО с тем, чтобы они после заключения соглашения на ДБО не исчезали из ее «поля зрения» и одновременно выполнялись установленные нормативными правовыми актами требования к дальнейшей работе с такими клиентами. Мероприятия такого рода в свою очередь будут иметь значение для контролирующих органов в плане подтверждения «отнесения» клиентов ДБО к «повышенной степени (уровню) Риска», как сказано в Положении 262-П.
Кроме того, специалистам кредитных организаций желательно располагать моделями возможной противоправной деятельности, так называемыми шаблонами или «образами» [168] . Типичные мошеннические приемы, реализуемые с помощью технологий электронного банкинга, достаточно хорошо известны и при должном внимании могут быть парированы без угроз для других клиентов кредитной организации и ее самой. В число признаков, помимо установленных законодательно, обычно входят имитация поставок товаров и услуг с задержкой (а затем с отсутствием) предоставления подтверждающих документов (включая авансовые платежи), проведение последовательных операций сомнительного характера в сжатые интервалы времени, переводы на счета за рубежом и др. Банк России в ряде своих писем дал рекомендации кредитным организациям по усилению контроля над операциями, совершаемыми с помощью средств ДБО [169] . Для этого могут дополнительно использоваться прямые и косвенные процедуры, как входящие в их типовой набор, например, подтверждение нахождения клиента по его юридическому или фактическому адресу, так и те, которые кредитная организация определяет самостоятельно — замена средств идентификации, доступа к СЭБ или криптозащиты трафика.
168
В зарубежной терминологии — pattern.
169
Например, письма Банка России от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)», от 13 марта 2008 г. № 24-Т «О повышении эффективности работы по предотвращению сомнительных операций», от 3 сентября 2008 г. № 111-Т «О повышении эффективности работы по предотвращению сомнительных операций клиентов кредитных организаций» и др.
Здесь надо отметить еще и подходы к организации приема и обработки ордеров клиентов ДБО в автоматизированных системах кредитных организаций. Некоторые наблюдения свидетельствуют о том, что за последние годы стала проявляться своеобразная тенденция роста доли банковских операций, относящихся к категории подлежащих обязательному контролю и совершенных с применением систем ДБО, в сопоставлении с долей клиентов кредитных организаций, пользующихся системами электронного банкинга. Даже если доля последних составляет всего 1,5–3 % от общего количества клиентов, они могут давать более половины поводов для отнесения совершаемых по их ордерам операций к указанной категории. Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеет ли место «крен» такого рода, и, возможно, более внимательно относиться к клиентам ДБО, если возникают подозрения в попытках противоправно воспользоваться отмечавшимися ранее особенностями киберпространства. Однако во многих случаях при передаче потоков данных из СЭБ в БАС ордера клиентов «очищаются» от сеансовой информации, позволяющей установить, через какой канал информационного взаимодействия обращался клиент, а потеря таких признаков не позволяет осуществить даже элементарный статистический анализ в интересах ФМ (или в целях ПОД/ФТ).
В дополнение к этому логично сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее «отвлеченных» формах на кредитную организацию с точки зрения контролирующих органов. Принцип «знай своего клиента» (ЗСК) хорошо известен банковскому сообществу по тем же публикациям БКБН, однако в последние годы этот комитет стал уделять ему повышенное внимание в разных отношениях, что связано с усиливающейся тенденцией к использованию систем ДБО для противоправной деятельности. Как пишет БКБН в ряде своих материалов, «банки, не имеющие адекватных программ управления риском, связанным с принципом „знай своего клиента“ [170] , подвержены значительным рискам, в особенности правовому и репутационному». Поэтому здесь же указывается, что «приятие эффективных стандартов ЗСК представляет собой существенную часть банковской практики управления рисками». Учитывая возможные затруднения с идентификацией клиентов и комплексным анализом их деятельности в многофилиальных структурах, особенно в связи с ДБО, БКБН пропагандирует так называемое «консолидированное управление риском, связанным с клиентами», в связи с чем особый акцент делается на так называемом «групповом подходе» при соблюдения принципа ЗСК [171] .
170
Bank for International Settlements, October 2004 (в дополнение к рекомендациям Customer due diligence for banks, выпущенным в октябре 2001 г.).
171
Consolidated KYC Risk Management. Basel Committee on Banking Supervision, Basel,
Речь в этом случае идет о кредитных организациях, имеющих дочерние банки, или филиалы, или представительства и т. п. Ниже рассматриваются основные положения из этого документа БКБН, которые прямо относятся к факторам риска, возникающим при ДБО, и соответственно подлежат учету при осуществлении внешнего аудита кредитных организаций и риск-ориентированного банковского надзора. Они становятся даже более актуальными в тех случаях, когда филиалы кредитных организаций предлагают клиентам ДБО, тогда как их головные офисы такие технологии не используют. В такой ситуации представляется логичной организация исполнительными органами кредитной организации как минимум дополнительных процедур информационного взаимодействия с такими филиалами и контроля над их деятельностью, т. е. речь фактически идет о внедрении того же подхода, который обсуждался в связи с адаптацией процесса ФМ. Естественно, эти процессы следует подкреплять выделением в кредитной организации соответствующего ответственного должностного лица и персонала, обеспеченного всеми необходимыми внутрибанковскими документами, регламентирующими и описывающими эти процедуры (от порядков до должностных инструкций, включая механизм управленческого наблюдения за реализацией таких порядков).
Как пишет БКБН, ключевым аспектом реализации кредитной организацией «надежной» политики и процедур, связанных с принципом ЗСК, являются внедрение и поддержание на адекватном масштабам ее деятельности уровне эффективного группового подхода, для чего строится соответствующий бизнес-процесс, в основу которого закладывается анализ компонентов правового и репутационного рисков (иногда, кстати, называемого в материалах комитета «имиджевым риском»). Считается, что политика и процедуры на уровне филиалов и дочерних компаний кредитной организации должны быть согласованы с групповыми стандартами ЗСК (вид внутрибанковского документа в зарубежной терминологии) и обеспечивать их поддержку. Если говорить о специфике российской ситуации, то она двояка и различна как для отечественных кредитных организаций, которые не всегда могут адекватно контролировать деятельность своих филиалов (особенно удаленных, в которых за ИТ и ДБО отвечает малое число сотрудников), так и для зарубежных кредитных организаций, руководство которых может не иметь полного и адекватного представления о том, в каких условиях работает их дочерний банк за рубежом.
Как бы то ни было, БКБН подчеркивает важность следования кредитных организаций принципу: «Банк должен располагать возможностью осуществления мониторинга своих клиентов при совершении ими операций».
Для этого «необходимо наличие в банках надежной политики и процедур ЗСК, учитывающих специфику банковского обслуживания, поскольку это:
— способствует обеспечению безопасности и надежности банка;
— содействует защите целостности банковской системы за счет снижения вероятности превращения банков в „механизмы“ отмывания денег, финансирования терроризма и реализации других незаконных действий».
Ниже излагаются основные положения этого документа БКБН:
следует разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков, а также риска концентрации [172] ;
политика и процедуры на уровне всех филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку;
единые подходы для всех банков к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации способствуют координированию действий и делают контроль над этими рисками и управление ими более эффективным;
172
Определение этого риска БКБН не приводит, но из контекста можно сделать вывод, что этот риск образуется в том случае, если банк не отслеживает операции клиента в комплексе (проводимые через разные филиалы одним клиентом или в интересах одного выгодоприобретателя и т. п.), т. е. головной офис «не замечает» такой системный риск, но он существует в системе филиалов кредитной организации.
подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков;
между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками;
контролирующий процесс должен включать не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов.
При этом обращается внимание также на то, что роль аудита особенно важна в оценке стандартов ЗСК на консолидированной основе, и сотрудники надзорного органа должны быть уверены, что все необходимые процедуры в этом отношении соблюдены, и они имеют полный доступ к относящимся к делу отчетам и рабочим документам аудита (по всей группе).
Главное заключается в том, что необходимо разработать, внедрить и поддерживать (на основе регулярного ВК) единые подходы для всех кредитных организаций к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации. Постулируется, что это способствует координации действий в банковском секторе и делает контроль над этими рисками и управление ими в кредитных организациях более эффективными. В свою очередь кредитным организациям рекомендуется перенести этот подход на уровень своей системы или, иначе, подсистемы банковского сектора.