учитывая, что в части идентификации и минимизации таких проблемных областей конкретных предложений в Рекомендациях нет, а мониторинг их должен осуществляться «независимой третьей стороной».
Кроме того, в комментарии к этому принципу сказано, что «.. должны осуществляться периодические проверки обязанностей и функций основных исполнителей, чтобы у них не было возможностей скрыть непредусмотренные действия». Фактически такие процедуры реализуются действиями администраторов автоматизированных систем и информационной безопасности, поэтому к ним, к их должностным обязанностям (равно как и к их исполнению) руководству кредитной организации целесообразно привлекать внимание службы ВК, не забывая о значимости следования принципу «четырех глаз». Последнее необходимо документировать в положениях о «заинтересованных» структурных подразделениях кредитной организации и должностных инструкциях ответственных исполнителей, о чем также логично позаботиться исполнительным органам, которые руководствуются содержанием упоминавшегося внутрибанковского мета-процесса.
Принцип 7.
В комментариях к этому принципу, кроме повторения его содержания, говорится только о том, что должны иметься процедуры для поддержания и сохранения записей (какие и каких — не уточняется). Исходя из изложенного в главах 3 и 4, руководству и специалистам ВК целесообразно вместе с сотрудниками подразделений ИТ и СБ определить внутрисистемные информационные сечения и контрольные точки, в которых они смогут считывать требуемую им контрольную информацию (помимо упоминавшихся типовых процедур организационного и документарного характера). Состав соответствующих финансовых, операционных, клиентских и служебных (и сеансовых — в случае ДБО) данных предпочтительно зафиксировать документально и, скорее всего, оформить как сведения ограниченного распространения. Необходимо помнить, что методы и содержание проверок не должны быть общедоступными, чтобы знания о них не были использованы в попытках осуществления противоправных действий или сокрытия совершенных ошибок, для чего любая ТЭБ и виртуальное пространство БАС зачастую предоставляют разнообразные возможности.
Принцип 8.
Критическим компонентом обеспечения надежности банковской деятельности является организация и сопровождение ИСУ, которая охватывает все процессы в кредитной организации. В Рекомендациях отмечается, что «банки должны уделять особое внимание… требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством». Там же говорится о необходимости принимать меры для обеспечения бесперебойной работы информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и данных организаций-провайдеров, число факторов риска увеличилось, и соответственно могут значительно возрасти уровни банковских рисков, связанных как с автоматизированными системами, так и с ИКБД в целом. Поэтому пропорциональное расширение сферы ответственности ВК неизбежно, поскольку, несмотря на решения части задач подразделением ИТ и СБ, первое из них, как правило, уделяет больше внимания БАС и СЭБ, а второе — вопросам инкассации и физической безопасности кредитной организации. При этом критично важным становится ведение системных логов и аудиторских трейлов, в файлах которых фиксируются операции пользователей БАС и СЭБ. Но даже при полном охвате этими службами всех функциональных участков электронного банкинга необходим внешний по отношению к их деятельности контроль, который является прерогативой ВК.
В Рекомендациях поясняется, что средства контроля над информационными системами и технологиями должны включать как общие, так и прикладные средства. Под общими средствами контроля понимаются те, которые относятся к компьютерным системам (например, мэйнфреймам и серверам, взаимодействию клиент — сервер, сетевым экранам, рабочим станциям и т. п.) и обеспечивают их непрерывное правильное функционирование. Общие средства контроля включают внутрибанковские процедуры мониторинга и восстановления функционирования, политику информатизации (разработки и приобретения программного обеспечения), процедуры сопровождения (контроля изменений), также средства контроля физического/логического доступа к БАС, СЭБ, ЛВС, ЗВС и пр. Прикладные средства (в соответствии с Положением 242-П) имеют вид «встроенных в служебное программное обеспечение или выполняемых вручную процедур, которые контролируют обработку транзакций и деловые операции. В прикладные средства контроля входят, например, проверка ввода и специфическое управление логическим доступом, уникальное для той или иной системы». При отсутствии адекватных средств контроля над информационными системами и технологиями, включая разрабатываемые системы, банки подвергаются опасности потери данных и программ из-за недостаточности мер физической и логической защиты, отказов оборудования или систем, а также неполноты собственных процедур резервирования и восстановления функционирования. В Рекомендациях отмечается, что «планирование на случай форс-мажорных обстоятельств следует осуществлять по всему банку, с привлечением руководителей направлений бизнеса, не ограничиваясь только централизованными операциями». Что касается самих планов, то их следует периодически оценивать на «функциональность», исходя из возможных внезапных катастрофических событий.
Принцип
Комментарий этого принципа начинается с постулата «информация бесполезна, если отсутствуют средства ее эффективного доведения». В обязанности руководства вменяется применение таких способов коммуникаций, которые гарантировали бы получение требуемой информации теми, для кого она предназначена. Это утверждение относится к информации как о принятых политике и процедурах кредитной организации, так и о ее реальном функционировании и прямо зависит от организационной структуры, которая должна обеспечивать должное прохождение информационных потоков в соответствующей иерархии «сверху — вниз, снизу — вверх и по горизонтали». Главное — «совет директоров и высшее руководство должны быть в курсе работы банка и деловых рисков и уверены в том, что необходимая информация доводится до руководителей нижнего звена и операционного персонала».
Принцип 10.
Этот и все оставшиеся принципы не имеют непосредственного отношения к ВК и связаны с деятельностью «вокруг» него. Они ориентированы, по-видимому, преимущественно на содержание контрольных функций в отношении кредитной организации (в части ВК), реализуемых органом банковского надзора.
Считается, что, поскольку банковское дело является динамичным и быстро развивающимся, «банкам необходимо осуществлять постоянный мониторинг и оценивание своих систем внутреннего контроля с точки зрения изменений во внутренних и внешних условиях и совершенствовать эти системы в целях поддержания их эффективности». При этом руководство кредитной организации должно четко определить, кто за такой мониторинг отвечает, — это может быть, например, служба внутреннего аудита, а осуществляться он должен на повседневной основе исходя из «состава наблюдаемых рисков, частоты и характера изменений в операционной среде». В части внедрения и развития ТЭБ, безусловно, целесообразно вовлечение службы ВК
