Организация управления рисками, связанными с применением систем интернет-банкинга

Уже не подлежит сомнению, что при внедрении кредитными организациями технологий дистанционного банковского обслуживания (ДБО), или, иначе, «электронного банкинга», и расширении состава предоставляемых банковских услуг целесообразно пересматривать содержание процесса управления банковскими рисками. Этой проблематике было посвящено немало зарубежных и отечественных материалов². В то же время все они носили достаточно общий характер, а конкретные решения, пригодные для практического применения, кредитным организациям до настоящего времени приходилось находить самостоятельно. В настоящее время можно считать, что наряду с традиционными системами «банк—клиент» закрытого типа (как правило, корпоративными) в нашей стране наибольшее распространение получает технология интернет-банкинга (ИБ) как один из вариантов электронного банкинга, находящий широкое применение на волне «интернетизации» общественной жизни.

При этом в отсутствие единой методологической платформы для многих кредитных организаций, как свидетельствует практика, адаптация мониторинга банковских рисков, принимаемых на себя кредитными организациями, и управления ими оказалась затруднительной, из-за чего могут страдать качество и эффективность этих внутрибанковских процессов, а следовательно, возрасти необоснованная дополнительная подверженность рискам как самих кредитных организаций, так и их клиентов.

В связи с этим, а также основываясь на том, что обеспечение эффективного управления банковскими рисками является одной из целей внутреннего контроля в кредитных организациях³, Банком России было выпущено Письмо от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга»⁴ (далее — Рекомендации).

Данный документ по существу представляет собой первый пример того, как проблематика ДБО, интенсивно распространяющегося в российском банковском секторе, фактически вынуждает кредитные организации учитывать смещение своих профилей рисков, с тем чтобы удерживать эти риски в допустимых пределах и тем самым предотвратить возможное негативное влияние их реализации на выполнение обязательств перед своими клиентами и Банком России как органом банковского регулирования и надзора.

Следует отметить, однако, что этот документ определяет все же только общие основания и подходы к организации управления рисками в условиях применения технологии ИБ, причем как только одной из разновидностей ДБО, а значит, речь идет пока что о начале банковского регулирования по данному направлению банковской деятельности. Очевидно, что курс Правительства России на расширение обеспечения банковскими услугами населения страны, включая отдаленные регионы, будет одновременно способствовать внедрению и развитию все новых вариантов ДБО, что, в свою очередь, потребует от кредитных организаций углубленного анализа меняющихся условий конкуренции, потребностей своих реальных и потенциальных клиентов, а также достоинств новых банковских технологий и сопутствующих им факторов риска, подлежащих учету во внутрибанковских процессах.

В последние годы применение российскими кредитными организациями технологий электронного банкинга набирает темп, о чем свидетельствует все растущее количество предлагаемых этими организациями своим клиентам технологических схем, равно как и число публикаций по данной тематике. В связи с этим уместно упомянуть, несколько отвлекаясь от темы настоящей статьи, что Банк России, учитывая зарубежный и международный опыт банковского регулирования и надзора данного направления банковской деятельности, не так давно инициировал тотальное анкетирование кредитных организаций для сбора сведений о применяемых ими технологиях электронного банкинга в целом и видах банковских услуг, предоставляемых дистанционно посредством различных телекоммуникационных систем⁵.

Сбор, систематизация, обработка и комплексный анализ указанной информации позволят составить общую картину использования ДБО в банковском секторе страны, а также оценить распространение конкретных применяемых кредитными организациями технологий электронного банкинга и оказываемых такими способами услуг в интересах дальнейшего совершенствования банковского регулирования и надзора. В дальнейшем на этой основе возможна разработка новых документов, относящихся к совершенствованию корпоративного управления в кредитных организациях в условиях формирования высокотехнологичной среды предоставления банковских услуг, приобретающей относительно глобальный характер, повышению качества внутреннего контроля, включая проблематику финансового мониторинга, и управления банковскими рисками.

Возвращаясь к теме статьи, следует подчеркнуть, что в рассматриваемом документе впервые приведены базовые положения, необходимые для определения и понимания сущности ДБО через Интернет, а также осознания тех источников и факторов банковских рисков, которые сопутствуют данной разновидности технологий электронного банкинга. В частности, в разделе 1 Рекомендаций «Общие положения» приведены следующие дефиниции:

- Интернет-банкинг — способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через WEB-сайт(ы) в сети Интернет⁶) и включающего информационное и операционное взаимодействие с ними.

- Информационный контур интернет-банкинга — совокупность взаимосвязанных компьютерных систем, устройств и каналов связи, используемых при обслуживании клиента (передаче информации от кредитной организации к клиенту и обратно с использованием сети Интернет, а также при обработке и хранении данной информации).

- Система интернет-банкинга — информационная система, используемая кредитной организацией для обслуживания клиентов в сети Интернет.

- Риски интернет-банкинга — риски, возникающие при осуществлении кредитными организациями операций с применением систем интернет-банкинга.

- Провайдер — организация, предоставляющая кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающая доступ к информационно-телекоммуникационным сетям.

- Ордер клиента — любое дистанционное обращение клиента кредитной организации с помощью системы интернет-банкинга за оказанием банковских услуг (получение выписки со счета, осуществление банковской операции и т.д.).

Необходимо отметить также, что уже этими положениями в Рекомендациях впервые постулирована целесообразность учета кредитными организациями того факта, что банковская деятельность в современном мире приобрела принципиально иной, отличный от традиционного характер⁷. Акцентирование возникновения информационного контура банковской деятельности (ИКБД) как такового служит тому, чтобы кредитные организации обращали внимание на возникающие зависимости отдельных видов банковского обслуживания и процессов, входящих в состав банковской деятельности, от сторонних организаций, ранее не имевших отношения к этой деятельности, а также новые факторы риска, связанные с удаленностью их клиентов.

Таким образом, пруденциальный подход к управлению банковскими рисками должен (в оптимальном варианте) изначально характеризоваться комплексным учетом их факторов.

Необходимость адаптации управления банковскими рисками

В разделе 1 рассматриваемых Рекомендаций определены семь основных целей их разработки (п. 1.2), непосредственно относящихся к гарантиям надежности банковской деятельности. Все они относятся к базовым характеристикам такой банковской деятельности, а именно к обеспечению:

- «надежного дистанционного банковского обслуживания с применением систем интернет-банкинга, отвечающего требованиям клиентов кредитной организации в части доступности, функциональности и защищенности операций и данных интернет-банкинга;

- соответствия дистанционного банковского обслуживания с применением систем интернет-банкинга требованиям законодательства Российской Федерации, в том числе нормативных актов Банка России, по вопросам банковской деятельности и управления банковскими рисками;

- информационной безопасности систем интернет-банкинга, в том числе защиты информационных ресурсов кредитной организации от неправомерного доступа с применением интернет-технологий;

- контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет-банкинга, в рамках системы внутреннего контроля кредитной организации;

- противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключению вовлечения кредитной организации в противоправную деятельность при использовании дистанционного банковского обслуживания с применением систем интернет-банкинга;

- достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;

- поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем интернет-банкинга, в пределах, установленных кредитной организацией».

Проанализируем перечисленные положения с позиций оценки каждой из характеристик в плане реализации эффективного управления рисками.

Первое же положение имеет четкий акцент на соответствие функционирования кредитной организации ожиданиям ее клиентов, а именно тому, что будут выполняться определенные в договорах с клиентами обязательства, принятые кредитной организацией в части доступности, функциональности и защищенности операций и данных интернет-банкинга.

Справедливости ради следует отметить, что, как показывает опыт изучения договоров на ДБО (или, в разных вариантах, дополнительных соглашений к договору банковского счета на ДБО), терминология такого рода свойственна далеко не всем подобным документам. В то же время целесообразно отчетливо понимать, что клиент заключает договор на ДБО в предположении наличия конкретных характеристик у комплекса, состоящего из систем ДБО (в данном случае в форме интернет-банкинга) и банковских автоматизированных систем (БАС) кредитной организации, принимающих, обрабатывающих и хранящих ордера клиентов и результирующую информацию по их обработке. Это в основном то, что наиболее важно для клиентов.

О техническом составе этого комплекса типичный клиент кредитной организации представления не имеет, однако он рассчитывает, что будет гарантировано функционирование системы ИБ в требуемые ему интервалы времени (или как минимум в пределах установленного в этой организации операционного дня). При этом подразумевается функционирование стабильное и оперативное, без сбоев и раздражающих задержек реагирования на исполнение отправленных ордеров (такие положения чаще всего в текстах клиентских договоров на ДБО отсутствуют). Ясно, что невыполнение этих условий влечет за собой реализацию как минимум стратегического и репутационного, а возможно, и правового рисков.

Также клиент рассчитывает на полнофункциональность, обеспечиваемую при работе с системой ИБ независимо от влияния факторов риска, которые связаны с разными компонентами банковских распределенных компьютерных систем. Это относится как к собственным системам кредитной организации (ее филиала, отделения, представительства), так и к системам сторонних организаций (провайдеров), клиенту, естественно, лично не известных, но входящих в состав ИКБД и участвующих в банковской деятельности.

Что касается обеспечения доступности и непрерывности ДБО, в частности за счет резервирования оборудования самой кредитной организации («горячего» и «холодного» резервов), то специалистам в области автоматизированных систем соответствующие принципы, как правило, хорошо известны, а поэтому в настоящей статье не рассматриваются. Здесь следует отметить, что весьма нечасто можно увидеть в составе раздела форс-мажорных обстоятельств типового договора на ДБО упоминания о возможных причинах недоступности или прерывания обслуживания в связи с проблемными ситуациями у третьих сторон.

В то же время за рубежом хорошей практикой считается стремление кредитной организации к обеспечению приема и обработки ордеров клиентов независимо от тех негативных последствий, которые могут быть связаны с авариями, отказами, сбоями в работе оборудования провайдеров (предоставляемого либо сопровождаемого ими), обеспечивающих функционирование ИКБД⁸. Это касается в том числе и информирования клиентов кредитной организации о тех запасных вариантах ДБО, которыми они могут воспользоваться в случае выхода из строя какого-либо ресурса ИКБД, например запасных маршрутов в сети Интернет или других способов и систем ДБО (мобильного, телефонного, традиционного банкинга и т.п.). Последнее, в свою очередь, предполагает наличие в кредитной организации ответственных лиц (например, в ее подразделении общественных связей), обеспечивающих размещение необходимой информации в ее офисах и на WEB-сайтах, включение ее в договоры с клиентами и т.п.

Конечно, установление соответствующих процедур является прерогативой высшего руководства этой организации, поскольку здесь требуются объединенные усилия нескольких подразделений: технических, юридического, сервисного, внутреннего контроля и т.п.

Наконец, клиенту необходимы гарантии целостности и конфиденциальности его информации, то есть той, которую он в явной или неявной форме считает принадлежащей ему лично и которая может быть использована только и исключительно в целях, предопределенных самим клиентом. (Например, в США вопросы такого рода решены на уровне федерального законодательства, которое оперирует такими терминами, как «клиентская информация», «клиентские информационные системы» и т.п.⁹, однако это тема отдельного рассмотрения, выходящего за рамки настоящей статьи.) Здесь важно подчеркнуть, что в отечественной практике такой подход к защите клиентской информации, насколько известно автору, не используется, из-за чего и в договорах на ДБО соответствующие формулировки, как правило, отсутствуют, а сами клиенты на это отсутствие внимания не обращают. Вследствие этого кредитные организации нередко не устанавливают в своих внутренних документах, относящихся к обеспечению надежности и безопасности функционирования, требований, связанных с клиентской информацией. В свою очередь, такие требования обусловливают проведение разнообразных организационно-технических мероприятий, начиная с обеспечения юридической силы документов, существующих при ДБО исключительно в электронной форме, и кончая гарантиями невозможности отказа от операции (non-repudiation) наряду с содержанием заключаемых с клиентами договоров на ДБО. Очевидно, что при этом также требуется внутрибанковская организация согласованного взаимодействия как минимум нескольких подразделений: технических, юридического, обеспечения информационной безопасности и внутреннего контроля.

Обеспечение соответствия процесса ДБО с применением систем интернет-банкинга требованиям нормативных правовых актов, регламентирующих осуществление банковской деятельности и управление банковскими рисками, представляет собой одновременно и достаточно специфическую и многоаспектную задачу. Прежде всего следует отметить, что специфика ИБ во многом определяется построением самих систем ИБ и организацией так называемого информационного сечения между системой ИБ и БАС кредитной организации. Первое относится к таким особенностям применения ДБО, как обеспечение:

— выполнения правил бухгалтерского учета с точки зрения полноты и целостности регистрации поступающих из киберпространства и обрабатываемых в нем же ордеров клиентов (включая гарантии невозможности отказа от операции со стороны как клиента, так и кредитной организации);

— достоверности регламентной банковской отчетности, формируемой из того же виртуального пространства и непосредственно зависящей от эффективности решения предыдущей задачи (к этому можно отнести и такую специфическую «отчетность» перед клиентами кредитной организации, как предоставление выписок по счетам, ведение истории счета, операций и т.п.);

— целостности клиентских и банковских данных, обращающихся и хранящихся фактически в том же виртуальном пространстве (базах и(или) хранилищах данных кредитной организации или, в ряде случаев, ее провайдера), включая сохранность реквизитов и содержания ордеров клиентов на всем протяжении процедур выполнения банковских транзакций;

— сохранения банковской тайны (в соответствии со ст. 26 Федерального закона «О банках и банковской деятельности») и, как отмечалось выше, гарантий невозможности использования клиентской информации «непредусмотренными» способами;

— соответствия интервалов времени, затрачиваемых на выполнение ордеров клиентов и, как правило, преимущественно затребованных ими финансовых операций, договорным отношениям и требованиям банковского (финансового) законодательства;

— оснований для разрешения спорных (конфликтных) ситуаций, обусловленных самыми разнообразными причинами: сбоями, отказами, авариями, катастрофами, инцидентами информационной безопасности и т.д., включая предоставление юридически значимой доказательной информации, формирующейся, циркулирующей и хранящейся в киберпространстве (в условиях наличия известных пробелов в российском законодательстве, практически отсутствующего в части электронных финансов);

— полноценного внутреннего контроля над операциями в виртуальном пространстве в части всех вышеперечисленных процессов и процедур, а также (возможно, даже прежде всего) финансового мониторинга в условиях массового ДБО через Интернет (т.е. при обслуживании сотен, тысяч и десятков тысяч клиентов).

В силу ограниченных объемов статьи здесь приведены лишь основные аспекты анализа факторов риска при ДБО, которые связаны с архитектурой систем такого рода. Что касается организации информационных сечений, то менеджерам различных уровней в кредитной организации целесообразно обращать внимание на наличие и содержание ролевых функций ее персонала при передаче (и, возможно, преобразовании) потоков данных из одной системы (ДБО) в другую (БАС). От этого зависит в первую очередь эффективность реализации в кредитной организации процессов управления, обеспечения информационной безопасности и внутреннего контроля, включая финансовый мониторинг. Как правило, без какого-либо, хотя бы косвенного, участия персонала в процедурах обработки (преобразования) данных при ДБО не обходится даже в случае автоматизированной сквозной обработки (straight-through processing). В этом случае целесообразно рассматривать как минимум следующие вопросы.

- Предусмотрено ли наличие функций, выполняемых операторами БАС (или в ряде случаев систем ДБО) либо системными администраторами, обладающими полномочиями доступа к данным из поступающих ордеров клиентов, и если да (а это, как правило, именно так), то с какими правами, то есть существуют ли возможности несанкционированного считывания (хищения, утечки) информации, ее подмены или уничтожения, имитации проводимых операций как бы от лица легитимных клиентов и т.п.?

- Могут ли функции, выполняемые уполномоченными сотрудниками кредитной организации, давать возможности осуществления каких-либо мошенничеств разного рода: хищения финансовых средств (например, за счет подмены реквизитов ордеров), сокрытия сомнительных операций, подлежащих обязательному контролю, несанкционированного использования конфиденциальной информации (ключи или пароли доступа, кодовые фразы, персональные данные клиентов или сведения о проводимых ими операциях и т.д.)?

- Внедрены ли в кредитной организации процедуры контроля над функциями, выполняемыми сотрудниками, которые имеют доступ к информационным сечениям, и чем гарантируется эффективность этих процедур (используемые методы, внутрибанковские документы, примененные средства, способы и программы проверок, ответственность за проведение проверок и отчетность о проверках, гарантии невозможности реализации сговора или нелегитимных действий, приводящих к нарушению целостности данных и т.п.)?

Эти вопросы тесно связаны, хотя и не пересекаются полностью с проблематикой обеспечения в кредитной организации информационной безопасности систем интернет-банкинга, включая защиту информационных (и процессинговых) ресурсов этой организации от неправомерного доступа с применением интернет-технологий (в общем же случае — любых технологий ДБО, к которым могут относиться протоколы систем мобильного банкинга и пр.). Содержание понятия информационной безопасности при применении ИБ достаточно обширно и ранее анализировалось автором¹⁰, здесь же важно отметить, что при организации управления рисками банковской деятельности в условиях ИБ специалистам кредитной организации (из состава ее высшего руководства, служб информатизации, внутреннего контроля и обеспечения информационной безопасности) целесообразно иметь четкое представление об изменениях в связи с внедрением технологии и систем ИБ, прежде всего относящихся к:

— новому периметру обеспечения информационной безопасности кредитной организации, который значительно расширяется в условиях ИБ;

— новым зонам ответственности кредитной организации, в которые попадает значительная часть ИКБД (включая клиентов и провайдеров);

— новым особенностям несанкционированного доступа к информационным активам кредитной организации в условиях открытых систем;

— новым угрозам, связанным с возможными сетевыми атаками (через Интернет) на информационно-процессинговые ресурсы кредитной организации;

— внесению изменений в политику информационной безопасности кредитной организации и реализующий ее внутрибанковский процесс.

Внутренний контроль за банковскими операциями, осуществляемыми клиентами с применением систем ИБ, как внутрибанковский процесс в кредитной организации также претерпевает существенные изменения, прежде всего в плане внедрения новых процедур и дополнительной технологической насыщенности.

При этом целесообразны не только дополнительная подготовка персонала и разработка новых планов, программ и методик внутреннего контроля, но не исключен и прием на работу новых специалистов, желательно соответствующим образом сертифицированных¹¹. Заметим, что в кредитной организации, «насыщенной» компьютерными технологиями, такие специалисты должны бы иметься и до внедрения технологий и систем ДБО (о чем следует заблаговременно позаботиться ее высшему руководству).

Эти специалисты как раз и являются теми лицами, которые способны разработать и претворить в жизнь новые («исправленные и дополненные») издания планов, программ, методик внутреннего контроля (или внутреннего аудита), а также новые формы отчетов о проводимых проверках. Они же преимущественно реализуют планы и программы внутренних проверок, охватывая фактически все вопросы внутреннего компьютерного аудита.

Следует отметить, что ролевые функции сотрудников службы внутреннего контроля в кредитной организации с введением ДБО и прежде всего наиболее популярного, как отмечалось, ИБ неизбежно расширяются за счет дополнений в части:

— понимания содержания технологии ИБ и осознания специфики Интернета как технологии межсетевого информационного взаимодействия, реализующей принципы открытой системы и универсально сетевого протокола, привносящей в банковскую деятельность новые источники (факторы) рисков;

— осознания ответственности кредитной организации за функционирование ИКБД, значительная часть которого находится вне сферы ее управленческой и контрольной досягаемости (включая клиентов и провайдеров), и внедрение средств функциональной компенсации его неподконтрольных компонентов;

— новых функций контроля над ДБО через Интернет, включая анализ организации информационных сечений между системой (или системами) ИБ и БАС кредитной организации, адекватности бухгалтерского учета, достоверности регламентной банковской отчетности, информационной безопасности и пр.;

— немаловажного вопроса контроля над состоянием и функционированием провайдеров кредитной организации, который до настоящего времени не нашел своего адекватного разрешения в плане очевидной зависимости кредитной организации и ее клиентов от таких сторонних организаций;

— взаимодействия с внешними аудиторскими компаниями, которые осуществляют функции аудита банковских автоматизированных систем, и реализации планов мероприятий по устранению выявленных недостатков в части применения информационных технологий, включая системы ДБО.

Здесь перечислены только основные нововведения в процесс внутреннего контроля; более подробно некоторые вопросы рассматривались автором ранее¹². В зависимости от конкретной структуры кредитной организации перечисленные вопросы могут частично распределяться между ее упоминавшимися выше подразделениями в рамках системы внутреннего контроля. Тем самым можно подчеркнуть многоаспектность адаптации внутреннего контроля к внедрению технологии ИБ в части новой организации управления банковскими рисками и контроля над содержанием и реализацией этого процесса. Платой за неполное осознание необходимости такой адаптации для кредитной организации может стать повышение уровней стратегического, операционного, правового и репутационного рисков, а также неожиданная реализация их компонентов.

Что касается организации и реализации в кредитной организации противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключения возможного вовлечения кредитной организации в противоправную деятельность при применении систем интернет-банкинга, то целесообразно осознавать, что этому могут способствовать особенности ДБО как такового, тем более осуществляемого в форме ИБ. Обусловлено это в основном двумя факторами:

1) эффектом «взаимной анонимности»;

2) массовостью использования такого варианта обслуживания.

Взаимная анонимность

Практически при любом ДБО действует эффект «взаимной анонимности» агентов удаленного информационного взаимодействия. Это означает, что кредитная организация не всегда может быть полностью уверена, что из виртуального пространства ИКБД поступают ордера, сформированные легитимно действующим, то есть официально зарегистрированным клиентом.

В условиях, когда такое лицо скрыто средой удаленного взаимодействия (Интернет, мобильная связь и т.д.), могут быть несвоевременно обнаружены и подтверждены факты утраты им средств и полномочий доступа к информационно-процессинговым ресурсам кредитной организации либо сознательной передачи их сторонним лицам¹³. Следствием этого могут стать разнообразные мошеннические действия, к которым сама кредитная организация не причастна, но которые совершаются с помощью предоставленных ею технологий и систем ДБО.

В дальнейшем, при проведении расследований компетентными органами, доброе имя придется защищать, и лучше заблаговременно задуматься о том, как и на каких основаниях это делать. А еще лучше — не создавать прецедентов такого рода за счет тщательного продумывания условий применения технологий электронного банкинга, в особенности интернет-банкинга и мобильного банкинга, которые необходимы для исключения вовлечения в противоправную деятельность, и их создания с помощью пруденциальной организации внутрибанковских процессов и процедур.

Кроме того, клиенты ИБ тоже не всегда могут быть уверены в том, что взаимодействуют со «своей» кредитной организацией во время отдельных сеансов ДБО через Интернет. На этом основаны прежде всего технология фишинга (phishing), предназначенная для мошеннического выманивания данных персональной идентификации, а также традиционные способы кражи таких данных при считывании идентификаторов и паролей программами перехвата клавиатурного ввода, сетевого прослушивания (sniffing) в результате хакерских атак и т.д., интернет- и банкоматных мошенничеств с банковскими картами и других вариантов противоправной деятельности.

Целесообразно поэтому помнить о том, что любые претензии к кредитной организации со стороны клиентов могут оказаться для нее источниками репутационного, правового, стратегического рисков в том случае, если она не предупреждала пользователей ИБ о возможных источниках рисков (не только для кредитной организации, но и для них самих), связанных с использованием ДБО¹⁴.

Как показывает практика, значительное число случаев реализации компонентов банковских рисков связано с невысоким уровнем компьютерной грамотности клиентуры кредитных организаций и халатностью отдельных ее представителей. Поэтому «обучению» клиентов ДБО логично уделять достаточно серьезное внимание, что усложняет ролевые функции сервис-центра кредитной организации, но это неизбежно.

Массовость использования ДБО

При организации дитстанционного банковского обслуживания в форме интернет-банкинга значимым фактором становится эффект массовости использования такого варианта обслуживания. Нередко, чтобы безопасить себя от возможных противоправных операций, ошибок клиентов, других негативных явлений, в кредитной организации используется своего рода «ступенчатая» обработка ордеров клиентов, при которой на этапе трансфера из системы ИБ в БАС они проверяются специально подготовленными операторами, принимающими решения относительно их дальнейшей обработки (включая обязательный контроль в рамках финансового мониторинга) или приостановки исполнения ордера ввиду сомнительности затребуемой операции.

Относительно необходимости учета наличия «человеческого фактора» в данном информационном сечении уже писалось выше, что это акцентирует значимость следования принципу «четырех глаз»; здесь же следует подчеркнуть, что при массовом характере ДБО (тысяч, десятков, сотен тысяч и более клиентов) использование операторов для контроля транзакций затруднительно. Вследствие этого кредитные организации вынуждены использовать специально разработанные программно-иформационные средства, позволяющие повысить эффективность финансового мониторинга при приемлемых финансовых и трудозатратах.

Фактически в этом случае используются аналоги хорошо известных «экспертных систем», которые анализируют потоки ордеров «на проходе» или в режиме, близком к этому. Однако в этом случае многое зависит от качества таких средств, их разработчика, заложенных алгоритмов (в том числе с учетом необходимости сопровождения при совершенствовании соответствующей законодательной базы), а также, что не менее важно, от полноты их предварительного тестирования.

Целесообразно помнить о том, что от адекватности организации, содержания и результатов такого автоматизированного финансового мониторинга могут непосредственно зависеть судьба кредитной организации, а следовательно, и интересы ее клиентов.

* * *

Вопрос обеспечения гарантий достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга, акцентированный в Рекомендациях, частично уже обсуждался выше.

Здесь стоит отметить, что речь, по сути, идет о совокупности взаимосвязанных внутрибанковских процедур, организованных таким образом, чтобы все внутрисистемные события, начиная от регистрации клиента ИБ через веб-сайт кредитной организации, продолжая обработкой ордеров и заканчивая фиксацией ее результатов, во-первых, гарантировали целостность данных, во-вторых, отражались в так называемых компьютерных журналах (системных логах и аудиторских трейлах¹⁵), в-третьих, могли быть проверены (службами внутреннего контроля или аудита).

Эти задачи не так просты, как это может показаться, поскольку в данной ситуации руководству кредитной организации целесообразно предусмотреть:

— наличие таких компьютерных журналов как таковых, причем включающих всю необходимую информацию, которая может потребоваться для восстановления событий, имевших место в процессе сеанса обслуживания в рамках ИБ (маршрутную информацию (в зависимости от конкретной системы ДБО она может несколько варьироваться), реквизиты и содержание ордера, метки времени, квитирование того или иного рода, данные аналогов собственноручной подписи и их обработки, специальные сведения о клиенте ИБ, реквизиты, свидетельствующие о прохождении информации в БАС, и т.п.), а также средства просмотра этих журналов и оперативного поиска в них;

— распределение ответственности, обязанностей, прав и полномочий, подконтрольности и подотчетности функций, выполняемых в отношении этих компьютерных журналов, с учетом того, что должно обеспечиваться отсутствие чрезмерной концентрации полномочий при работе с содержащимися в них данными: права доступа к информации как таковые (исключая возможности ее редактирования/удаления или с возможностью внутрисистемной фиксации таких действий в специальном файле-журнале), разграничение прав и полномочий в отношении баз данных между различными администраторами — системными, информационной безопасности и пр. (регистрация пользователей, распределение прав и полномочий и т.п.);

— контроль целостности журнальной информации, ее резервирование, хранение (также с распределением ответственности, обязанностей и т.д.), порядок использования;

— обеспечение всех указанных процедур внутрибанковскими распорядительными документами, порядками, должностными инструкциями.

Все вышеперечисленное целесообразно подвергать периодическому адекватному управленческому контролю, который, в свою очередь, также регламентируется высшим руководством кредитной организации.

Наконец, для поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем ИБ, в пределах, установленных кредитной организацией, требуется в общем случае наличие в кредитной организации такой внутренней политики (официально оформленной соответствующим внутрибанковским документом), которая гарантировала бы внесение всех необходимых изменений в основные внутрибанковские процессы, имеющие отношение к ДБО, в плане их адаптации к новым условиях банковской деятельности. К числу таких процессов относятся:

- документарное обеспечение банковской деятельности,

- информатизация (автоматизация) банковской деятельности,

- обеспечение информационной безопасности,

- осуществление внутреннего контроля,

- проведение финансового мониторинга,

- организационно-техническое взаимодействие с провайдерами.

Очевидно, речь по существу идет о мета-уровне процессного подхода к организации банковской деятельности (в широком смысле), осуществляемой в условиях применения технологий электронного банкинга. Имеется в виду, что внедрение новых банковских технологий в целом, реализующих их БАС и систем ДБО и т.д. до уровня новых банковских услуг, предполагает наличие в кредитной организации структурированного процесса управления внутрибанковскими процессами, в соответствии с которым каждое технологическое нововведение сопровождается внесением изменений в перечисленные процессы и составляющие их процедуры.

От того, насколько адекватна такая адаптация к новым способам предоставления банковских услуг (в данном случае ИБ) и соответственно новым условиям банковской деятельности (через открытые системы), непосредственно зависят как эффективность этой деятельности, так и в ряде случаев финансовое состояние и жизнеспособность кредитной организации. К тому же недостаточно высокое качество этой адаптации может негативно сказаться и на интересах клиентов кредитной организации, и на выполнении ею обязательств перед контролирующими органами.

Следует подчеркнуть, что это не преувеличение и не устрашение, а требование времени: практика свидетельствует о том, что при пруденциальной организации банковской деятельности в области электронного банкинга выгоды от применения таких технологий для кредитных организаций и их клиентов очевидны и весьма значительны. Об этом свидетельствует в том числе факт наличия и достаточно эффективного функционирования полностью «виртуальных» банков. Только делать все надо «по правилам», в данном случае еще не всегда установленным официально, но действующим на основе здравого смысла.

(Продолжение следует)

¹ - Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

² - См., напр.: Internet Banking. Controller’s Handbook, OCC, I-IB, Washington, DC, USA, October 1999; Risk Management Principles for Electronic Banking, BCBS, Basel, July 2003; Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52–63; № 6. С. 43–54; № 7–8. С. 37–54.

³ - Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

⁴ - Вестник Банка России от 09.04.2008 № 16(1032).

⁵ - Письмо Банка России от 01.08.2008 № 94-Т «О проведении анкетирования кредитных организаций».

⁶ - Определения понятий «WEB-сайт», «WEB-сервер» содержатся в Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет (Приложение к Указанию оперативного характера Банка России от 03.02.2004 № 16-Т «О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет» // Вестник Банка России. 11.02.2004. № 11).

⁷ - Автор уже обращал на это внимание в более ранних публикациях, см., напр.: Процессный подход к применению технологий электронного банкинга с позиций риск-фокусированного надзора // Управление в кредитной организации. 2006. № 6. С. 83–94; 2007. № 1. С. 57–68; № 2. С. 66–74; № 3. С. 53–70; Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. № 3. С. 78–89; № 4. С. 70–83; № 5. С. 68–82.

⁸ - См., напр., Лямин Л.В. Концептуальные вопросы управления аутсорсингом в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2007. № 5. С. 109–118; 2008. № 1. С. 80–102.

⁹ - 12 CFR (Code of Federal Regulations), Pt. 30 — SAFETY & SOUNDNESS STANDARDS.

¹⁰ - Лямин Л.В. Три составные части и три источника информационной безопасности в кредитных организациях // Управление в кредитной организации. 2006. № 1. С. 107–116; № 2. С. 118–126; № 3. С. 113–126; № 4. С. 111 126; № 5. С. 111–120.

¹¹ - К примеру, имеющих квалификацию CISA — Certified Information Systems Auditor (сертифицированный аудитор информационных систем).

¹² - Лямин Л.В. Современные тенденции организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 4. С. 39–52; Анализ общих принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2004. № 5. С. 40–53; № 6. С. 34–40; Особенности взаимодействия служб информационной безопасности и внутреннего контроля при использовании компьютеризованных банковских технологий // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. № 4. С. 112–119.

¹³ - Этим в том числе обусловлен выпуск Банком России писем от 30.08.2006 № 115-Т «Об исполнении Федерального закона “О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма” в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)» и от 27.04.2007 № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)».

¹⁴ - Этой проблематике было посвящено Письмо Банка России от 07.12.2007 № 197-Т «О рисках при дистанционном банковском обслуживании».

¹⁵ - Такое разделение понятий log и trail типично для публикаций зарубежных органов банковского регулирования и надзора.