Управление операционными рисками банка: практические рекомендации
Шрифт:
2. Вынесение интеграционной логики из приложений в рамках бизнес-процессов, подверженных частым изменениям, и ее реализация на базе интеграционной платформы; организация интеграционных взаимодействий между системами операционного уровня через сервисную шину.
3. Единый стандарт интеграционных решений – использование единого стандарта для всех сообщений, циркулирующих по интеграционной шине.
6.7.4.3. Особые условия построения ИТ-архитектуры банка и технологий.
6.7.4.3.1. Для целей минимизации операционных рисков банк стремится максимально автоматизировать все, операции осуществляемые в ручном режиме.
6.7.4.3.2. Для целей минимизации рисков
6.7.4.3.3. Обязательность наличия единого хранилища данных (DWH – Data Warehouse).
Для обеспечения доступности аналитической, статистической и финансовой информации, используемой для расчета показателей и формирования управленческой отчетности, банк формирует единое хранилище данных (DWH – Data Warehouse), специально предназначенное для подготовки отчётов и бизнес-анализа:
• информация о клиентах, контрагентах банка и их операциях;
• информация о финансовой и хозяйственной деятельности банка (в т. ч. его убытках);
• информация о конкурентах банка и внешней среде, которая может оказать влияние на банк;
• другие виды статистической и финансовой информации.
6.7.4.3.4. Технологические требования к операциям акцепта [66] :
• обособление в АБС [67] процедуры акцепта значимых операций, без прохождения которых операции в АБС технически не смогут быть исполнены;
• обособление в АБС групп доступа на акцепт значимых операций;
66
Подробнее об акцепте значимых операций см. п. 6.7.3.1.5.
67
АБС – это автоматизированная банковская система (термин обычно применяется к системам учета расчетных операций).
• обеспечение возможности проведения акцепта операций самим клиентом в АБС (защищенного акцепта):
• С помощью кодов подтверждений по SMS, которые автоматически генерируются АБС, направляются клиенту по SMS, после чего получаются от клиента и автоматически проверяются АБС. Операция технологически может быть исполнена в АБС только при совпадении отправленных и введенных в АБС кодов. Такая проверка может применяться как для подтверждения интернет-операций, так и для подтверждения операций при личном обращении клиента (операционист получает код от клиента и вводит его в АБС, при этом должны быть предусмотрены особые процедуры верификации клиента для случаев, когда клиент не имеет с собой телефона, на который отправляются SMS коды).
• С помощью банковской карты, ранее выданной клиенту. При этом происходит идентификация карты и ПИН-кода в терминале без такой идентификации операция технически не может быть выполнена в АБС.
• С помощью биометрических характеристик клиента, автоматически обрабатываемых АБС (отпечатка пальца, ключевых точек лица, сетчатки глаза и пр.) – в случае если такое решение принято банком.
6.7.4.3.5. Уведомление клиентов по SMS о проведении значимых операций:
• бронирование в кассе денег к выдаче на следующий день в сумме, превышающей 1 млн руб.;
• попытка осуществления клиентом дистанционной операции, а также очной операции на сумму свыше 1 млн руб.;
• любое изменение персональных данных клиента, используемых для его верификации (прежде всего образца фотографии, скана паспорта, контактного номера телефона, в т. ч. мобильного телефона, который может использоваться банком для проверки правомочий лица и т. д.);
• выпуск новой банковской карты;
• регистрация заявки на выдачу ссуды [68] .
68
Условия, в т. ч. размер сумм, могут меняться комитетом по рискам.
В банке должны быть предусмотрены процедуры немедленного приостановления несанкционированных операций по счету для случаев, когда в банк поступила информация о том, что операция клиентом не производилась.
6.7.4.3.6. Максимальное технологическое ограничение доступа сотрудников банка для ручных операций во внешних АБС [69] .
1. Доступ сотрудников банка к внешним АБС должен быть максимально ограничен.
2. Внешняя АБС должна исполнять платежи только на основании защищенных транзакций, автоматически выгружаемых из внутренней АБС.
69
Внешняя АБС – это автоматизированная расчетная система для осуществления транзакций, прежде всего на счета, открытые в других организациях. Обычно к таким системам подключено множество банков на правах клиентов. Такими системами могут быть:
• Way4 (для расчетов с банковскими картами);
• Анелик, Контакт, Вестерн Юнион (для осуществления денежных переводов физических лиц);
• SWIFT, Telex, СКЗИ "Янтарь-МЦИ" (для межбанковских расчетов);
• QUIK, ММВБ (для расчетов по ценным бумагам).
3. Все операции, заводимые сотрудниками банка вручную, в том числе изменение параметров плановых операций (например, плановые безакцептные списания), должны производиться сотрудниками банка во внутренней АБС. Каждая операция должна сопровождаться обязательным акцептом контролера во внутренней АБС.
4. В случаях когда доступ ко внешним АБС не может быть ограничен, должны быть предусмотрены процедуры особого контроля всех операций, производимых сотрудниками во внешних АБС, и процедуры их последующей сверки.
6.7.4.3.7. Запрет красного сальдо – расходных операции (техническая невозможность их совершения), если в результате операции расчетный счет примет отрицательную величину.
6.7.4.3.8. Использование электронных досье клиента [70] .
6.7.4.3.9. Развитие системных средств минимизации рисков дистанционных операций клиентов физических и юридических лиц (операций с банковскими картами, интернет-операций, операций клиент-банк):
70
Электронное досье – это карточка клиента в АБС, в которой хранятся идентификационные признаки клиента, используемые прежде всего для его верификации (представлен минимальный перечень):
• номер мобильного телефона, который используется банком для проверки правомочий лица посредством направления на него верифицирующих кодов (которые клиент в последующем должен указать в системе или сообщить операционисту, чтобы тот указал их в АБС) или для совершения на этот телефон верифицирующих звонков;
• образец фотографии клиента или видеозаписи с его изображением;
• образец подписи клиента;
• копия паспорта;
• образец отпечатка пальца клиента (в зашифрованном виде) если такая система идентификации имеется в банке.
В электронном досье также отображаются все счета клиента, сканы документов и прочая информация.