Л.Лямин "Оптимизация принципов внутреннего контроля в условиях применения технологий электронного банкинга"
Раздел: Внутренний контроль
К внедрению любых компьютеризованных технологий в работу финансовых учреждений следует относиться весьма внимательно и в известной степени осторожно. // Л.В. Лямин, Управление методологии рисков внутрибанковских систем Департамента банковского регулирования и контроля Банка России, начальник отдела интернет-банкинга1. Аналитический журнал "Оперативное управление и стратегический менеджмент в коммерческом банке", № 3/2005
Настоящую статью можно рассматривать как продолжение работ, опубликованных ранее, — в известной степени здесь развиваются представлявшиеся в них подходы к организации и реализации внутреннего контроля (ВК), в основном определяемые Базельским комитетом по банковскому надзору (БКБН). В части электронного банкинга (ЭБ) эти подходы были изложены в публикациях, касающихся организации в кредитной организации (КО) ВК как процесса, системы ВК (СВК) и осуществления управления рисками при использовании технологий ЭБ2. В то же время анализ упомянутых подходов служит в данном случае выработке таких предложений, которые, по мнению автора, могут быть использованы в российских кредитных организациях для принятия конкретных решений в плане уточнения роли, места, организации и функционирования СВК в случае применения в их работе тех или иных технологических схем ЭБ. Основной акцент при этом делается на возможные особенности организационного и методического обеспечения ВК, а также на учет специфики используемого в КО аппаратно-программного обеспечения (АПО) дистанционного банковского обслуживания (ДБО).
«Всегда получается, если знаешь, что делаешь».
(Р. Бах. Чайка Джонатан Ливингстон)
Введение
Как отмечалось нами ранее3, к внедрению любых компьютеризованных технологий в работу финансовых учреждений следует относиться весьма внимательно и в известной степени осторожно. Безусловно, из этого не следует, что от таких технологий лучше отказаться: такие решения в современном мире прямо ведут к конкурентным потерям, однако необходим учет принципиальных отличий от традиционных систем удаленного обслуживания типа «банк—клиент», свойственных ДБО на основе распределенных компьютерных систем (базирующихся уже не только и не столько на локальных вычислительных сетях, сколько на сетях зональных и, в случае работы через Интернет, глобальных сетях).
Специфика новых распределенных технологий, вошедших в современное банковское дело, обусловлена преимущественно тем, что теперь необходимо говорить не просто о банковской деятельности и соответственно анализировать ее содержание посредством ВК, а рассматривать так называемый информационный контур банковской деятельности (ИКБД)4, который реально формируется (образуется) при каждом факте удаленного взаимодействия между неким клиентом и обслуживающей его КО. Такой контур составляют, конечно, реальные физические объекты, однако теперь в большинстве случаев он оказывается фактически виртуальным, то есть каждый раз реально существующим только «здесь и сейчас». Это явление объясняется априори непредсказуемым характером связей в крупномасштабных сетевых системах, которые создаются множеством каналов связи, маршрутизаторов, компьютерных систем различных провайдеров, межсетевых шлюзов и тому подобных компонентов, которые ранее в ИКБД отсутствовали.
Новые формы ЭБ
До последнего десятилетия основными средствами автоматизации банковской деятельности являлись та или иная банковская автоматизированная система (БАС) и некое соединенное с ней автоматизированное рабочее место (АРМ). В простейших случаях обслуживания клиента в самой КО или ее филиале этот контур описывается элементарно: «клиент — АРМ операциониста — БАС КО», при этом АРМ соединялся с БАС через локальную или, гораздо реже, через зональную вычислительную сеть, фактически являвшуюся собственностью КО. В более сложном случае заказного ДБО взаимодействие между клиентом и КО осуществлялось через посредство системы «клиент—банк», в состав которой входили специально организуемый специалистами КО АРМ клиента, БАС КО, те или иные устройства доступа к каналам связи со стороны БАС и АРМ (например, модемы) и собственно каналы связи, но эти каналы принадлежали уже не КО, а тем организациям, которые фактически выполняли функции провайдеров связи для КО (это могли быть проводные, оптоволоконные, радиорелейные или спутниковые каналы, но они являлись собственностью КО только в редких случаях). Виртуальность в таком информационном контуре банковской деятельности могла возникать только в тех случаях, когда маршрутизация ордеров клиента и ответной информации для него от КО осуществлялась через коммутируемые и(или) маршрутизируемые линии связи, а в случаях наиболее дорогостоящих вариантов ДБО по прямым каналам связи между клиентом и его КО какая-либо виртуальность практически отсутствовала.
Однако развитие систем ДБО привело к тому, что среда, через которую проходят потоки данных между клиентами и кредитными организациями, постоянно «расширялась», то есть вариативность средств доведения информации в любом направлении повышалась, что когда-то не привлекало к себе внимания руководства кредитных организаций или привлекало в незначительной степени.
Во всяком случае, появление в составе ЭБ технологий интернет-банкинга (ИБ), WAP-телефонии, GSM- и SMS-банкинга для владельцев мобильных телефонов, телебанкинга и т.д. вплоть до банкоматов, подключаемых через Интернет, ставит вопрос о необходимости принятия во внимание компьютеризации не только и даже не столько выполнения банковских операций, но банковской деятельности в целом, учета перевода ее в виртуальную реальность, а вместе с этим и сопутствующих проблем контроля над самой банковской деятельностью, без чего невозможно обеспечить и тем более гарантировать ее надежность.
Это, по мнению автора, тем более справедливо для России, поскольку здесь наиболее распространены универсальные коммерческие банки, которым свойственен комплексный характер предоставления банковских услуг, да и сама идея дистанционного предоставления банковских услуг часто реализуется в нескольких дополняющих друг друга формах, то есть разным АПО. Все это заставляет говорить о технологиях ЭБ и проблемах контроля над их разработкой, внедрением в ИКБД, эксплуатацией и сопровождением во всей совокупности.
Если рассматривать проблематику ВК и построения СВК в КО с описанных позиций, то прежде всего следует признать, что прогресс в области информационных технологий и развитие способов сетевого взаимодействия в сфере банковской деятельности реально вносят качественные изменения в работу кредитных организаций. Это обусловлено следующими принципиальными изменениями в ИКБД: появлением в нем и новых участников этого контура (провайдеров услуг), и новых элементов (каналы связи), и нового типа клиента, который уже не приходит в КО для того, чтобы осуществить те или иные банковские операции. Более того, в случаях ИБ и WAP-банкинга (а также его вариантов) виртуальность значительно повышается и становится практически предельной ввиду того, что каналы связи между клиентами и кредитными организациями формируются стохастически и не могут быть известны ни тем, ни другим (прежде всего из-за того, что при каждом сеансе взаимодействия маршруты прохождения потоков данных определяются задействуемыми видами, узлами и линиями компьютерной связи, промежуточными маршрутизаторами разных провайдеров, структурами локальных вычислительных сетей провайдеров и т.д.).
С точки зрения контроля над деятельностью КО необходимо признать, что в этой связи становится важен учет достаточно большого числа дополнительных новых компонентов в рассматриваемом контуре, которых ранее в нем вообще не существовало. Это целесообразно потому, что сами процессы управления банковской деятельностью и контроля над ней должны оставаться адекватными вне зависимости от состава и характера нововведений в ИКБД, используемом конкретными банковскими учреждениями5.
Следует отметить, что явления виртуальности в практике банковского дела начались еще с внедрения сетевых внутрибанковских архитектур и появления первых систем ДБО типа «банк—клиент» — уже тогда на первый план стали выходить банковские автоматизированные системы, которые применялись и применяются для выполнения всех или по меньшей мере большинства банковских операций, связанных с учетом и расчетами, а также для подготовки регулярной отчетности и обслуживания клиентов. Можно сказать, что это вообще свойство, присущее компьютерным информационным технологиям (ИТ). Однако теперь такие внутрибанковские системы КО стали во многих вариантах ДБО доступны извне, а учет в работе служб ВК целого ряда новых факторов, обусловленных интенсивной автоматизацией и территориальной «распределенностью» банковской деятельности (в том числе межрегиональной и трансграничной), явно запоздал.
Новые факторы, влияющие на работу служб ВК
В общем случае, исходя из того, что любые взаимодействия между банками и их клиентами через системы связи в наше время неизбежно замыкаются на банковских автоматизированных системах, правильнее было бы рассматривать и внутрибанковские системы, и внешние компьютерные, и связные системы в едином комплексе, поскольку любое средство доступа извне к БАС КО — это не более чем «виртуальные ворота», и с позиций обеспечения надежности банковской деятельности важно, во-первых, кто именно получает права доступа к информационным ресурсам КО, во-вторых, к чему конкретно через эти «ворота» может быть получен доступ, в-третьих, какие полномочия связаны с самим доступом. Тем самым ставится триединая задача идентификации, аутентификации и верификации. Под этой совокупностью подразумевается, что КО как агент информационного взаимодействия, имеющего финансовый характер (речь идет хотя и об электронных, но ведь «живых» деньгах!), в каждый момент времени должна быть уверена, что любой процесс, который по какой-либо причине инициируется в ИКБД и в БАС КО, активирован именно зарегистрированным (официальным) пользователем, который выполняет операции исключительно от своего имени и только те, которые он правомочен осуществлять с конкретными в каждом случае информационными ресурсами.
Именно с тремя перечисленными компонентами связаны все ключевые проблемы ДБО и ВК в новых условиях банковской деятельности (в том числе и не относящиеся к алгоритмистике работы самих внутрибанковских систем), которые следует рассматривать для эффективной реализации внутрибанковских контрольных функций6.
Автоматизация банковской деятельности в век интенсивно развивающихся компьютерных технологий может вызвать немало негативных для любой КО последствий, если принятие решения о внедрении новых технологически сложных процессов ЭБ не сопровождается необходимыми исследовательскими работами, расчетами, проектированием адекватного усиления процессов контроля и сопутствующими организационными мероприятиями. Если говорить о ВК в его современной трактовке, то есть о риск-ориентированном ВК, то недостаток внимания к этим вопросам может привести к существенному возрастанию прежде всего операционного, правового, репутационного и стратегического рисков для КО7. Здесь важно подчеркнуть, что компоненты этих рисков в современных условиях имеют такой же распределенный и комплексный характер, как и те системы ДБО, с которыми они ассоциируются, и уже один этот факт по идее должен был бы стимулировать совершенствование ВК параллельно с внедрением в КО новых банковских технологий.
Как уже отмечалось8, собственно причины, требующие разработки новых подходов к выявлению, оценке, мониторингу и парированию возможных рисков в КО, обусловлены тем, что ее руководителям, особенно отвечающим за организацию СВК, ее работу, результаты этой работы и их использование в управленческой деятельности, приходится сталкиваться с двумя своего рода «глобальными» проблемами, а именно:
- полной зависимостью КО от своих компьютерных систем, используемых для выполнения банковских операций, при подготовке банковской отчетности и в обеспечение принятия решений менеджерами, а также от компьютерных и других систем внешних провайдеров необходимых ей услуг (процессинговых, связи и др.);
- уникальностью организации и содержания процессов автоматизированного выполнения банковских операций и формирования банковской управленческой информации в конкретной КО как в части построения внутренних и внешних информационных контуров банковской деятельности, так и в части ее АПО.
Масштаб и сложность этих проблем таковы, что разработка единой для всех кредитных организаций политики контроля над банковской деятельностью, структуры СВК и методики проведения ВК, доведенной до конкретных методических рекомендаций, относящихся к внутрибанковским системам, оказывается практически невозможной. Тем не менее, по мнению автора, возможно создание обобщенного методологического подхода на основе хорошо известных принципов проектирования, разработки, внедрения, эксплуатации и модернизации автоматизированных систем как таковых. За рубежом этим вопросам посвящены упоминавшиеся публикации БКБН по электронному банкингу и организации контроля, методические материалы Федерального совета по проверкам финансовых учреждений (FFIEC) и Федеральной корпорации страхования депозитов (FDIC) США, а также материалы аудиторских организаций, в которых развиваются аналогичные предлагаемому автором подходы9.
Исходным положением для разработки единой методологической платформы ВК в современном компьютеризованном банке, создающим самостоятельно, заказывающим или приобретающем системы для работы в области ЭБ, является то, что от службы ВК непосредственно зависит, чтобы эти системы оставались работоспособными, управляемыми и контролируемыми, причем в гарантированно штатных режимах функционирования, без чего невозможно минимизировать компоненты банковских рисков, имеющих технологический характер. Для надежной работы КО, выполнения ею своих обязательств перед всеми клиентами и соблюдения установленных требований к осуществлению банковской деятельности служба ВК прежде всего должна уделять особое внимание системам осуществления платежей и электронной обработке данных.
При этом цель контроля — обеспечение штатного выполнения всех входящих в эти процессы рабочих процедур — достигается только через обеспечение соответствия требованиям работы специальных программно-технических комплексов, безопасности выполнения операций и используемых данных, уменьшение риска убытков из-за системных ошибок, потери важных данных, злоупотреблений и т.п. Не менее важно, как и кем управляются электронные системы обработки данных, — в этом отношении КО непосредственно зависит от квалификации и надежности программистов, операционного и технического персонала, а также наличия резервных мощностей (электропитания, компьютерных средств и т.д.), процедур и средств восстановления работоспособности БАС на случай непредвиденных выходов из строя. Это означает, что независимо от сложности и специфики функционирования любой системы ЭБ служба ВК должна располагать возможностями проверки ее работы, выявления недостатков или отклонений в функционировании системы и получения информации, подлежащей доведению до руководства КО для принятия им решений, исправляющих ситуацию, то есть снижающих уровни рисков за счет исключения отдельных их компонентов и(или) вероятности их реализации в виде неблагоприятных событий.
Усложнение процедур ВК при ДБО
Для того чтобы установить необходимые и достаточные (то есть минимальные) требования к организации ВК в КО в условиях применения технологий ЭБ, необходимо определить, какие этапы жизненного цикла БАС, рассматриваемой в единстве с технологиями ЭБ, касаются специалистов ВК и какие роли эти специалисты должны играть на каждом из таких этапов. Для удобства последующего изложения жизненный цикл БАС вместе с участием руководства КО, ее службы ВК и провайдеров (среди которых могут быть и разработчики БАС) в условной форме показан на рисунке.
Рисунок. Жизненный цикл БАС
Очевидно, что, для того чтобы создать контролируемую БАС, руководство КО должно заранее точно определить, какие именно банковские данные требуют постоянного контроля и соответственно какие протекающие во внутрибанковских системах вычислительные и другие процессы, в которых участвуют эти банковские данные, также должны находиться под контролем. Это — аксиома, в той или иной форме присутствующая во всех изученных при подготовке настоящей статьи материалах зарубежных органов банковского надзора. Считается также, что в оптимальном варианте принципы, определяющие все подлежащие контролю данные и процедуры, равно как и сами объекты контроля, будут отражены в документированной политике внутреннего контроля банка, которая организационными мероприятиями доводится до сведения персонала.
С другой стороны, в оптимальном варианте все контролируемые данные и процедуры описываются и во внутрибанковском документе, который представляет собой «меморандум информационной безопасности» (хотя название такого документа может быть другим). В нем объекты контроля ранжируются по значимости для КО (одновременно — это оценки возможных компонентов рисков, связанных с нарушением целостности или утечкой данных), для них определяются уровни или степени защиты, средства защиты, права и полномочия доступа в соответствии с должностными обязанностями сотрудников КО и пр. Эта информация, естественно, доступна службе ВК КО, поскольку выявление, анализ, мониторинг рисков и управление ими входят в задачи СВК.
На описанной основе руководство КО совместно с ответственным за ВК в КО и его менеджментом приступают к определению совокупности способов и средств контроля, а также к выбору так называемых контрольных точек в той или иной внутрибанковской системе, в данном случае — это БАС, реализующая в том числе функции ЭБ. В зависимости от того, разрабатывается система ЭБ силами самой КО или заказывается у сторонней фирмы-разработчика, выбранный подход к реализации контроля может отражаться в проектной документации самой КО или детализироваться в исходных данных или техническом задании на разработку. То есть постулируется, что механизм ВК в оптимальном случае должен быть заложен еще в проект системы, в противном случае, как свидетельствуют многочисленные случаи из практики, в реализации принятой идеологии ВК будет мало общего с первоначально определенными принципами.
На этапе разработки, которая представляет собой в основном создание технического проекта и прикладное программирование, участия ВК, как и представителей руководства КО, обычно не требуется. Что же касается этапа испытаний, то участие представителей службы ВК считается желательным, кроме того, от них потребуется также участие в подготовке и утверждении таких документов, малознакомых людям, далеким от реальных разработок, как программа и методика испытаний. В противном случае не удастся гарантировать, что действительно будет проверено наличие и функционирование всех предусмотренных в проекте системы средств контроля. Это подтверждается (или нет) на этапе приемо-сдаточных испытаний, когда специалисты ВК должны будут проверить, что все предусмотренные ими процессы и процедуры контроля реализованы в полном объеме и работают именно так, как предусмотрено, то есть имеется возможность фиксировать в контрольных точках те компоненты данных, с помощью которых можно убедиться в правильной расшифровке и отработке ордеров клиентов, точном выполнении заказанных ими банковских операций, включая адекватность записей в базе бухгалтерских данных, целостности клиентских и банковских данных и достоверности внутрибанковской отчетности, в которую сводятся данные из системы ЭБ.
В процессе эксплуатации систем специалисты ВК пользуются средствами контроля БАС и системы ЭБ для достижения заданных целей, одновременно предоставляя руководству КО информацию о функционировании контролируемых систем, а при необходимости предоставляя возможность непосредственно воспользоваться предусмотренными механизмами контроля, например для подтверждения тех или иных результатов ВК. Аналогичным образом предполагается участие службы ВК и в процессах сопровождения и модернизации внутрибанковских систем. На этих этапах ВК должен отслеживать все изменения в системах, которые могут привести к появлению белых пятен в контролируемых процессах из-за того, что в ходе доработки, допустим, операционного программного обеспечения при внедрении новых видов ДБО какие-то контрольные функции окажутся ошибочно заблокированы или же не будут встроены новые контрольные процедуры, связанные с новыми видами обслуживания (а значит, возникнут и новые источники рисков).
Кроме того, в современных компьютерных системах, характеризуемых повышенной сложностью алгоритмистики и программного обеспечения, возможно наличие так называемых дыр, сквозь которые могут «проникать» злоумышленники, стремящиеся нанести ущерб банку или его клиентам. Такие недостатки могут иметь место из-за ошибок в программировании, недостатков инструментальных средств, с помощью которых разрабатывались программные комплексы, дефектов операционных систем, под управлением которых работают компьютеры или сетевые устройства (включая средства сетевой защиты и их настройку), ведутся базы данных и т.п. В общем случае компьютеризованные средства ВК должны позволять обнаруживать случаи несанкционированного вмешательства во все автоматизированные внутрибанковские процессы (хранения данных, расчетов, платежей и пр.) и выявлять результаты таких действий. Причем это относится и к возможным мошенническим действиям персонала банка, и к атакам хакеров и других нарушителей штатных режимов работы БАС и систем ЭБ. Считается, что специалисты ВК должны понимать и учитывать в своей деятельности проблемы такого рода. Сказанное относится и к ситуации, когда КО приобретает программно-технический комплекс «под ключ».
Данное явление типично для банковских учреждений, которые не имеют возможности осуществлять какие-либо собственные разработки или заказывать разработку специальных систем, будь то БАС или система ЭБ. В этой ситуации возникает необходимость привлечения службы ВК (равно как и службы информационной безопасности КО — это отдельная и тоже достаточная сложная тема) к анализу функциональных возможностей приобретаемой системы по целому ряду вопросов. Это — участие специалистов ВК в плане изучения гарантий полноты контроля над функционированием приобретаемой системы, отсутствия каких-либо встроенных «программных закладок», предназначенных для осуществления нештатных операций (связанных, например, с хищениями финансовых средств или конфиденциальной информации), надежности функционирования в критических ситуациях, «горячего» резервирования данных в обеспечение целостности банковских данных после восстановления работоспособности, прерванной теми или иными форсмажорными обстоятельствами, и т.п. Все это в оптимальном случае должно иметь место не только в ходе приемо-сдаточных испытаний систем, но и в процессе их эксплуатации и модернизации.
Даже из этого краткого изложения видно, что компьютеризация банковской деятельности неизбежно приводит к серьезному усложнению процедур ВК в тех случаях, когда речь идет о сложных программно-технических комплексах КО и массовом обслуживании. Особенно актуальным это становится, когда количество клиентов, использующих технологии ЭБ (а их в КО может быть несколько, — об этом говорилось в начале статьи), составляет тысячи и десятки тысяч, а количество осуществляемых ими операций исчисляется десятками и сотнями тысяч, причем это происходит не только в реальном масштабе времени (РМВ) и в режиме так называемой сквозной обработки10, но и в специфических современных условиях, когда актуальными стали не только проблемы адекватности бухгалтерского учета в виртуальном пространстве или достоверности банковской отчетности, но также противодействия противоправной деятельности посредством ДБО, например «отмыванию» денег.
В условиях массового обслуживания в РМВ службе ВК необходимо предусматривать в программном обеспечении (ПО) БАС КО наличие специальных автоматических процедур, реагирующих на признаки известных «подозрительных операций» наряду со специальной диагностикой таких операций и т.д. На этом делается акцент в современных публикациях зарубежных органов банковского (и в общем случае финансового) надзора, в которых подчеркивается, что руководство КО обязано обращать самое пристальное внимание на все перечисленные вопросы11. Сложность современных внутрибанковских систем, систем ДБО и многообразие реализуемых ими процедур неизбежно приводят к повышению требований к организации, составу и рабочим планам службы ВК. Если же говорить о СВК в целом, то аналогичные требования будут транслироваться и в другие подразделения КО, в которых размещаются компоненты СВК (отдельная достаточно обширная тема). Во всяком случае, это — неизбежная плата за технический прогресс в области банковских технологий. Поэтому от руководства любой КО, применяющей технологии ЭБ, обычно требуется особая «забота» об условиях применения этих технологий, прежде всего в плане их легитимности, надежности и защищенности.
В то же время очень многие недостатки в организации и особенно функционировании СВК могут быть обусловлены недостаточным вниманием руководства КО к профессиональному составу сотрудников, работающих в этой системе, и прежде всего к составу службы ВК. Можно привести одну старую, однако неустаревающую выдержку из «Обзора по компьютерному мошенничеству и злоупотреблениям» Комиссии по аудиту Великобритании 1990 года: «Аудиторам всех организаций следует иметь подготовку в области компьютерных технологий — особенно руководителям аудиторских служб, при этом многим организациям потребуется наличие профессионалов в области компьютерных технологий в их подразделениях внутреннего аудита для регулярного формирования рекомендаций по вопросам информационных технологий».
Данную цитату вполне можно соотнести с некоторыми базовыми требованиями (точнее, пожеланиями) к квалификации специалистов современного ВК в кредитных организациях. Раз уж эти организации оказались в полной зависимости от своих компьютерных информационных технологий, то, по всей видимости, в них кто-то должен наблюдать за этой зависимостью, оценивать ее степень и не допускать того, чтобы эта зависимость оказалась фатальной. Поэтому хорошо известные принципы «знай своего клиента» и «знай своего работника» для специалистов, занятых в системе ВК, уместно было бы дополнить принципом «знай свои технологии». При этом ни в коем случае нельзя забывать о необходимости реализации «принципа четырех глаз»12, что дополнительно усложняет состав и организацию СВК, равно как и мониторинг ее деятельности со стороны руководства и службы внутреннего аудита КО13.
Приведенный выше пример иллюстрирует тот возросший уровень технической подготовки, который требуется специалистам ВК для того, чтобы обеспечить наличие должного или, как принято говорить в зарубежных материалах «адекватного» контроля над обрабатываемыми данными и теми приложениями (прикладными программами), которые эти данные обрабатывают, с учетом растущей сложности банковских компьютерных технологий и насыщенности ими современной банковской деятельности, равно как и удостовериться в правильности функционирования программно-технических комплексов своей КО. В общем случае именно к такому повышению требований к объему знаний и уровню технической подготовки ведет необходимость полного охвата службой ВК деловой активности КО.
Совершенно очевидно, что, для того чтобы ВК был эффективным, осуществляющий его персонал КО должен иметь полное и адекватное представление об ее бизнес-модели, направлениях ее деятельности, технологическом обеспечении этих направлений, АПО БАС и ЭБ, рисках, связанных с каждым из видов банковской деятельности, включая те, компоненты которых имеют технологический характер (а таких с каждым годом становится все больше), их возможных источниках, в том числе кроющихся в специализированном ПО банковской деятельности, и т.д.
Следовательно, в КО неизбежно должен быть организован процесс адаптации ВК к развитию контролируемых им внутрибанковских систем и процессов КО, особенно при внедрении новых технологий ДБО, то есть собственно процесс ВК необходимо однозначно «привязывать» к содержанию деловой активности КО и тем внутренним условиям, в которых она протекает. Отсюда следует, что в службе ВК должны присутствовать специалисты, имеющие серьезную информационно-техническую подготовку как минимум по следующим направлениям: бухгалтерский учет, расчеты и платежи, подготовка и аудит банковской отчетности, информационная безопасность и защита информации, тестирование автоматизированных систем управления, риски автоматизированной банковской деятельности, их выявление, анализ и мониторинг. Однако это не все: каждый из таких специалистов должен регулярно повышать квалификацию, что связано с введением как новых видов банковской деятельности КО, так и новых банковских технологий и реализующих их систем, причем такой процесс должен охватывать всю цепочку менеджмента ВК и в общем случае распространяться на всю СВК. Приведенные положения не могут считаться завышенными, поскольку это тоже неизбежная плата за технологический прогресс в банковской сфере, последствия которого не должны приводить к снижению надежности и устойчивости кредитных организаций, ухудшению показателей их финансового состояния и системных характеристик деятельности и тем более качества обслуживания клиентуры этих организаций.
К сожалению, одними возможными внутрибанковскими проблемами, связанными с БАС и системами ЭБ в современных условиях сфера интересов специалистов ВК не может быть исчерпана. В последние годы все больший «вес» в банковской деятельности набирают разнообразные провайдеры, к услугам которых прибегают банки, что уже отмечалось нами в начале данной статьи. Значимость такой зависимости также постоянно подчеркивается в литературе надзорного характера, но в изученных автором документах банковского регулирования и надзора зарубежных стран преимущественно перечислялись и описывались только общие задачи ВК, практически без прямых отсылок к банковским и небанковским информационным технологиям как таковым, их внедрению и развитию. Такая связь в самом общем виде устанавливается обычно только в описаниях операционного, правового и репутационного рисков, причем также в виде достаточно общих положений.
В сопутствующих описаниях такие словосочетания, как «наличие адекватной политики и процессов», «особое внимание», «тщательный контроль» и т.п., используются часто. Однако они не конкретизируются в виде описаний конкретных организационно-технических процедур, равно как и определения «гарантии безопасности операций», «системные ошибки», «высокая чувствительность», «значительная зависимость», «ущерб репутации» и пр., а также методы снижения связанных с ними убытков с акцентом на «важные для банка данные» и т.п. Поэтому, даже имея возможность ознакомиться с документами зарубежных органов банковского надзора, руководители кредитных организаций и сотрудники СВК, безусловно, могут самостоятельно трактовать положения такого характера, при этом не обязательно так, как имелось в виду авторами соответствующих публикаций, и не связывая факторы тех или иных рисков с контролем функционирования банковских компьютерных систем. Между тем проблема аутсорсинга для банков действительно сложна и неоднозначна.
Возможности аутсорсинга
По логике вещей в кредитных организациях нет другой службы, которая могла бы заниматься вопросами аутсорсинга, кроме службы ВК. Кстати, кое-какой зарубежный опыт, в частности немецкий и американский, это подтверждает14. Смысл такого специфического направления деятельности для внутреннего контроля опять-таки в том, чтобы по возможности гарантировать минимизацию зависимости своей КО от одного конкретного провайдера или от каждого отдельного по конкретным направлениям аутсорсинга. Речь идет не только о предусмотренном заранее резервировании стороннего процессинга, каналов и систем связи, интернет-провайдеров и т.п., но и о том, что кроме специалистов ВК в КО реально некому убедиться в том, что у провайдера «все спокойно». В известных автору зарубежных вариантах решения данной проблемы в обязанности служб ВК кредитных организаций входит поддержание постоянных и весьма тесных отношений с организациями — провайдерами тех услуг, которые необходимы для реализации ДБО.
Во-первых, это регулярные рабочие контакты представителей службы ВК КО с менеджерами того или иного провайдера на его территории. Такое взаимодействие предусматривает получение информации о финансовом состоянии провайдера (поскольку важно убедиться в его финансовой состоятельности на перспективу), сведений о программно-технических комплексах, через которые проходят потоки данных КО и ее клиентов, их надежности и защищенности (с позиций гарантий непрерывности функционирования и невозможности компрометации данных), а также об организации, как нередко пишут, «внутренних процессов и процедур».
Во-вторых, это контроль содержания контрактов на те или иные виды обслуживания в интересах четкого разделения ответственности в случаях реализации каких-либо поддающихся прогнозу факторов риска или возникновения форсмажорных обстоятельств. В этой части специалисты ВК изучают описания предусмотренных процедур судебного разбирательства и решения возможных спорных вопросов, организацию резервирования средств вычислительной техники, от которых зависит работа провайдера, а через него — данной КО, планов на случай непредвиденных обстоятельств, содержание договоров с субпровайдерами, если они есть, и т.п.
В-третьих, изучается организация работы собственной службы ВК провайдера. По сути речь идет о том, что, заключая контракты на предоставление услуг КО третьими сторонами, служба ВК КО превращается для этих сторон в своего рода «мини-проверяющего». В каких-то случаях описанный подход регламентируется нормативными актами, регулирующими банковскую деятельность, в каких-то рекомендуется как «наилучшая практика», но, во всяком случае, взаимодействию банковских учреждений с провайдерами и зависимости первых от вторых уделяется значительное внимание. К примеру, в законодательстве США предусмотрено, что банки обязаны в месячный срок уведомлять орган банковского надзора о заключении контракта с конкретным провайдером или об использовании услуг провайдера. Нарушение данного требования и других связанных с ним влечет за собой определенные санкции.
Что касается России, то как некоторый аналог такого порядка можно рассматривать пока только один документ — выпущенное по результатам работ в направлении одной из разновидностей ЭБ, а именно, интернет-банкинга (ИБ), Указание Банка России от 01.03.2004 № 1390-У «О порядке информирования кредитными организациями Центрального банка Российской Федерации об использовании в своей деятельности интернет-технологий». Обработка сведений, содержащихся в отчетной форме, введенной этим документом, ориентирована на формирование общей картины распространения технологии ИБ в банковском секторе России, зависимости кредитных организаций от провайдеров интернет-услуг в различных аспектах, условий применения данной технологии, ее интеграции с действующими банковскими автоматизированными системами, а также от условий ее применения, включая особенности организации и работы служб ВК в кредитных организациях.
Заключение
В завершение статьи логично перейти к последнему по времени возникновения вопросу модернизации ВК в кредитных организациях, связанному с ИБ как специфичной и весьма перспективной разновидностью ЭБ. Понятно, что для реализации данной технологии изначально необходимо наличие представительства КО в Сети, через которое предполагается предоставлять какие-либо виды ДБО. В минимальном варианте это — информационное обслуживание. Как правило, КО при этом приводит на обособленном сервере информацию о себе, учредителях и акционерах, филиалах, маркетинговую информацию относительно предоставляемых банковских услуг, тарифах, формах договоров, сведения из публикуемой отчетности и т.д.15. Но и в минимальном варианте ИБ, несмотря на то что совокупный риск, ассоциируемый с этой технологией, здесь относительно низок (поскольку обычно отсутствует непосредственная связь между таким сервером и внутренней вычислительной сетью КО), возникают компоненты банковских рисков — правового и репутационного. Оба они связаны с возможностями воздействия на содержимое Web-сайта КО, так как соответствующий сервер или Web-сайт может оказаться уязвимым для воздействий, прежде всего в части намеренного искажения представляемой информации, антирекламы или внедрения порочащих КО гиперссылок на сомнительные ресурсы Интернета. Поэтому для руководства КО логично предусмотреть некие средства контроля для предотвращения несанкционированных воздействий. Наверное, у читателя данной статьи уже не возникает вопроса о том, кому бы следовало поручить контроль ведения Web-сайта КО. Естественно, это должно происходить во взаимодействии службы ВК с подразделением информатизации КО, ее службой информационной безопасности, а также, если Web-сайт располагается на сервере провайдера, то и с его ответственными лицами. Если же Web-сайт КО в Сети коммуникационный или транзакционный (операционный), то объем работы многократно увеличивается. Хорошо еще если сотрудники КО, входящие в его СВК, знакомы с Web-технологиями! Конечно, все это могут и будут делать специалисты ИТ, но нельзя ведь пренебрегать и принципом «четырех глаз». Кто, в конце концов, «охраняет часового»?!
К счастью, «часового» в КО в виде службы ВК или, в общем случае, СВК «охраняет» Банк России, расположившийся на первом уровне банковской системы. Как регулирующий орган Банк России выпускает в помощь службе ВК нормативные документы, регламентирующие ее организацию и деятельность, а в роли органа банковского надзора собирает сведения о том и другом, время от времени направляя также своих инспекторов в кредитные организации с той же целью. Но и специалистам Банка России, учитывая множество технологий ДБО со свойственной им спецификой, скорее всего, легко не будет, поскольку им придется оценивать достаточность методического и технического обеспечения ВК с позиций максимально возможного парирования влияния возможных источников рисков. Соответственно, при выявлении недостатков в организации и функционировании СВК потребуется разработка рекомендаций по их устранению, причем рекомендаций по действиям в высокотехнологичной среде.
Как бы то ни было, в процессы решения задач надзорных органов, как подчеркивается в материалах БКБН, изначально включаются процедуры выявления «слабых мест» или «белых пятен» во внутрибанковском контроле и причин их наличия, изучение их связи с условиями работы специалистов ВК и условиями функционирования банковских программно-технических комплексов, а также анализ механизмов доведения критической информации ВК до руководства КО наряду с принятием корректирующих решений, их доведением до конкретных участков работы КО и последующим контролем выполнения этих решений. Кроме этого, специалистам надзора приходится оценивать возможное влияние недостатков в ВК на уровни рисков, принимаемых на себя кредитными организациями, поскольку недостатки такого рода в условиях работы банков в киберпространстве сами являются наиболее серьезными источниками рисков.
Итак, сложность работы специалистов надзорных органов растет пропорционально усложнению процедур ВК, в свою очередь прямо зависящего от сложности банковских автоматизированных систем КО и ее технологий банковской деятельности. В первую очередь это относится к технологиям ЭБ.
- Настоящая статья отражает исключительно мнение автора и может не совпадать с позицией Банка России.
- Framework for Internal Control Systems in Banking Organizations. — BCBS, Basel, Sept. 1998; Risk Management Principles for Electronic Banking. — BCBS, Basel, May 2003.
- См.: журнал «Оперативное управление и стратегический менеджмент в коммерческом банке», 4/2004, с. 39–52; 5/2004, с. 40–53; 6/2004, с. 34–40.
- Термин введен автором при подготовке лекций в Российской академии государственной службы в 2003–2004 гг.
- Сказанное можно отнести к контролю банковской деятельности в широком смысле: и к внутреннему, и к внешнему.
- Можно отметить, что данное положение относится в своей существенной части и к службам любого финансового контроля или надзора, банковского инспектирования и т.п
- Эти риски рассматривались автором в предыдущих публикациях.
- См.: 5/2004, с. 40–53; 6/2004, с. 34–40.
- См., напр.: IT Examination Handbook. V.1, 2. — FFIEC, Washington DC, USA, 1996; Risk Management of Outsourced Technology Services. — FFIEC, Washington DC, USA, 2000; Electronic Banking. Safety & Soundness. — FDIC, Washington DC, USA, 1998; Douglas I.J. Computer Audit & Control Handbook. — Butterworth-Heinemann Ltd., UK, 1995 и др.
- Straight-through processing — сквозная обработка. Такая организация учета операций, при которой дистанционно действующий клиент КО воспринимает изменение содержимого базы данных с остатками по счетам и историю операций практически в РМВ.
- В США, например, банковские учреждения обязаны заполнять и предоставлять в органы банковского надзора так называемые отчеты о подозрительной деятельности (SAR — Suspicious Activity Report), имеющие унифицированную форму, частично ориентированную на компьютерную обработку. Эта отчетная форма время от времени совершенствуется, на сегодняшний день она включает информацию как о возможных нелегитимных или подозрительных операциях и сделках, так и об атаках из киберпространства, которым подвергаются финансовые учреждения, нанесенном ущербе, результатах расследований и т.д.
- Под этим понимается организация двойного независимого параллельного контроля
- Впрочем, насколько известно автору, такой акцент делается только в материалах БКБН.
- К сожалению, автор не располагает исчерпывающей информацией по данному вопросу, поэтому дальнейшее изложение базируется на небольшом числе примеров.
- В настоящее время действует Указание оперативного характера Банка России от 03.02.2004 № 16-Т «О рекомендациях по информационному содержанию и организации Web-сайтов кредитных организаций в сети Интернет», в дополнение к которому выпущено вводимое в действие с 01.04.2005 Письмо Банка России от 19.01.2005 № 8-Т «О сведениях, рекомендуемых для размещения на Web-сайтах кредитных организаций в сети Интернет».