Применение технологий электронного банкинга: риск-ориентированный подход

организации надлежащих процессов контроля управления рисками и оценки его качества до того, как приступать к трансграничному обслуживанию с помощью технологий электронного банкинга.

Трансграничная активность в рамках ДБО постоянно увеличивается в последнее время, поскольку пользование таким обслуживанием расширяется во многих странах и Россия не является исключением. Причем наблюдается стабильный рост пользователей Интернета, которые охотно используют эту разновидность ДБО ввиду предоставляемых ею удобств для доступа к банковским услугам. Не исключено, что в скором времени, учитывая результаты либерализации российского валютного законодательства, клиенты будут обращать все меньше внимания на то, в какой конкретно стране мира расположен банк, услугами которого они предполагают воспользоваться.

На основе проведенного рассмотрения уместно сделать еще два принципиальных замечания по существу вопроса модернизации ВК как процесса, СВК как «общебанковской» структуры и обеспечения совокупной квалификации входящих в нее специалистов кредитной организации, внедряющей ТЭБ, а именно:

1) кредитные организации могут неадекватно оценивать надежность (качество) процесса ВК (и ФМ), вследствие чего могут смещаться профили и повышаться уровни банковских рисков;

2) контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса ВК способам и условиям осуществления ими своей банковской деятельности.

На обеих проблемах в последние годы зарубежными органами финансового контроля (в широком смысле) делаются серьезные акценты.

В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163] , основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:

В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей[165]. Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем»[166]. Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Davis С., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.

В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:

над содержанием и ведением web-сайта, используемого кредитной организацией;

бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;

функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;

поставщиками программного обеспечения интернет-банкинга;

мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.

Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет- банкинга, используемого кредитной организацией.

Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.

В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):

разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;

контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;

регулярную проверку функциональности и надежности средств ВК, т. е. участие в эксплуатации и сопровождении автоматизированных систем, а также контроль над функционированием и состоянием аналогичных компьютерных систем провайдеров кредитной организации;

обеспечение адаптации мер по обеспечению управляемости и контролируемости ИКБД при модернизации автоматизированных систем и выводе их из эксплуатации и замене, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).

Эти процедуры, как и в случае адаптации ОИБ, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой кредитной организацией.

Точно так же «Положение о внутреннем контроле» (или его аналог) и связанные с ним внутрибанковские документы целесообразно пересматривать при внедрении каждой новой технологии электронного банкинга и реализующей ее системы и однозначно увязывать его содержание с содержанием «Положения об управлении банковскими рисками», включающего описания компонентов банковских рисков, ассоциируемых с электронным банкингом (как минимум операционного, правового, репутационного, неплатежеспособности и стратегического рисков). В «Положение о внутреннем контроле» кредитной организации целесообразно включить описание специальных функций контроля над управлением банковскими рисками, «привязав» их к конкретным системам электронного банкинга, а также над организацией ФМ и содержанием положения о его осуществлении в кредитной организации. Общая оценка