Издания и мероприятия для банковских специалистов:
 
Аналитический журнал
Управление в кредитной организации
Описание изданияСвежий номер Архив Приобрести/Подписаться
Выходит один раз в квартал.
Объем 112 с. Формат А4.
Издается с 2001 г.
 
 

Оптимизация принципов внутреннего контроля в условиях применения технологий электронного банкинга

Настоящую статью можно рассматривать как продолжение работ, опубликованных ранее, — в известной степени здесь развиваются представлявшиеся в них подходы к организации и реализации внутреннего контроля (ВК), в основном определяемые Базельским комитетом по банковскому надзору (БКБН). В части электронного банкинга (ЭБ) эти подходы были изложены в публикациях, касающихся организации в кредитной организации (КО) ВК как процесса, системы ВК (СВК) и осуществления управления рисками при использовании технологий ЭБ2. В то же время анализ упомянутых подходов служит в данном случае выработке таких предложений, которые, по мнению автора, могут быть использованы в российских кредитных организациях для принятия конкретных решений в плане уточнения роли, места, организации и функционирования СВК в случае применения в их работе тех или иных технологических схем ЭБ. Основной акцент при этом делается на возможные особенности организационного и методического обеспечения ВК, а также на учет специфики используемого в КО аппаратно-программного обеспечения (АПО) дистанционного банковского обслуживания (ДБО).
 

«Всегда получается, если знаешь, что делаешь».
(Р. Бах. Чайка Джонатан Ливингстон)

Введение
Как отмечалось нами ранее3, к внедрению любых компьютеризованных технологий в работу финансовых учреждений следует относиться весьма внимательно и в известной степени осторожно. Безусловно, из этого не следует, что от таких технологий лучше отказаться: такие решения в современном мире прямо ведут к конкурентным потерям, однако необходим учет принципиальных отличий от традиционных систем удаленного обслуживания типа «банк—клиент», свойственных ДБО на основе распределенных компьютерных систем (базирующихся уже не только и не столько на локальных вычислительных сетях, сколько на сетях зональных и, в случае работы через Интернет, глобальных сетях).

Специфика новых распределенных технологий, вошедших в современное банковское дело, обусловлена преимущественно тем, что теперь необходимо говорить не просто о банковской деятельности и соответственно анализировать ее содержание посредством ВК, а рассматривать так называемый информационный контур банковской деятельности (ИКБД)4, который реально формируется (образуется) при каждом факте удаленного взаимодействия между неким клиентом и обслуживающей его КО. Такой контур составляют, конечно, реальные физические объекты, однако теперь в большинстве случаев он оказывается фактически виртуальным, то есть каждый раз реально существующим только «здесь и сейчас». Это явление объясняется априори непредсказуемым характером связей в крупномасштабных сетевых системах, которые создаются множеством каналов связи, маршрутизаторов, компьютерных систем различных провайдеров, межсетевых шлюзов и тому подобных компонентов, которые ранее в ИКБД отсутствовали.

Новые формы ЭБ
До последнего десятилетия основными средствами автоматизации банковской деятельности являлись та или иная банковская автоматизированная система (БАС) и некое соединенное с ней автоматизированное рабочее место (АРМ). В простейших случаях обслуживания клиента в самой КО или ее филиале этот контур описывается элементарно: «клиент — АРМ операциониста — БАС КО», при этом АРМ соединялся с БАС через локальную или, гораздо реже, через зональную вычислительную сеть, фактически являвшуюся собственностью КО. В более сложном случае заказного ДБО взаимодействие между клиентом и КО осуществлялось через посредство системы «клиент—банк», в состав которой входили специально организуемый специалистами КО АРМ клиента, БАС КО, те или иные устройства доступа к каналам связи со стороны БАС и АРМ (например, модемы) и собственно каналы связи, но эти каналы принадлежали уже не КО, а тем организациям, которые фактически выполняли функции провайдеров связи для КО (это могли быть проводные, оптоволоконные, радиорелейные или спутниковые каналы, но они являлись собственностью КО только в редких случаях). Виртуальность в таком информационном контуре банковской деятельности могла возникать только в тех случаях, когда маршрутизация ордеров клиента и ответной информации для него от КО осуществлялась через коммутируемые и(или) маршрутизируемые линии связи, а в случаях наиболее дорогостоящих вариантов ДБО по прямым каналам связи между клиентом и его КО какая-либо виртуальность практически отсутствовала.

Однако развитие систем ДБО привело к тому, что среда, через которую проходят потоки данных между клиентами и кредитными организациями, постоянно «расширялась», то есть вариативность средств доведения информации в любом направлении повышалась, что когда-то не привлекало к себе внимания руководства кредитных организаций или привлекало в незначительной степени.

Во всяком случае, появление в составе ЭБ технологий интернет-банкинга (ИБ), WAP-телефонии, GSM- и SMS-банкинга для владельцев мобильных телефонов, телебанкинга и т.д. вплоть до банкоматов, подключаемых через Интернет, ставит вопрос о необходимости принятия во внимание компьютеризации не только и даже не столько выполнения банковских операций, но банковской деятельности в целом, учета перевода ее в виртуальную реальность, а вместе с этим и сопутствующих проблем контроля над самой банковской деятельностью, без чего невозможно обеспечить и тем более гарантировать ее надежность.

Это, по мнению автора, тем более справедливо для России, поскольку здесь наиболее распространены универсальные коммерческие банки, которым свойственен комплексный характер предоставления банковских услуг, да и сама идея дистанционного предоставления банковских услуг часто реализуется в нескольких дополняющих друг друга формах, то есть разным АПО. Все это заставляет говорить о технологиях ЭБ и проблемах контроля над их разработкой, внедрением в ИКБД, эксплуатацией и сопровождением во всей совокупности.

Если рассматривать проблематику ВК и построения СВК в КО с описанных позиций, то прежде всего следует признать, что прогресс в области информационных технологий и развитие способов сетевого взаимодействия в сфере банковской деятельности реально вносят качественные изменения в работу кредитных организаций. Это обусловлено следующими принципиальными изменениями в ИКБД: появлением в нем и новых участников этого контура (провайдеров услуг), и новых элементов (каналы связи), и нового типа клиента, который уже не приходит в КО для того, чтобы осуществить те или иные банковские операции. Более того, в случаях ИБ и WAP-банкинга (а также его вариантов) виртуальность значительно повышается и становится практически предельной ввиду того, что каналы связи между клиентами и кредитными организациями формируются стохастически и не могут быть известны ни тем, ни другим (прежде всего из-за того, что при каждом сеансе взаимодействия маршруты прохождения потоков данных определяются задействуемыми видами, узлами и линиями компьютерной связи, промежуточными маршрутизаторами разных провайдеров, структурами локальных вычислительных сетей провайдеров и т.д.).

С точки зрения контроля над деятельностью КО необходимо признать, что в этой связи становится важен учет достаточно большого числа дополнительных новых компонентов в рассматриваемом контуре, которых ранее в нем вообще не существовало. Это целесообразно потому, что сами процессы управления банковской деятельностью и контроля над ней должны оставаться адекватными вне зависимости от состава и характера нововведений в ИКБД, используемом конкретными банковскими учреждениями5.

Следует отметить, что явления виртуальности в практике банковского дела начались еще с внедрения сетевых внутрибанковских архитектур и появления первых систем ДБО типа «банк—клиент» — уже тогда на первый план стали выходить банковские автоматизированные системы, которые применялись и применяются для выполнения всех или по меньшей мере большинства банковских операций, связанных с учетом и расчетами, а также для подготовки регулярной отчетности и обслуживания клиентов. Можно сказать, что это вообще свойство, присущее компьютерным информационным технологиям (ИТ). Однако теперь такие внутрибанковские системы КО стали во многих вариантах ДБО доступны извне, а учет в работе служб ВК целого ряда новых факторов, обусловленных интенсивной автоматизацией и территориальной «распределенностью» банковской деятельности (в том числе межрегиональной и трансграничной), явно запоздал.

Новые факторы, влияющие на работу служб ВК
В общем случае, исходя из того, что любые взаимодействия между банками и их клиентами через системы связи в наше время неизбежно замыкаются на банковских автоматизированных системах, правильнее было бы рассматривать и внутрибанковские системы, и внешние компьютерные, и связные системы в едином комплексе, поскольку любое средство доступа извне к БАС КО — это не более чем «виртуальные ворота», и с позиций обеспечения надежности банковской деятельности важно, во-первых, кто именно получает права доступа к информационным ресурсам КО, во-вторых, к чему конкретно через эти «ворота» может быть получен доступ, в-третьих, какие полномочия связаны с самим доступом. Тем самым ставится триединая задача идентификации, аутентификации и верификации. Под этой совокупностью подразумевается, что КО как агент информационного взаимодействия, имеющего финансовый характер (речь идет хотя и об электронных, но ведь «живых» деньгах!), в каждый момент времени должна быть уверена, что любой процесс, который по какой-либо причине инициируется в ИКБД и в БАС КО, активирован именно зарегистрированным (официальным) пользователем, который выполняет операции исключительно от своего имени и только те, которые он правомочен осуществлять с конкретными в каждом случае информационными ресурсами.

Именно с тремя перечисленными компонентами связаны все ключевые проблемы ДБО и ВК в новых условиях банковской деятельности (в том числе и не относящиеся к алгоритмистике работы самих внутрибанковских систем), которые следует рассматривать для эффективной реализации внутрибанковских контрольных функций6.

Автоматизация банковской деятельности в век интенсивно развивающихся компьютерных технологий может вызвать немало негативных для любой КО последствий, если принятие решения о внедрении новых технологически сложных процессов ЭБ не сопровождается необходимыми исследовательскими работами, расчетами, проектированием адекватного усиления процессов контроля и сопутствующими организационными мероприятиями. Если говорить о ВК в его современной трактовке, то есть о риск-ориентированном ВК, то недостаток внимания к этим вопросам может привести к существенному возрастанию прежде всего операционного, правового, репутационного и стратегического рисков для КО7. Здесь важно подчеркнуть, что компоненты этих рисков в современных условиях имеют такой же распределенный и комплексный характер, как и те системы ДБО, с которыми они ассоциируются, и уже один этот факт по идее должен был бы стимулировать совершенствование ВК параллельно с внедрением в КО новых банковских технологий.

Как уже отмечалось8, собственно причины, требующие разработки новых подходов к выявлению, оценке, мониторингу и парированию возможных рисков в КО, обусловлены тем, что ее руководителям, особенно отвечающим за организацию СВК, ее работу, результаты этой работы и их использование в управленческой деятельности, приходится сталкиваться с двумя своего рода «глобальными» проблемами, а именно:
а) полной зависимостью КО от своих компьютерных систем, используемых для выполнения банковских операций, при подготовке банковской отчетности и в обеспечение принятия решений менеджерами, а также от компьютерных и других систем внешних провайдеров необходимых ей услуг (процессинговых, связи и др.);
б) уникальностью организации и содержания процессов автоматизированного выполнения банковских операций и формирования банковской управленческой информации в конкретной КО как в части построения внутренних и внешних информационных контуров банковской деятельности, так и в части ее АПО.

Масштаб и сложность этих проблем таковы, что разработка единой для всех кредитных организаций политики контроля над банковской деятельностью, структуры СВК и методики проведения ВК, доведенной до конкретных методических рекомендаций, относящихся к внутрибанковским системам, оказывается практически невозможной. Тем не менее, по мнению автора, возможно создание обобщенного методологического подхода на основе хорошо известных принципов проектирования, разработки, внедрения, эксплуатации и модернизации автоматизированных систем как таковых. За рубежом этим вопросам посвящены упоминавшиеся публикации БКБН по электронному банкингу и организации контроля, методические материалы Федерального совета по проверкам финансовых учреждений (FFIEC) и Федеральной корпорации страхования депозитов (FDIC) США, а также материалы аудиторских организаций, в которых развиваются аналогичные предлагаемому автором подходы9.

Исходным положением для разработки единой методологической платформы ВК в современном компьютеризованном банке, создающим самостоятельно, заказывающим или приобретающем системы для работы в области ЭБ, является то, что от службы ВК непосредственно зависит, чтобы эти системы оставались работоспособными, управляемыми и контролируемыми, причем в гарантированно штатных режимах функционирования, без чего невозможно минимизировать компоненты банковских рисков, имеющих технологический характер. Для надежной работы КО, выполнения ею своих обязательств перед всеми клиентами и соблюдения установленных требований к осуществлению банковской деятельности служба ВК прежде всего должна уделять особое внимание системам осуществления платежей и электронной обработке данных.

При этом цель контроля — обеспечение штатного выполнения всех входящих в эти процессы рабочих процедур — достигается только через обеспечение соответствия требованиям работы специальных программно-технических комплексов, безопасности выполнения операций и используемых данных, уменьшение риска убытков из-за системных ошибок, потери важных данных, злоупотреблений и т.п. Не менее важно, как и кем управляются электронные системы обработки данных, — в этом отношении КО непосредственно зависит от квалификации и надежности программистов, операционного и технического персонала, а также наличия резервных мощностей (электропитания, компьютерных средств и т.д.), процедур и средств восстановления работоспособности БАС на случай непредвиденных выходов из строя. Это означает, что независимо от сложности и специфики функционирования любой системы ЭБ служба ВК должна располагать возможностями проверки ее работы, выявления недостатков или отклонений в функционировании системы и получения информации, подлежащей доведению до руководства КО для принятия им решений, исправляющих ситуацию, то есть снижающих уровни рисков за счет исключения отдельных их компонентов и(или) вероятности их реализации в виде неблагоприятных событий.

Усложнение процедур ВК при ДБО
Для того чтобы установить необходимые и достаточные (то есть минимальные) требования к организации ВК в КО в условиях применения технологий ЭБ, необходимо определить, какие этапы жизненного цикла БАС, рассматриваемой в единстве с технологиями ЭБ, касаются специалистов ВК и какие роли эти специалисты должны играть на каждом из таких этапов. Для удобства последующего изложения жизненный цикл БАС вместе с участием руководства КО, ее службы ВК и провайдеров (среди которых могут быть и разработчики БАС) в условной форме показан на рисунке.

Рисунок. Жизненный цикл БАС

Рисунок. Жизненный цикл БАС

Очевидно, что, для того чтобы создать контролируемую БАС, руководство КО должно заранее точно определить, какие именно банковские данные требуют постоянного контроля и соответственно какие протекающие во внутрибанковских системах вычислительные и другие процессы, в которых участвуют эти банковские данные, также должны находиться под контролем. Это — аксиома, в той или иной форме присутствующая во всех изученных при подготовке настоящей статьи материалах зарубежных органов банковского надзора. Считается также, что в оптимальном варианте принципы, определяющие все подлежащие контролю данные и процедуры, равно как и сами объекты контроля, будут отражены в документированной политике внутреннего контроля банка, которая организационными мероприятиями доводится до сведения персонала.

С другой стороны, в оптимальном варианте все контролируемые данные и процедуры описываются и во внутрибанковском документе, который представляет собой «меморандум информационной безопасности» (хотя название такого документа может быть другим). В нем объекты контроля ранжируются по значимости для КО (одновременно — это оценки возможных компонентов рисков, связанных с нарушением целостности или утечкой данных), для них определяются уровни или степени защиты, средства защиты, права и полномочия доступа в соответствии с должностными обязанностями сотрудников КО и пр. Эта информация, естественно, доступна службе ВК КО, поскольку выявление, анализ, мониторинг рисков и управление ими входят в задачи СВК.

На описанной основе руководство КО совместно с ответственным за ВК в КО и его менеджментом приступают к определению совокупности способов и средств контроля, а также к выбору так называемых контрольных точек в той или иной внутрибанковской системе, в данном случае — это БАС, реализующая в том числе функции ЭБ. В зависимости от того, разрабатывается система ЭБ силами самой КО или заказывается у сторонней фирмы-разработчика, выбранный подход к реализации контроля может отражаться в проектной документации самой КО или детализироваться в исходных данных или техническом задании на разработку. То есть постулируется, что механизм ВК в оптимальном случае должен быть заложен еще в проект системы, в противном случае, как свидетельствуют многочисленные случаи из практики, в реализации принятой идеологии ВК будет мало общего с первоначально определенными принципами.

На этапе разработки, которая представляет собой в основном создание технического проекта и прикладное программирование, участия ВК, как и представителей руководства КО, обычно не требуется. Что же касается этапа испытаний, то участие представителей службы ВК считается желательным, кроме того, от них потребуется также участие в подготовке и утверждении таких документов, малознакомых людям, далеким от реальных разработок, как программа и методика испытаний. В противном случае не удастся гарантировать, что действительно будет проверено наличие и функционирование всех предусмотренных в проекте системы средств контроля. Это подтверждается (или нет) на этапе приемо-сдаточных испытаний, когда специалисты ВК должны будут проверить, что все предусмотренные ими процессы и процедуры контроля реализованы в полном объеме и работают именно так, как предусмотрено, то есть имеется возможность фиксировать в контрольных точках те компоненты данных, с помощью которых можно убедиться в правильной расшифровке и отработке ордеров клиентов, точном выполнении заказанных ими банковских операций, включая адекватность записей в базе бухгалтерских данных, целостности клиентских и банковских данных и достоверности внутрибанковской отчетности, в которую сводятся данные из системы ЭБ.

В процессе эксплуатации систем специалисты ВК пользуются средствами контроля БАС и системы ЭБ для достижения заданных целей, одновременно предоставляя руководству КО информацию о функционировании контролируемых систем, а при необходимости предоставляя возможность непосредственно воспользоваться предусмотренными механизмами контроля, например для подтверждения тех или иных результатов ВК. Аналогичным образом предполагается участие службы ВК и в процессах сопровождения и модернизации внутрибанковских систем. На этих этапах ВК должен отслеживать все изменения в системах, которые могут привести к появлению белых пятен в контролируемых процессах из-за того, что в ходе доработки, допустим, операционного программного обеспечения при внедрении новых видов ДБО какие-то контрольные функции окажутся ошибочно заблокированы или же не будут встроены новые контрольные процедуры, связанные с новыми видами обслуживания (а значит, возникнут и новые источники рисков).

Кроме того, в современных компьютерных системах, характеризуемых повышенной сложностью алгоритмистики и программного обеспечения, возможно наличие так называемых дыр, сквозь которые могут «проникать» злоумышленники, стремящиеся нанести ущерб банку или его клиентам. Такие недостатки могут иметь место из-за ошибок в программировании, недостатков инструментальных средств, с помощью которых разрабатывались программные комплексы, дефектов операционных систем, под управлением которых работают компьютеры или сетевые устройства (включая средства сетевой защиты и их настройку), ведутся базы данных и т.п. В общем случае компьютеризованные средства ВК должны позволять обнаруживать случаи несанкционированного вмешательства во все автоматизированные внутрибанковские процессы (хранения данных, расчетов, платежей и пр.) и выявлять результаты таких действий. Причем это относится и к возможным мошенническим действиям персонала банка, и к атакам хакеров и других нарушителей штатных режимов работы БАС и систем ЭБ. Считается, что специалисты ВК должны понимать и учитывать в своей деятельности проблемы такого рода. Сказанное относится и к ситуации, когда КО приобретает программно-технический комплекс «под ключ».

Данное явление типично для банковских учреждений, которые не имеют возможности осуществлять какие-либо собственные разработки или заказывать разработку специальных систем, будь то БАС или система ЭБ. В этой ситуации возникает необходимость привлечения службы ВК (равно как и службы информационной безопасности КО — это отдельная и тоже достаточная сложная тема) к анализу функциональных возможностей приобретаемой системы по целому ряду вопросов. Это — участие специалистов ВК в плане изучения гарантий полноты контроля над функционированием приобретаемой системы, отсутствия каких-либо встроенных «программных закладок», предназначенных для осуществления нештатных операций (связанных, например, с хищениями финансовых средств или конфиденциальной информации), надежности функционирования в критических ситуациях, «горячего» резервирования данных в обеспечение целостности банковских данных после восстановления работоспособности, прерванной теми или иными форсмажорными обстоятельствами, и т.п. Все это в оптимальном случае должно иметь место не только в ходе приемо-сдаточных испытаний систем, но и в процессе их эксплуатации и модернизации.

Даже из этого краткого изложения видно, что компьютеризация банковской деятельности неизбежно приводит к серьезному усложнению процедур ВК в тех случаях, когда речь идет о сложных программно-технических комплексах КО и массовом обслуживании. Особенно актуальным это становится, когда количество клиентов, использующих технологии ЭБ (а их в КО может быть несколько, — об этом говорилось в начале статьи), составляет тысячи и десятки тысяч, а количество осуществляемых ими операций исчисляется десятками и сотнями тысяч, причем это происходит не только в реальном масштабе времени (РМВ) и в режиме так называемой сквозной обработки10, но и в специфических современных условиях, когда актуальными стали не только проблемы адекватности бухгалтерского учета в виртуальном пространстве или достоверности банковской отчетности, но также противодействия противоправной деятельности посредством ДБО, например «отмыванию» денег.

В условиях массового обслуживания в РМВ службе ВК необходимо предусматривать в программном обеспечении (ПО) БАС КО наличие специальных автоматических процедур, реагирующих на признаки известных «подозрительных операций» наряду со специальной диагностикой таких операций и т.д. На этом делается акцент в современных публикациях зарубежных органов банковского (и в общем случае финансового) надзора, в которых подчеркивается, что руководство КО обязано обращать самое пристальное внимание на все перечисленные вопросы11. Сложность современных внутрибанковских систем, систем ДБО и многообразие реализуемых ими процедур неизбежно приводят к повышению требований к организации, составу и рабочим планам службы ВК. Если же говорить о СВК в целом, то аналогичные требования будут транслироваться и в другие подразделения КО, в которых размещаются компоненты СВК (отдельная достаточно обширная тема). Во всяком случае, это — неизбежная плата за технический прогресс в области банковских технологий. Поэтому от руководства любой КО, применяющей технологии ЭБ, обычно требуется особая «забота» об условиях применения этих технологий, прежде всего в плане их легитимности, надежности и защищенности.

В то же время очень многие недостатки в организации и особенно функционировании СВК могут быть обусловлены недостаточным вниманием руководства КО к профессиональному составу сотрудников, работающих в этой системе, и прежде всего к составу службы ВК. Можно привести одну старую, однако неустаревающую выдержку из «Обзора по компьютерному мошенничеству и злоупотреблениям» Комиссии по аудиту Великобритании 1990 года: «Аудиторам всех организаций следует иметь подготовку в области компьютерных технологий — особенно руководителям аудиторских служб, при этом многим организациям потребуется наличие профессионалов в области компьютерных технологий в их подразделениях внутреннего аудита для регулярного формирования рекомендаций по вопросам информационных технологий».

Данную цитату вполне можно соотнести с некоторыми базовыми требованиями (точнее, пожеланиями) к квалификации специалистов современного ВК в кредитных организациях. Раз уж эти организации оказались в полной зависимости от своих компьютерных информационных технологий, то, по всей видимости, в них кто-то должен наблюдать за этой зависимостью, оценивать ее степень и не допускать того, чтобы эта зависимость оказалась фатальной. Поэтому хорошо известные принципы «знай своего клиента» и «знай своего работника» для специалистов, занятых в системе ВК, уместно было бы дополнить принципом «знай свои технологии». При этом ни в коем случае нельзя забывать о необходимости реализации «принципа четырех глаз»12, что дополнительно усложняет состав и организацию СВК, равно как и мониторинг ее деятельности со стороны руководства и службы внутреннего аудита КО13.

Приведенный выше пример иллюстрирует тот возросший уровень технической подготовки, который требуется специалистам ВК для того, чтобы обеспечить наличие должного или, как принято говорить в зарубежных материалах «адекватного» контроля над обрабатываемыми данными и теми приложениями (прикладными программами), которые эти данные обрабатывают, с учетом растущей сложности банковских компьютерных технологий и насыщенности ими современной банковской деятельности, равно как и удостовериться в правильности функционирования программно-технических комплексов своей КО. В общем случае именно к такому повышению требований к объему знаний и уровню технической подготовки ведет необходимость полного охвата службой ВК деловой активности КО.

Совершенно очевидно, что, для того чтобы ВК был эффективным, осуществляющий его персонал КО должен иметь полное и адекватное представление об ее бизнес-модели, направлениях ее деятельности, технологическом обеспечении этих направлений, АПО БАС и ЭБ, рисках, связанных с каждым из видов банковской деятельности, включая те, компоненты которых имеют технологический характер (а таких с каждым годом становится все больше), их возможных источниках, в том числе кроющихся в специализированном ПО банковской деятельности, и т.д.

Следовательно, в КО неизбежно должен быть организован процесс адаптации ВК к развитию контролируемых им внутрибанковских систем и процессов КО, особенно при внедрении новых технологий ДБО, то есть собственно процесс ВК необходимо однозначно «привязывать» к содержанию деловой активности КО и тем внутренним условиям, в которых она протекает. Отсюда следует, что в службе ВК должны присутствовать специалисты, имеющие серьезную информационно-техническую подготовку как минимум по следующим направлениям: бухгалтерский учет, расчеты и платежи, подготовка и аудит банковской отчетности, информационная безопасность и защита информации, тестирование автоматизированных систем управления, риски автоматизированной банковской деятельности, их выявление, анализ и мониторинг. Однако это не все: каждый из таких специалистов должен регулярно повышать квалификацию, что связано с введением как новых видов банковской деятельности КО, так и новых банковских технологий и реализующих их систем, причем такой процесс должен охватывать всю цепочку менеджмента ВК и в общем случае распространяться на всю СВК. Приведенные положения не могут считаться завышенными, поскольку это тоже неизбежная плата за технологический прогресс в банковской сфере, последствия которого не должны приводить к снижению надежности и устойчивости кредитных организаций, ухудшению показателей их финансового состояния и системных характеристик деятельности и тем более качества обслуживания клиентуры этих организаций.

К сожалению, одними возможными внутрибанковскими проблемами, связанными с БАС и системами ЭБ в современных условиях сфера интересов специалистов ВК не может быть исчерпана. В последние годы все больший «вес» в банковской деятельности набирают разнообразные провайдеры, к услугам которых прибегают банки, что уже отмечалось нами в начале данной статьи. Значимость такой зависимости также постоянно подчеркивается в литературе надзорного характера, но в изученных автором документах банковского регулирования и надзора зарубежных стран преимущественно перечислялись и описывались только общие задачи ВК, практически без прямых отсылок к банковским и небанковским информационным технологиям как таковым, их внедрению и развитию. Такая связь в самом общем виде устанавливается обычно только в описаниях операционного, правового и репутационного рисков, причем также в виде достаточно общих положений.

В сопутствующих описаниях такие словосочетания, как «наличие адекватной политики и процессов», «особое внимание», «тщательный контроль» и т.п., используются часто. Однако они не конкретизируются в виде описаний конкретных организационно-технических процедур, равно как и определения «гарантии безопасности операций», «системные ошибки», «высокая чувствительность», «значительная зависимость», «ущерб репутации» и пр., а также методы снижения связанных с ними убытков с акцентом на «важные для банка данные» и т.п. Поэтому, даже имея возможность ознакомиться с документами зарубежных органов банковского надзора, руководители кредитных организаций и сотрудники СВК, безусловно, могут самостоятельно трактовать положения такого характера, при этом не обязательно так, как имелось в виду авторами соответствующих публикаций, и не связывая факторы тех или иных рисков с контролем функционирования банковских компьютерных систем. Между тем проблема аутсорсинга для банков действительно сложна и неоднозначна.

Возможности аутсорсинга
По логике вещей в кредитных организациях нет другой службы, которая могла бы заниматься вопросами аутсорсинга, кроме службы ВК. Кстати, кое-какой зарубежный опыт, в частности немецкий и американский, это подтверждает14. Смысл такого специфического направления деятельности для внутреннего контроля опять-таки в том, чтобы по возможности гарантировать минимизацию зависимости своей КО от одного конкретного провайдера или от каждого отдельного по конкретным направлениям аутсорсинга. Речь идет не только о предусмотренном заранее резервировании стороннего процессинга, каналов и систем связи, интернет-провайдеров и т.п., но и о том, что кроме специалистов ВК в КО реально некому убедиться в том, что у провайдера «все спокойно». В известных автору зарубежных вариантах решения данной проблемы в обязанности служб ВК кредитных организаций входит поддержание постоянных и весьма тесных отношений с организациями — провайдерами тех услуг, которые необходимы для реализации ДБО.

Во-первых, это регулярные рабочие контакты представителей службы ВК КО с менеджерами того или иного провайдера на его территории. Такое взаимодействие предусматривает получение информации о финансовом состоянии провайдера (поскольку важно убедиться в его финансовой состоятельности на перспективу), сведений о программно-технических комплексах, через которые проходят потоки данных КО и ее клиентов, их надежности и защищенности (с позиций гарантий непрерывности функционирования и невозможности компрометации данных), а также об организации, как нередко пишут, «внутренних процессов и процедур».

Во-вторых, это контроль содержания контрактов на те или иные виды обслуживания в интересах четкого разделения ответственности в случаях реализации каких-либо поддающихся прогнозу факторов риска или возникновения форсмажорных обстоятельств. В этой части специалисты ВК изучают описания предусмотренных процедур судебного разбирательства и решения возможных спорных вопросов, организацию резервирования средств вычислительной техники, от которых зависит работа провайдера, а через него — данной КО, планов на случай непредвиденных обстоятельств, содержание договоров с субпровайдерами, если они есть, и т.п.

В-третьих, изучается организация работы собственной службы ВК провайдера. По сути речь идет о том, что, заключая контракты на предоставление услуг КО третьими сторонами, служба ВК КО превращается для этих сторон в своего рода «мини-проверяющего». В каких-то случаях описанный подход регламентируется нормативными актами, регулирующими банковскую деятельность, в каких-то рекомендуется как «наилучшая практика», но, во всяком случае, взаимодействию банковских учреждений с провайдерами и зависимости первых от вторых уделяется значительное внимание. К примеру, в законодательстве США предусмотрено, что банки обязаны в месячный срок уведомлять орган банковского надзора о заключении контракта с конкретным провайдером или об использовании услуг провайдера. Нарушение данного требования и других связанных с ним влечет за собой определенные санкции.

Что касается России, то как некоторый аналог такого порядка можно рассматривать пока только один документ — выпущенное по результатам работ в направлении одной из разновидностей ЭБ, а именно, интернет-банкинга (ИБ), Указание Банка России от 01.03.2004 № 1390-У «О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий». Обработка сведений, содержащихся в отчетной форме, введенной этим документом, ориентирована на формирование общей картины распространения технологии ИБ в банковском секторе России, зависимости кредитных организаций от провайдеров интернет-услуг в различных аспектах, условий применения данной технологии, ее интеграции с действующими банковскими автоматизированными системами, а также от условий ее применения, включая особенности организации и работы служб ВК в кредитных организациях.

Заключение
В завершение статьи логично перейти к последнему по времени возникновения вопросу модернизации ВК в кредитных организациях, связанному с ИБ как специфичной и весьма перспективной разновидностью ЭБ. Понятно, что для реализации данной технологии изначально необходимо наличие представительства КО в Сети, через которое предполагается предоставлять какие-либо виды ДБО. В минимальном варианте это — информационное обслуживание. Как правило, КО при этом приводит на обособленном сервере информацию о себе, учредителях и акционерах, филиалах, маркетинговую информацию относительно предоставляемых банковских услуг, тарифах, формах договоров, сведения из публикуемой отчетности и т.д.15 Но и в минимальном варианте ИБ, несмотря на то что совокупный риск, ассоциируемый с этой технологией, здесь относительно низок (поскольку обычно отсутствует непосредственная связь между таким сервером и внутренней вычислительной сетью КО), возникают компоненты банковских рисков — правового и репутационного. Оба они связаны с возможностями воздействия на содержимое Web-сайта КО, так как соответствующий сервер или Web-сайт может оказаться уязвимым для воздействий, прежде всего в части намеренного искажения представляемой информации, антирекламы или внедрения порочащих КО гиперссылок на сомнительные ресурсы Интернета. Поэтому для руководства КО логично предусмотреть некие средства контроля для предотвращения несанкционированных воздействий. Наверное, у читателя данной статьи уже не возникает вопроса о том, кому бы следовало поручить контроль ведения Web-сайта КО. Естественно, это должно происходить во взаимодействии службы ВК с подразделением информатизации КО, ее службой информационной безопасности, а также, если Web-сайт располагается на сервере провайдера, то и с его ответственными лицами. Если же Web-сайт КО в Сети коммуникационный или транзакционный (операционный), то объем работы многократно увеличивается. Хорошо еще если сотрудники КО, входящие в его СВК, знакомы с Web-технологиями! Конечно, все это могут и будут делать специалисты ИТ, но нельзя ведь пренебрегать и принципом «четырех глаз». Кто, в конце концов, «охраняет часового»?!

К счастью, «часового» в КО в виде службы ВК или, в общем случае, СВК «охраняет» Банк России, расположившийся на первом уровне банковской системы. Как регулирующий орган Банк России выпускает в помощь службе ВК нормативные документы, регламентирующие ее организацию и деятельность, а в роли органа банковского надзора собирает сведения о том и другом, время от времени направляя также своих инспекторов в кредитные организации с той же целью. Но и специалистам Банка России, учитывая множество технологий ДБО со свойственной им спецификой, скорее всего, легко не будет, поскольку им придется оценивать достаточность методического и технического обеспечения ВК с позиций максимально возможного парирования влияния возможных источников рисков. Соответственно, при выявлении недостатков в организации и функционировании СВК потребуется разработка рекомендаций по их устранению, причем рекомендаций по действиям в высокотехнологичной среде.

Как бы то ни было, в процессы решения задач надзорных органов, как подчеркивается в материалах БКБН, изначально включаются процедуры выявления «слабых мест» или «белых пятен» во внутрибанковском контроле и причин их наличия, изучение их связи с условиями работы специалистов ВК и условиями функционирования банковских программно-технических комплексов, а также анализ механизмов доведения критической информации ВК до руководства КО наряду с принятием корректирующих решений, их доведением до конкретных участков работы КО и последующим контролем выполнения этих решений. Кроме этого, специалистам надзора приходится оценивать возможное влияние недостатков в ВК на уровни рисков, принимаемых на себя кредитными организациями, поскольку недостатки такого рода в условиях работы банков в киберпространстве сами являются наиболее серьезными источниками рисков.

Итак, сложность работы специалистов надзорных органов растет пропорционально усложнению процедур ВК, в свою очередь прямо зависящего от сложности банковских автоматизированных систем КО и ее технологий банковской деятельности. В первую очередь это относится к технологиям ЭБ.


1 Настоящая статья отражает исключительно мнение автора и может не совпадать с позицией Банка России.
2 Framework for Internal Control Systems in Banking Organizations. — BCBS, Basel, Sept. 1998; Risk Management Principles for Electronic Banking. — BCBS, Basel, May 2003.
3 См.: журнал «Оперативное управление и стратегический менеджмент в коммерческом банке», 4/2004, с. 39–52; 5/2004, с. 40–53; 6/2004, с. 34–40.
4 Термин введен автором при подготовке лекций в Российской академии государственной службы в 2003–2004 гг.
5 Сказанное можно отнести к контролю банковской деятельности в широком смысле: и к внутреннему, и к внешнему.
6 Можно отметить, что данное положение относится в своей существенной части и к службам любого финансового контроля или надзора, банковского инспектирования и т.п.
7 Эти риски рассматривались автором в предыдущих публикациях.
8 См.: 5/2004, с. 40–53; 6/2004, с. 34–40.
9 См., напр.: IT Examination Handbook. V.1, 2. — FFIEC, Washington DC, USA, 1996; Risk Management of Outsourced Technology Services. — FFIEC, Washington DC, USA, 2000; Electronic Banking. Safety & Soundness. — FDIC, Washington DC, USA, 1998; Douglas I.J. Computer Audit & Control Handbook. — Butterworth-Heinemann Ltd., UK, 1995 и др.
10 Straight-through processing — сквозная обработка. Такая организация учета операций, при которой дистанционно действующий клиент КО воспринимает изменение содержимого базы данных с остатками по счетам и историю операций практически в РМВ.
11 В США, например, банковские учреждения обязаны заполнять и предоставлять в органы банковского надзора так называемые отчеты о подозрительной деятельности (SAR — Suspicious Activity Report), имеющие унифицированную форму, частично ориентированную на компьютерную обработку. Эта отчетная форма время от времени совершенствуется, на сегодняшний день она включает информацию как о возможных нелегитимных или подозрительных операциях и сделках, так и об атаках из киберпространства, которым подвергаются финансовые учреждения, нанесенном ущербе, результатах расследований и т.д.
12 Под этим понимается организация двойного независимого параллельного контроля
13 Впрочем, насколько известно автору, такой акцент делается только в материалах БКБН.
14 К сожалению, автор не располагает исчерпывающей информацией по данному вопросу, поэтому дальнейшее изложение базируется на небольшом числе примеров.
15 В настоящее время действует Указание оперативного характера Банка России от 03.02.2004 № 16-Т «О рекомендациях по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет», в дополнение к которому выпущено вводимое в действие с 01.04.2005 Письмо Банка России от 19.01.2005 № 8-Т «О сведениях, рекомендуемых для размещения на Web-сайтах кредитных организаций в сети Интернет».
Л.В. Лямин, Управление методологии рисков внутрибанковских систем Департамента банковского регулирования и контроля Банка России, начальник отдела интернет-банкинга1
 
 
 
 
Другие проекты группы «Регламент-Медиа»