Статьи

Версия для печати

Все статьи | Статьи за 2011 год | Статьи из номера N1 / 2011

Внутренний контроль над системами электронного банкинга

Ревенков П.В.,
к. э. н., заведующий сектором
Департамента банковского
регулирования и надзора
Банка России

Мудрец будет скорее избегать болезней,
чем выбирать средства против них.

Томас Мор, английский гуманист
и государственный деятель

Очевидной тенденцией последних 10–15 лет становится развитие принципиально новых технологий банковского обслуживания клиентов, среди которых особо выделяются системы дистанционного банковского обслуживания (ДБО). Быстрее всего развиваются технологии электронного банкинга (ЭБ), основу которых составляют:
-  интернет-банкинг (управление банковскими счетами и картами через Интернет и веб-браузер в режиме онлайн);
-  мобильный банкинг (управление банковскими счетами и картами с КПК, коммуникаторов и смартфонов).

Использование ЭБ даёт ряд преимуществ:
-  существенно экономится время – нет необходимости посещать банк лично;
-  клиент имеет возможность 24 часа в сутки контролировать собственные счета и оперативно реагировать на изменения ситуации на финансовых рынках;
-  клиент может отслеживать операции с пластиковыми картами, поскольку доступ к работе с системой не зависит от его местонахождения – достаточно иметь доступ в Интернет.

Закономерно, что с развитием ЭБ становятся актуальными вопросы, связанные с безопасностью использования таких технологий и с появлением новых (ранее нетипичных) источников банковских рисков (рис. 1).

Перечень рисков остаётся прежним, повышается лишь роль технической составляющей.

Основными причинами проявления новых (технических) источников банковских рисков являются: неправильная работа, неправильное применение и несанкционированное использование элементов информационного контура системы ЭБ.


Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.


Новые источники рисков проявляются:
-  в технологическом искажении обрабатываемой банковской информации, тем самым обостряя вопрос достоверности банковской отчётности, формируемой в информационном контуре, и вызывая затруднения контроля над выполнением банковских операций в электронной форме;
-  появлении возможности умышленного нарушения информационных потоков и связей, кражи конфиденциальной банковской информации, осуществления других неправомерных действий (включая операции, связанные с «отмыванием» денег);
-  возникновении зависимости кредитных организаций, применяющих технологии ЭБ, от провайдеров интернет-услуг, так как часть оборудования и баз данных информационного контура контролируются ими и не подвержены какому-либо мониторингу со стороны кредитной организации (КО).

Новая реальность и вопросы безопасности, с которыми вынуждены сталкиваться кредитные организации и их клиенты при использовании технологий ЭБ, требуют модернизации, а в ряде случаев и значительного пересмотра процедур мониторинга и парирования рисков, соответствующей организации процедур внутреннего контроля и квалификации специалистов службы внутреннего контроля (СВК) КО.

Изучение сложившейся практики показывает, что зачастую использование новейших электронных технологий в банковском бизнесе оставляет открытыми вопросы их безопасного применения, так как не сопровождается совершенствованием методологии процедур внутреннего контроля (или сопровождается незначительными изменениями внутренней нормативной базы КО – как правило, добавляют новые полномочия и функции специалистов СВК).

В подавляющем большинстве случаев отсутствуют не только специализированные подразделения (в рамках СВК или иной форме), но и специально подготовленные специалисты (несмотря на формальное наличие соответствующих обязанностей в должностных инструкциях). В результате качество проверок участков, задействованных в системе ЭБ, попадает в зависимость от практического навыка специалистов СВК и других субъективных факторов, что порождает новые источники рисков. В связи с этим по результатам проверок выявляются лишь отдельные малозначительные недостатки, не позволяющие получить полноценной объективной картины. При этом нельзя забывать, что в большинстве случаев организации ДБО банки зависят от компаний-провайдеров и других поставщиков оборудования и услуг, задействованных в информационном контуре системы ЭБ.

Немаловажно наличие в руководстве КО менеджеров, которые могли бы обеспечить правильность принимаемых решений по результатам проверок функционирования систем ЭБ, проведённых СВК(1).

Аналогичные требования предъявляются и к специалистам СВК, которые непосредственно участвуют в проверках систем ЭБ. Такие специалисты в идеальном случае должны иметь не только экономическое или юридическое, но и техническое образование, которое позволяло бы им разбираться в распределённых компьютерных системах, иметь чёткое представление о построении информационных контуров банковской деятельности при организации банковского обслуживания через Интернет и связанных с данной областью рисках.

Подобный подход рекомендован также Базельским комитетом по банковскому надзору (подробно раскрыт в документе «Принципы управления рисками для предоставления банковских услуг в электронной форме»). В противном случае затраты на устранение последствий рисковых ситуаций могут значительно превысить расходы на подготовку специалистов.

В отношении общего понимания организации внутреннего контроля в кредитных организациях, применяющих технологии ЭБ, отметим, что цели, на которых базируется внутренний контроль, остаются прежними: обнаружение источников рисков, предупреждение появления рисков, парирование выявленных рисков, но при этом расширяются функции СВК.

Помимо традиционных, появляются дополнительные функции контроля, часть из которых представлена на рис. 2.

Что касается непосредственной организации, содержания и методологии внутреннего контроля в части технологий ЭБ, то она во многом зависит от специфических факторов в отношении кредитных организаций. Большинству из них свойственны индивидуальные архитектуры внутрибанковских распределённых компьютерных систем и индивидуальный набор требований к обеспечению целостности и безопасности информационных ресурсов, а также оригинальный набор методов и средств внутреннего контроля.


(1) Данные менеджеры должны иметь достаточно хорошую техническую подготовку и  представлять все возможные последствия проявления рисков, связанных с использованием КО систем ЭБ.


Специфика деятельности КО, безусловно, должна учитываться в организации системы внутреннего контроля, но общие рамочные подходы всё же могут быть выработаны. Основой формирования общего подхода может стать так называемый жизненный цикл системы ЭБ. Состав жизненного цикла системы ЭБ не уникален и содержит ряд стандартных процедур – примером тому может служить модель непрерывного циклического процесса менеджмента (модель Дёминга) [3].

Логично предположить, что ошибки или источники рисков, заложенные на начальных стадиях (на стадии планирования), последовательно приведут к проявлению рисковых событий на последующих этапах, а значит, и к снижению уровня безопасности системы ЭБ. Следовательно, необходимо осуществлять соответствующие процедуры внутреннего контроля на каждом этапе жизненного цикла, которые могут быть получены детализацией стадий модели Дёминга этапами, часто выделяемыми при разработке и использовании таких систем.

Рассмотрим подробнее этапы жизненного цикла системы ЭБ и соответствующие задачи внутреннего контроля.

На этапе обоснования проекта системы ЭБ необходимо решить следующие задачи:
-  контроль наличия заявки на разработку (доработку) системы ЭБ и распределения полномочий по её составлению;
-  контроль распределения функций (и их исполнения) анализа заявки и подготовки обоснования по проекту.

На этапе принятия решения о новом проекте системы ЭБ:
-  анализ наличия и состава органа, ответственного за принятие решения о целесообразности реализации нового проекта;
-  контроль качества организации анализа целесообразности реализации нового проекта.

На этапе планирования реализации проекта системы ЭБ:
-  контроль качества документарного обеспечения планирования реализации нового проекта системы ЭБ;
-  контроль качества организации распределения ответственности по проекту.

На этапе проектирования системы ЭБ:
-  контроль качества разработки проектной и технической документации;
-  контроль соблюдения требований по надёжности и обеспечению информационной  безопасности.

На этапе разработки системы ЭБ:
-  контроль качества исполнения планов по проекту системы ЭБ;
-  контроль качества организации анализа договоров и контрактов с поставщиками программного обеспечения, оборудования и услуг в рамках системы ЭБ;
-  контроль качества подготовки технико-эксплуатационной документации.

На этапе испытаний и приемки системы ЭБ:
-  контроль качества методологического обеспечения испытаний системы ЭБ;
-  контроль распределения ответственности по вопросам испытаний и приемки системы ЭБ;
-  контроль качества документарного обеспечения результатов испытаний.

На этапе эксплуатации системы ЭБ:
-  анализ организационных мер предоставления услуг и операций посредством системы ЭБ;
-  контроль качества организационно-правового обеспечения эксплуатации системы ЭБ;
-  контроль качества деятельности службы автоматизации КО в рамках сопровождения системы ЭБ;
-  контроль качества планирования текущего применения и развития системы ЭБ;
-  контроль качества организации и функционирования системы учёта информационных активов системы ЭБ;
-  контроль качества организации и исполнения процедур контроля функционирования информационных активов системы ЭБ;
-  контроль качества организации и исполнения процедур сопровождения и реагирования на инциденты (сбои) в процессе эксплуатации аппаратно-программных средств системы ЭБ;
-  контроль качества организации и исполнения процедур системы ИБ в рамках системы ЭБ.

На этапе модернизации системы ЭБ:
-  анализ потребностей модернизации системы ЭБ;
-  разработка вариантов (способов) решения задачи модернизации системы ЭБ;
-  контроль обязательности рассмотрения комитетом по технологиям(1) альтернативных вариантов доработки системы ЭБ и утверждение одного из вариантов;
-  контроль подготовки технического задания на модернизацию системы ЭБ.

Специалисты подразделений СВК должны участвовать на всех этапах жизненного цикла системы ЭБ и при этом контролировать выполнение мер, направленных на минимизацию банковских рисков.

Выявление источников банковских рисков является только частью процесса управления рисками в КО, в который также входят выявление, оценка и анализ банковских рисков.

В последнее время как отечественные, так и зарубежные регулирующие органы особое внимание уделяют операционному риску. Наиболее важные проявления операционного риска относятся к недостаткам в системах внутреннего контроля и корпоративного управления в коммерческих банках. В настоящее время нет единого определения операционного риска(2). В зарубежной, чаще американской, литературе операционный риск зачастую звучит как риск трансакций (риск для доходов или капитала, возникающий из-за проблем, связанных с предоставлением услуг и видами обслуживания). Этот риск зависит от организации внутреннего контроля, информационных систем, ответственности и квалификации персонала, адекватности внутренних функциональных процессов. Операционный риск непосредственно относится к операционной деятельности внутри банка, которая из-за недостаточной компетентности его персонала, отсутствия должного контроля или в результате допущенной небрежности может привести к убыткам.


(1) Как правило, комитет по технологиям создаётся в крупных кредитных организациях и представляет собой коллективный совещательный орган, создаваемый с целью достижения объективности и обеспечения всестороннего анализа при принятии решений, связанных с внедрением и эксплуатацией информационных технологий. Комитет по технологиям может действовать на постоянной основе либо формироваться избирательно (в зависимости от масштаба рассматриваемого вопроса).
(2) В письме Банка России от 24 мая 2005 г. № 76-Т «Об организации управления операционным риском в кредитных организациях» операционный риск определяется как риск возникновения убытков в результате несоответствия характеру и масштабам деятельности кредитной организации и (или) требованиям действующего законодательства внутренних порядков и процедур проведения банковских операций и других сделок, их нарушения служащими кредитной организации и (или) иными лицами (вследствие непреднамеренных или умышленных действий или бездействия), несоразмерности (недостаточности) функциональных возможностей (характеристик) применяемых кредитной организацией информационных, технологических и других систем и (или) их отказов (нарушений функционирования), а также в результате воздействия внешних событий.


В 2006 г. компания InfoWatch и «Национальный банковский журнал» опросили более 30 российских банков на предмет выявления наиболее опасных компонентов операционного риска. Риски убытков в результате неадекватных или ошибочных действий персонала названы как самые опасные (91%) [1]. Проблема нанесения ущерба финансовым структурам от операционных рисков давно вышла за пределы детективов и боевиков, стала реальностью наших дней. Несмотря на «молодость» многих операционных рисков, они уже приносят не только головную боль сотрудникам финансовых структур, вынужденных с ними бороться, но и серьёзный материальный ущерб, исчисляемый миллионами долларов. Например, в отчете «Electronic Security: Risk Mitigation in Financial Transactions» приведены следующие примерные суммы потерь от атак типа «отказ в обслуживании» для различных финансовых структур:
-  брокерская компания – 6,5 млн долл./час;
-  процессинговый центр – 2,6 млн долл./час;
-  банкомат – 14,5 тыс. долл./час;
-  онлайн-аукцион – 70 тыс. долл./час [2].

В качестве примера рассмотрим один из этапов жизненного цикла системы ЭБ (этап эксплуатации системы ЭБ) и приведём некоторые источники операционного риска (рис. 3).

В целом методология анализа рисков, связанных с использованием систем ЭБ, должна строиться по следующей схеме: источники рисков → возможные последствия → сложившаяся ситуация. Такому подходу нужно следовать при разработке методик и процедур внутреннего контроля. В совокупности с непрерывной подготовкой специалистов СВК он окажет существенную помощь при проведении анализа источников банковских рисков, связанных с использованием технологий ДБО, в частности систем ЭБ.

Литература
1. Скиба В.Ю., Курбатов В.А. Руководство от внутренних угроз информационной безопасности. – СПб. : Питер, 2008.
2. Юденков Ю.Н. Управленческий учёт и внутренний контроль в коммерческом банке. – М. : Инсвязьиздат, 2008.
3. Ревенков П.В., Дудка А.Б., Сычёв А.М., Пеленицын А.М. Электронный банкинг. – М. : Регламент, 2009.
4. Risk Management Principles for Electronic Banking July 2003 : материалы официального сайта Базельского комитета по банковскому надзору [Электронная версия]. – Режим доступа: bis.org.
5. Risk Management Principles for Electronic Banking May 2001 : материалы официального сайта Базельского комитета по банковскому надзору [Электронная версия]. – Режим доступа: bis.org.

Отдельные номера журналов Вы можете купить на сайте www.5B.ru
Оформление подписки на журнал: http://dis.ru/e-store/subscription/



Все права принадлежат Издательству «Финпресс» Полное или частичное воспроизведение или размножение каким-либо способом материалов допускается только с письменного разрешения Издательства «Финпресс».