Специфика внутреннего контроля в условиях применения систем интернет-банкинга

Мы воспринимаем не сами явления, а их следы.
Ф. Капра. «Дао физики»

Введение

Функционирование системы внутреннего контроля в кредитных организациях до настоящего времени регламентируется Положением от 28.08.97 № 509 «Об организации внутреннего контроля в банках», утвержденным Приказом Центрального банка Российской Федерации от 28.08.97 № 02-372, с изменениями от 30.11.98 и от 01.02.99
Помимо основных положений, касающихся общих принципов организации внутреннего контроля (ВК) в кредитных организациях, в этом документе несколько раз упоминается компьютерное обеспечение банковской деятельности, однако никаких конкретных требований к организации контроля над компьютеризованными внутрибанковскими системами не содержится. Даже по состоянию на момент принятия данного документа, несмотря на практически завершившуюся компьютеризацию банковской деятельности в РФ, этот факт только констатировался, и никакая специфика организации ВК в связи с этим не выделялась. Вместе с тем начиная еще с 1998 года кредитные организации, действующие на территории РФ, внедряли становящиеся все более популярными у клиентов современные технологии дистанционного банковского обслуживания (ДБО), заметное место среди которых постепенно стал занимать так называемый интернет-банкинг, определяемый как предоставление банковских услуг посредством Интернета. Технологии ДБО в целом и ИБ в частности характеризуются весьма специфическими наборами факторов банковских рисков, нетипичными для условий традиционного банковского обслуживания. При этом имеет место «смещение» факторов риска в сторону технологических аспектов обеспечения банковской деятельности. Поэтому с позиций риск-фокусированного надзора не подлежит сомнению, что кредитным организациям вместе с переходом к применению таких технологий придется существенно модифицировать парадигму, лежащую в основе построения их систем внутреннего контроля и/или внутреннего аудита.
В Положении № 509 прямо сказано, что одними из основных целей внутреннего контроля являются обеспечение «надлежащего уровня надежности, соответствующей характеру и масштабам проводимых банком операций» и минимизация «рисков банковской деятельности» (п. 1.2). Аналогичные положения относительно ВК содержатся в Положении Банка России от 05.12.2002 № 205-П «О Правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации» (п. 3.2, 3.3). Однако для того, чтобы учитывать конкретные последствия технического прогресса в банковской сфере, таких общих требований в настоящее время уже недостаточно. Следовательно, модификация, или, точнее, «актуализация» построения и содержания процессов и процедур ВК, принятых в той или иной кредитной организации (КО), неизбежно оказывается связана как с изменениями в характере банковских операций, обусловленными технологическими нововведениями, так и с изменениями в сопутствующем банковской деятельности «профиле риска»1 этой организации. Очевидно, что эффективный ВК невозможен, если его организация, содержание, порядок и процедуры не будут совершенствоваться параллельно развитию технологического обеспечения банковской деятельности. То же самое относится и к статусу, подотчетности, информационному обеспечению, численности службы ВК, квалификации и опыту ее сотрудников, их профессиональной переподготовке и т.д. Настоящая статья посвящена преимущественно описанию состава и содержания возможной совокупности организационно-технических мероприятий, уместных для реализации теми кредитными организациями, которые применяют в своей деятельности технологию ИБ.

Hеобходимость совершенствования ВК в банке

Прежде всего необходимо отметить, что заметные изменения в профилях рисков кредитных организаций, обусловленные технологическими нововведениями, происходят уже не менее 12 лет, в течение которых подавляющее число этих организаций стали использовать компьютерные информационные технологии для выполнения банковских операций, управления ими, а также предоставления банковских услуг клиентам. Теперь уже невозможно представить себе КО, в которой какая-либо из внутрибанковских систем не была бы компьютеризованна, независимо от того, используются эти системы для обслуживания клиентов, осуществления бухгалтерского учета в КО, подготовки установленной банковской отчетности, доведения информации до руко водства КО, информационного обеспечения ее сотрудников и т.д. Вследствие этого в итоге сложилась своеобразная ситуация, которая может быть описана следующим постулатом: «Состояние и деятельность кредитных организаций, равно как и защита интересов их клиентов, полностью зависят от функционирования компьютерных систем, используемых этими организациями в своей работе».
Как ни странно, но до настоящего времени нельзя с уверенностью сказать, что данная ситуация полностью осознана банковским сообществом. Прежде всего об этом свидетельствует слабость служб ВК в кредитных организациях, которая была отмечена еще в Письме Банка России от 07.10.99 № 289-Т «О мерах по повышению уровня внутреннего контроля в банках». В этом Письме, в частности, было сказано, что «анализ информации о финансовом состоянии кредитных организаций, материалы инспекционных и аудиторских проверок, иной поступающей в Банк России информации свидетельствует о неудовлетворительном состоянии внутреннего контроля во многих банках. <...> В большинстве кредитных организаций служба внутреннего контроля состоит из 1–2 специалистов, что явно недостаточно для эффективной работы таких служб, особенно в кредитных организациях, имеющих разветвленную филиальную сеть. В ряде кредитных организаций формально существующие службы внутреннего контроля не обеспечивают выполнение возложенных на них функций». К сожалению, как показывает опыт надзорной и инспекционной деятельности в системе Банка России, ситуация с тех пор изменилась незначительно.
Вместе с тем всеобщая компьютеризация банковской деятельности и внедрение все новых технологических решений приводят к возникновению нетрадиционных и модификации прежних компонентов типовых банковских рисков. Тем самым происходят изменения как в профилях рисков кредитных организаций, так и (прежде всего!) в профилях тех элементарных рисков, которые составляют собственно банковские риски, которые обычно рассматриваются в рамках риск-фокусированного надзора (одна из возможных классификаций таких рисков была приведена в Приложении 2 к Положению № 509). Наиболее серьезный характер и особую значимость с точки зрения риск-фокусированного надзора эти изменения приобрели примерно в последние пять лет. Это связано и с затруднениями в осуществлении контроля (как внешнего, так и внутреннего) над выполнением банковских операций в электронной форме и соответственно достоверностью установленной банковской отчетности, и с появлением новых информационных угроз для кредитных организаций, и с возникновением зависимости этих организаций от провайдеров необходимых им услуг — в случае интернет-банкинга, в том числе от интернет-провайдеров.
В первом случае любая КО, использующая данную технологию ДБО, рискует в части появления возможности несоответствия выполнения банковских операций требованиям нормативно-инструктивных документов из-за ошибок в программном обеспечении системы ИБ, недостаточной квалификации персонала и клиентов КО, случайного или намеренного искажения алгоритмов учета и/или учетных данных, внезапных переходов банковской автоматизированной системы (БАС) в нештатные режимы работы из-за сбоев в работе аппаратно-программного обеспечения (АПО) информационного контура ИБ или несанкционированного доступа (НСД) в этот контур, аварийных ситуаций, приводящих к прерыванию работы КО и потере данных и т.д.
Во втором случае возникают опасности компьютерного мошенничества, хищения денежных средств в электронной форме, а также утечки (изменения, уничтожения) банковских данных и/или клиентской информации, разрушения баз банковских данных программами-вирусами и т.п.
В третьем случае работа информационного контура ИБ и качество ДБО, осуществляемого КО, а также защищенность ее банковской и клиентской информации непосредственно зависят от надежности функционирования АПО и информационной безопасности компаний-провайдеров. Именно поэтому приведенное выше положение имеет достаточно общий характер, охватывая именно все компьютеризованные системы (включая системы связи и внешние процессинговые центры), которые использует КО. Соответственно каждый из перечисленных основных факторов может влиять на требования к организации и реализации ВК в кредитных организациях, соответствующим процессам и процедурам, квалификации и подготовке сотрудников, занятых в службе ВК и в системе ВК (СВК) в целом, а также к обеспечению информационной безопасности.

Факторы, обусловливающие изменения в профилях банковских рисков

Быстрое и продолжающееся развитие технологий ДБО, особенно ИБ, в последние два-три года привело к радикальным изменениям в способах доведения, аутентификации, верификации и обработки банковской информации и данных, которые используются в банковской деятельности кредитными организациями. Вместе с тем как из-за внедрения этих технологий, так и из-за образования множественных каналов связей между кредитными организациями, их клиентами, процессинговыми центрами и другими организациями в банковской сфере происходят существенные изменения в структуре ряда типовых банковских рисков. Это связано с появлением принципиально новых факторов, обусловливающих изменения в профилях рисков кредитных организаций (в данном случае речь идет только о пяти рисках, выделенных в рамках анализа развития ИБ в России: операционном, правовом, ликвидности, репутационном и стратегическом). Три наиболее важных фактора могут быть описаны следующим образом:
а) компьютерные технологии, используемые в банках, в принципе переводят совершаемые ими операции в «виртуальную форму», причем операции потому и оказываются виртуальными, что существуют только в течение отдельных квантов времени и в конкретных электронных устройствах и каналах связи, то есть только «здесь и сейчас», кроме того, они более не связываются с «физическими» первичными документами;
б) гарантии достоверности регулярной банковской отчетности, формируемой из виртуального пространства, становятся проблематичными, при этом основная сложность заключается в практической невозможности убедиться в достоверности этой отчетности без использования таких технологий контроля, которые по своей сложности и требуемой технической оснащенности не уступают собственно банковским;
в) любые технологические нововведения, связанные с компьютеризацией бизнеса, применением телекоммуникационных систем, и переход к работе через открытые системы (каковой является Интернет) усложняют и в общем случае повышают банковские риски, а значит, могут понижать надежность и устойчивость кредитных организаций, равно как доверие к ним и банковской системе в целом со стороны клиентов.
Результатами действия первого фактора являются нарушения порядка выполнения основных банковских операций (ошибки программного обеспечения, операционистов и клиентов, несоответствия требованиям бухгалтерского учета и т.д.), компьютерные мошенничества, хищения банковских средств, несанкционированные проводки, проблемы подтверждения и авторизации совершения операций, зависимость от компаний-провайдеров и т.д. Все это вносит вклад в компоненты операционного, правового, репутационного рисков и риска ликвидности.
Второй фактор приводит к проблематичности обеспечения адекватного контроля над совершением банковских операций, существенному повышению требований к процессам и обеспечению внутрибанковского контроля и аудита, значительному усложнению надзорно-инспекционных процедур (со стороны Банка России) и т.п. В приложении к технологии ИБ следствием является усложнение компонентов правового и репутационного рисков.
Наконец, из-за третьего фактора в рассматриваемом случае возникает необходимость в применении специальных и достаточно сложных мер защиты внутрибанковских систем для обеспечения информационной безопасности (в отношении банковских и клиентских данных), внедрении той или иной формы контроля над организацией и обеспечением технологических процессов в компаниях-провайдерах, становится необходим также контроль над содержанием и функционированием web-сайтов, используемых КО, возникает неопределенность целого ряда юридических аспектов, связанных с выполнением обязательств этих компаний перед КО и ее — перед клиентами (особенно в условиях пустого правового поля электронной коммерции в России), повышаются требования к технической подготовке клиентуры и т.д. Следствием этого является изменение профилей и, в общем случае, повышение операционного, правового, репутационного и стратегического рисков.
Для клиентов кредитных организаций дополнительными возможными негативными явлениями, сказывающимися на всех выделенных в части ИБ банковских рисках, становятся утечка (в худших случаях — искажение, уничтожение) их банковской и персональной информации, нарушения штатного режима функционирования БАС КО (а значит, и ее самой) из-за сбоев АПО, трактуемые как «отказ в обслуживании» или фальсификация ордеров (а это также — вирусные атаки, отказы в каналах связи и доведения банковской информации, воздействия хакеров на содержание web-сайтов КО), возможные хищения клиентских данных, передаваемых через них (включая организацию сайтов-муляжей), и пр. Все элементарные факторы такого рода приобретают еще боўльшую значимость вместе с распространением технологии ИБ. За рубежом поиски решения этих проблем ведутся уже несколько лет, однако оптимальных методов и средств минимизации рисков, связанных с применением технологии ИБ, до сих пор не предложено (ниже будут кратко рассмотрены рекомендации Базельского комитета по банковскому надзору). Впрочем, в России ситуация несколько облегчается тем, что основные проблемы развития технологии ИБ связаны все еще с несовершенством соответствующего АПО, разнородностью компьютерных платформ, ошибками, допускаемыми при интеграции вновь вводимых систем с уже применяющимися БАС, невысоким качеством проектирования и внедрения сложных компьютерных систем в самих кредитных организациях и т.п.
Для специалистов в области информационных технологий очевидно, что руководители некоторых кредитных организаций, принимая решения об использовании таких весьма загадочных для гуманитарного образования «существ», как компьютеры, маршрутизаторы, концентраторы, локальные и зональные вычислительные сети, брандмауэры, прокси-сервера и даже просто модемные пулы, должны были бы (по идее) задуматься о том, подконтрольна ли им самим вся эта аппаратура, управляемая неведомыми программными силами. Равно как и о том, подконтрольно ли АПО их кредитных организаций (равно как поставщиков и провайдеров) своей же службе ВК. Впрочем, насколько известно автору, в силу довольно слабо еще развитой инфраструктуры и невысокой компьютерной грамотности населения России такие негативные события, как отдельные «успехи» отечественных хакеров, злонамеренно проникающих во внутрибанковские системы, сопровождаются, к счастью, такими уровнями реализованных рисков, то есть финансовым ущербом, которые большинство кредитных организаций вполне способны парировать.
Тем не менее, какими бы темпами ни развивался технический прогресс в банковском деле, с точки зрения риск-фокусированного надзора технологические нововведения типа ИБ не должны оказывать влияния на основные показатели и характеристики функционирования кредитных организаций. В самих кредитных организациях выполнение данного положения следовало бы гарантировать, естественно, не столько подразделениям информационных технологий (ИТ), сколько службам внутреннего контроля (поскольку компоненты операционного, правового, репутационного и стратегического рисков в КО нередко связаны с недостатками в работе самих подразделений ИТ). Вследствие этого и с учетом прогрессирующего и, можно сказать, непрерывно нарастающего усложнения технологического и технического обеспечения внутрибанковских процессов и процедур, что имеет место во всех случаях, когда банковские и клиентские данные преобразуются, передаются, обрабатываются, хранятся или доводятся до их потребителей посредством каких-либо компьютеризованных систем, в том числе при использовании заказной (внешней) обработки данных и телекоммуникационных систем (нередко множественных, учитывая многоступенчатую маршрутизацию в Интернет), необходимо применять специально разработанные методы и средства контроля над выполнением банковских операций, условиями их выполнения, взаимодействием с клиентурой, равно как и над формированием и доведением в КО внутренней управленческой информации, необходимой для принятия решений ее руководством.

Необходимость совершенствования правового обеспечения

Если проанализировать в плане соотнесения со спецификой ИБ содержание упоминавшихся выше нормативных актов, то становятся очевидными некоторые пробелы, обусловленные тем, что сам технологический прогресс в банковской сфере России за последние полтора десятка лет обусловливает постоянное отставание нормативной базы, регламентирующей банковскую деятельность, от развития этой самой деятельности. В частности, в упоминавшемся Положении № 509 в число основных задач ВК включены:
«2.2.1. Выполнение банком требований федерального законодательства и нормативных актов Банка России. <...>
2.2.4. Выполнение требований по эффективному управлению рисками банковской деятельности. <...>
2.2.6. Адекватное отражение операций банка в учете.
2.2.7. Надлежащее состояние отчетности, позволяющее получать адекватную информацию о деятельности банка и связанных с нею рисках.
2.2.8. Эффективное функционирование внутреннего аудита банка».
С точки зрения автора очевидно, что для выполнения каждого из этих пунктов службе ВК любой КО, применяющей ДБО, требуется сопровождать проектирование, внедрение, реализацию и модификацию всех компьютеризованных процессов, связанных с конкретными вариантами ДБО, используемыми данной КО, будь это варианты построения систем «банк—клиент», обслуживание в стиле ИБ или WAP-банкинга, система банкоматов, POS-терминалов и т.д. Безусловно, необходимы специалисты, способные проверить алгоритмы учета, расчетов, подготовки отчетов и т.п. на соответствие установленным требованиям. Также необходимы специалисты, имеющие подготовку в области выявления, оценивания, анализа, мониторинга банковских рисков и управления ими. То же самое относится к аудиту банковской деятельности, которая реально (виртуально) происходит в БАС КО.
Мало того, для гарантированного выполнения всех перечисленных требований службе ВК необходимо в каждом случае реализовать принцип двойного независимого параллельного контроля, который нередко называется «принципом четырех глаз». Однако в современных условиях, особенно при применении технологий из разряда ИБ, выполнение таких требований, безусловно, зависит от того, насколько полно и качественно осуществляется контроль над всеми внутрибанковскими и внешними компьютеризованными системами, образующими информационный контур ИБ. Процесс программно-технического усложнения БАС в любой КО, не входящей в первые 30 банков РФ, с вводом новых видов и способов банковского обслуживания в большинстве случаев представляет собой достаточно серьезную проблему для службы ВК. Кроме того, на сегодняшний день обеспечение полного контроля над банковскими операциями, совершаемыми в распределенных компьютерных системах, принципиально проблематично уже потому, что служба ВК обычно не имеет возможности проверять организацию и функционирование тех компьютерных систем и программно-информационных комплексов, которые расположены у провайдеров услуг, необходимых той или иной КО для осуществления ИБ. Это означает, по мнению автора, что, несмотря на применение различных способов и средств криптозащиты информации, циркулирующей в информационном контуре ИБ, резервных каналов связи и дублирующих провайдеров, гарантии полного контроля над этой информацией и ее доставкой со стороны КО нет, поскольку существует немало способов перехвата и взлома закрытой информации, а любые каналы связи (базирующиеся на АПО, изначально не подконтрольном КО) могут случайно выйти из строя.
Помимо изложенного, дополнительные сложности для эффективной реализации функций ВК в КО технология ИБ и аналогичные ей варианты банковского обслуживания создают в части, предусматриваемой Указанием Банка России от 28.11.2001 № 137-Т «О рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма» (с изменениями от 16.01.2003). Дело в том, что переход к работе через так называемые открытые системы означает переход к такому обслуживанию, которое изначально предполагает и для клиентов, и для кредитных организаций, как неких физических сущностей, взаимную анонимность, поскольку клиенты и кредитные организации работают друг с другом фактически виртуально. При этом проблема не ограничивается только невыполнением принципа «Знай своего клиента» (чему в настоящее время за рубежом уделяется повышенное внимание). Не секрет, что технологии ДБО с некоторых пор реально используются для совершения различных экономических преступлений, причем зачастую кредитные организации, сами того не ведая, предоставляют для этого технологическую основу. Например, отмывание денег, существующее по всему цивилизованному миру с давних времен, похоже, уже получило поддержку технологии ИБ (как и других вариантов ДБО, чем не так давно всерьез озаботилась Главная счетная палата США). Да и в более широком смысле для легализации доходов, полученных незаконным путем, а также для финансирования деятельности террористических организаций технологии электронного банкинга в отсутствие должного контроля могут предоставить значительные возможности в части анонимности и скрытого перемещения крупномасштабных средств. Это отмечено как в Приложении 3 к упоминавшемуся Указанию (п. 8), так и в целом ряде зарубежных материалов различной, в том числе надзорной, направленности. После того как клиент открыл счета, кредитные организации нередко не имеют возможности определить, проводит ли транзакцию именно официальный владелец счета и вообще имеет ли место какая-либо операция. В общем случае отсутствие в составе программно-информационного обеспечения ИБ развитых средств «программного ВК» не позволяет обнаружить даже следы событий, виртуально свершившихся в пространстве «электронных денег». Тем самым собственно проблема контроля над целым рядом банковских операций, например в части такого универсального метода в плане компьютерных хищений или отмывания денег, как метод «салями», осложняется многократно. Поэтому во многих странах для борьбы с отмыванием денег выпущены специальные руководства, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и мониторингу онлайновых транзакций, требующему повышенной бдительности. Специалистам все это хорошо известно, и поэтому необходимость повышенного внимания службы ВК к проблемам такого рода не вызывает сомнения.
Кроме того, можно отметить особую озабоченность, которую вызывают у зарубежных органов банковского надзора возможности осуществления с помощью технологии ИБ трансграничных операций, однако рассмотрение этой темы выходит за рамки данной статьи. Вместе с тем очевидно, что дело не в самих технологиях ДБО, одной из которых, так сказать, «наиболее виртуальной», является технология ИБ, а в их использовании конкретными лицами в конкретных целях. И здесь все зависит от грамотной организации процессов и процедур ВК в КО.