CC BY
390
Шамин В. П. РИСКИ И СИСТЕМА ИНТЕРНЕТ - БАНКИНГА
13.11. МЕТОДИКА ОЦЕНКИ, УПРАВЛЕНИЯ И КОНТРОЛЯ РИСКОВ, ВОЗНИКАЮЩИХ В КОММЕРЧЕСКОМ БАНКЕ ПРИ ОСУЩЕСТВЛЕНИИ ОПЕРАЦИЙ С ПРИМЕНЕНИЕМ СИСТЕМ ИНТЕРНЕТ - БАНКИНГА
Шамин В. П., соискатель РГСУ
Контакты автора: VPShamin@bfgbank.ru
Аннотация. В статье рассмотрены особенности мониторинга, оценки и контроля рисков при осуществлении операций с применением систем интернет
- банкинга в коммерческом банке в целях повышения качества корпоративного управления.
Ключевые слова: риск, интернет - банкинг, внутренний контроль, финансовый мониторинг
ESTIMATION PROCEDURE, MANAGEMENT AND CONTROL OF RISKS, ARISE IN COMMERCIAL BANK AT REALIZE TRANSACTIONS WITH APPLICATIONS INTERNET BANKING SYSTEM
Shamin V.P., the competitor
Annotation: In article reviews characteristics monitoring, estimation and control risks by the realize transactions with applications internet banking system in commercial bank for increasing purposes corporate management quality.
Keywords: risk, internet banking, internal control, financial monitoring
За последние несколько лет число компьютерных преступлений, включая преступления в банковской сфере с использованием систем дистанционного банковского обслуживания (ДБО), выросло в несколько раз. Вследствие этого технологии ДБО все чаще становятся предметом пристального внимания со стороны регулирующих органов. Так, в апреле 2007г. Банк России утвердил два нормативных документа, связанных с особенностями обслуживания клиентов, использующих технологии ДБО - Письмо Банка России от 05.04.2007 N 44-Т "О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг" и Письмо Банка России от 27.04.2007 N 60-Т "Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)". В данных документах Банком России рекомендовано в частности после предварительного предупреждения отказывать клиентам в приеме от них распоряжений на проведение операций по банковскому счету (вкладу), подписанных аналогом собственноручной подписи, в случае выявления сомнительных операций клиентов. При этом
кредитным организациям рекомендуется принимать от таких клиентов только надлежащим образом оформленные расчетные документы на бумажном носителе. Появление данных документов, и рекомендованные в них достаточно радикальные меры, несомненно указывают на особую важность контроля кредитной организации при осуществлении операций с использованием электронного банкинга.
Внутренний контроль по управлению банковскими рисками в кредитных организациях приобретает новую и особую значимость в условиях применения электронного банкинга, поскольку такие технологии существенно смещают их профиль риска. Традиционные подходы при этом оказываются малопригодны, поэтому в статье предлагается интерпретация требований к осуществлению этого контроля с учетом изменений в содержании корпоративного управления.
В современных условиях банковской деятельности, когда большинство российских кредитных организаций применяют технологии дистанционного банковского обслуживания (ДБО), называемые также электронным банкингом, обеспечение адекватности внутреннего контроля над управлением банковскими рисками оказывается непростой задачей, поскольку состав источников компонентов этих рисков, ассоциируемых с указанными технологиями, определяется особенностями реализующих их автоматизированных систем. Задача заметно усложняется, если кредитная организация использует не одну технологию электронного банкинга, а больше и каждая из них реализуется своей системой электронного банкинга.
Руководству кредитной организации целесообразно принять меры по адаптации к способам и условиям ряда внутрибанковских процессов, в особенности процесса внутреннего контроля, в плане совершенствования корпоративного управления.
Основные вопросы построения системы внутреннего контроля и функционирования служб внутреннего контроля (СВК) в кредитных организациях изучаются преимущественно Базельским комитетом по банковскому надзору, но в имеющихся на сегодняшний день рекомендациях этого и других зарубежных (международных) органов банковского регулирования и надзора приводятся в основном декларации общего характера.
Это существенно затрудняет разработку и внедрение руководством кредитной организации, использующей любую технологию электронного банкинга, эффективных схем внутреннего контроля в новых условиях "виртуальной" банковской деятельности. Поэтому принципиально важной для обеспечения эффективного контроля над рисками в условиях использования технологий электронного банкинга оказывается именно практическая интерпретация принципов организации и содержания внутреннего контроля, реализуемых во внутрибанковских процессах в части управления банковскими рисками.
Система внутреннего контроля кредитной организации должна включать следующие направления - контроль за:
- организацией деятельности кредитной организации со стороны органов управления;
- функционированием системы управления банковскими рисками и оценка банковских рисков;
- распределением полномочий при совершении банковских операций и других сделок;
- управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности.
Для обеспечения контроля со стороны упомянутых органов управления принципиально важным является наличие совокупной квалификации, адекватной технологиям ДБО, применяемым кредитной организацией.
Оценка банковских рисков предусматривает выявление и анализ внутренних (сложность организационной структуры, уровень квалификации служащих, организационные изменения, текучесть кадров и т.д.) и внешних (...применяемые технологии и т.д.) факторов, оказывающих воздействие на деятельность кредитной организации.
Внутренними документами кредитной организации должен быть предусмотрен порядок информирования соответствующих руководителей о факторах, влияющих на повышение банковских рисков".
Эти положения целесообразно интерпретировать в документах, регламентирующих контроль над управлением банковскими рисками, таким образом, чтобы факторы риска, действующие в ИКБД (информационном контуре банковской деятельности) ДБО, связывались с конкретными источниками компонентов типичных банковских рисков, сгруппированными в зонах их концентрации. В то же время уместно проверять, насколько и каким образом процесс управления охватывает зоны ответственности кредитной организации в ИКБД. То и другое весьма желательно, чтобы можно было говорить об адекватном информировании руководства кредитной организации.
Под постоянным наблюдением за банковскими рисками в случае применения технологии электронного банкинга понимается регламентированный процесс получения руководством кредитной организации информации относительно:
- принятия мер по предотвращению возникновения источников компонентов типичных банковских рисков, связанных с данной технологией электронного банкинга и системой электронного банкинга;
- выявления и определения причины возникновения такого источника в ИКБД, сформировавшемся для реализации данной технологии электронного банкинга;
- устранения данного источника за счет парирующих мероприятий в отношении тех или иных компонентов соответствующего ИКБД;
- принятия мер по предотвращению повторного возникновения аналогичного источника или связанного с уже выявленным;
- проведения последующих контрольных мероприятий ответственными специалистами службы внутреннего контроля в отношении принятых мер.
Для реализации всего перечисленного необходимо наличие в службе внутреннего контроля совокупной квалификации, адекватной применяемой технологии электронного банкинга и достаточной для эффективного анализа связанного с нею ИКБД и регламентации процедур в составе процесса управления банковскими рисками, которые логично описать в Положении об управлении банковскими рисками в связи с описаниями контролируемых типичных банковских рисков.
Все банковские риски, имеющие компоненты технологического и технического характера, указаны в Письме Банка России от 31.03.2008 N 36-Т "О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга". Общие подходы к управлению тремя из упоминавшихся типичных банковских рисков были изложены также в Письмах Банка России от 24.05.2005 N 76-Т "Об организации управления операционным рис-
ком в кредитных организациях" и от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах".
Периодичность проведения оценки операционного риска рекомендуется определять во внутренних документах кредитной организации".
Таблица 1
Риски интернет-банкинга
№п /п Факторы риска Да/Нет
1 2 3
1 Не назначено ответственное лицо (лица) за реализацию процессов управления рисками интернет-банкинга
2 Отсутствие администратора систем и сетей
3 Отсутствие администратора информационной безопасности
4 Отсутствие администратора безопасности СКЗИ (системы криптографической защиты информации)
5 Не учтены причины возникновения операционного риска при применении систем интернет-банкинга во внутренних документах банка
6 Не учтены причины возникновения правового риска при применении систем интернет-банкинга во внутренних документах банка
7 Не учтены причины возникновения стратегического риска при применении систем интернет-банкинга во внутренних документах банка
8 Не учтены причины возникновения риска потери деловой репутации при применении систем интернет-банкинга во внутренних документах банка
9 Не учтены причины возникновения риска ликвидности при применении систем интернет-банкинга во внутренних документах банка
10 Отсутствие договора с организацией, оказывающей услуги по доступу в интернет
11 Отсутствие документа, определяющего порядок предоставления услуг интернет-банкинга
12 Отсутствие контроля за функционированием аппаратно-программного обеспечения систем интернент-банкинга, осуществлением отдельных операций и используемых при этом массивов банковских данных, ориентированного на снижение сопутствующих рисков
13 Не учтена повышенная степень риска при осуществлении операций с применением систем интернет-банкинга ввиду возможности легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма
14 Не учтена необходимость совершенствования процессов управления банковской деятельностью и внутреннего контроля с учетом применения интернет-технологий
15 Не учтена необходимость повышения квалификации сотрудников банка и совершенствования управления рисками интернет-банкинга
16 Не разработаны и не внедрены процедуры мониторинга банковских операций, осуществляемых с применением систем интернет-банкинга
17 Не предусмотрены способы и средства обслуживания клиентов в случае неожиданного прекращения функционирования провайдеров и (или) систем интернет-банкинга, не разработаны планы необходимых мероприятий на случай чрезвычайных обстоятельств и не проводятся регулярные проверки возможности их реализации
18 Сотрудники банка, участвующие в процессе дистанционного банковского обслуживания с применением систем интернет-банкинга, не удовлетворяют квалификационным требованиям, позволяющим обеспечивать решение задач по применению и развитию интернет-банкинга, а также понимание причин возникновения рисков интернет-банкинга.
При оценке рисков, имеющих компоненты технологического и технического характера возникающих при осуществлении операций с применением систем интернет-банкинга, может использоваться метод оценки (Таблица 1) на основании мотивированного суждения. Для вынесения мотивированного суждения производится качественная и количественная оценка соответствующего риска. Расчет производится путем обработки ответов на вопросы. Ответу «ДА» соответствует 1, ответу «НЕТ» - 0. Уровень соответствующего риска (в %%) рассчитывается по формуле:
УРоп=20+К80, где:
К = сумма ответов «ДА» / количество вопросов таблицы.
В соответствии с приведенной формулой минимальный риск будет составлять 20%, то есть при отсутствии утвердительных ответов. Максимальный уровень риска составит 100%.
Перед каждым очередным расчетом оценивается адекватность вопросов в таблице и необходимость ее коррекции. После оценки уровень риска сравнивается с предыдущим показателем. При ухудшении показателя принимаются необходимые меры по минимизации уровня риска.
Шамин В. п. РИСКИ И СИСТЕМА ИНТЕРНЕТ - БАНКИНГА
Продолжение таблицы
1 2 3
19 Отсутствие непрерывности управления процессами и процедурами, необходимыми для осуществления обслуживания клиентов в рамках интернет-банкинга
20 Отсутствие доступности систем интернет-банкинга и возможности выполнения всех функций, указанных в договорах с клиентами, а также защищенности операций и данных интернет-банкинга за счет создания и поддержания в банке необходимых для этого условий, включая надлежащее организационно-техническое обеспечение интернет-банкинга
21 Отсутствие порядка согласования (утверждения) внутренних документов по вопросам управления рисками интернет-банкинга, адекватного характеру и масштабам банковских операций с применением систем интернет-банкинга
22 Отсутствие распределения подчиненности и подотчетности в рамках управления рисками интернет-банкинга
23 Не обеспечено предоставление клиентам услуг интернет-банкинга на согласованной и своевременной основе
24 Не обеспечена установка правил авторизации и способов аутентификации осуществляемых банковских операций
25 Не обеспечен контроль логического и физического доступа к аппаратнопрограммному обеспечению систем интернет-банкинга
26 Отсутствие адекватной структуры обеспечения безопасности для соблюдения установленных прав и полномочий пользователей интернет-банкинга
27 Не обеспечена целостность выполнения операций, записей баз данных и передаваемой в системах интернет-банкинга информации
28 Не обеспечено принятие мер по соблюдению конфиденциальности клиентской и другой внутрибанковской информации, а также банковской тайны
29 Не обеспечены эффективные механизмы реагирования на сбои в обслуживании клиентов и осуществления банковских операций в рамках интернет-банкинга
30 Не обеспечена идентификация клиентов, выгодоприобретателей и лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счетах, к которым имеется доступ посредством интернет-банкинга, с использованием аналогов собственноручной подписи, кодов, паролей и других средств подтверждения наличия таких полномочий
31 32 Не обеспечена организация антивирусной защиты
Не обеспечено предотвращение неправомерного доступа к информационным ресурсам кредитной организации и возможных хищений денежных средств
33 Банком не оказывается методологическая и консультационная помощь клиентам интернет-банкинга, не доводится до них информация о принимаемых ими рисках, а также необходимом комплексе мер по защите информации.
34 Не предусмотрены резервные варианты обслуживания клиентов в рамках интернет-банкинга в случае невозможности выполнения провайдером обязательств перед банком
35 Не разработаны и не внедрены непрерывные процессы наблюдения и контроля за выполнением обязательств провайдеров, участвующих в обеспечении интернет-банкинга
Продолжение таблицы
1 2 3
36 Не организован контроль за определением обязательств по договорам с провайдерами (например, в случае неисполнения или ненадлежащего исполнения обязательств)
37 Не организован контроль за учетом всех операций и систем интернет-банкинга, зависящих от провайдеров, в процессах обеспечения выполнения обязательств перед клиентами, целостности банковских данных, защиты информации и соблюдения ее конфиденциальности, выявления и мониторинга банковских рисков
38 Не организован контроль за проведением периодического независимого внутреннего и (или) внешнего аудита содержания и оценки качества выполнения провайдерами предусмотренных договорами функций по меньшей мере в том же объеме, который осуществлялся бы при выполнении таких операций самим банком
39 В рамках заключаемых договоров банком не предъявлены к провайдерам требования по осуществлению внутреннего контроля и организации обеспечения информационной безопасности
Оценка риска:
Количество ответов «Да» (да=1) ____
Количество ответов «Нет» (нет=0)_ _
Уровень риска____________
у ровен ъ ^^'^^'^Средиий уровень
Повышенный уровень
Подготовка мотивированных суждений производится подразделением управления рисками (риск-менеджмента) один раз в квартал на отчетную дату.
Назначение ответственного лица (лиц) за реализацию процессов управления рисками интернет-банкинга и их мониторинга производится приказом по банку.
В целях обеспечения эффективного управления банковскими рисками службой внутреннего контроля по направлениям поверок контролируются факторы возникновения операционного и правового рисков при применении интернет-банкинга, ежеквартально контролируются факторы возникновения стратегического риска, риска потери деловой репутации, риска ликвидности при применении интернет-банкинга. Если в ходе проверки выявляются новые факторы, влияющие на риски интернет-банкинга, не указанные в нижеприве-
денной таблице, то перечень факторов риска пополняется. Необходимо отметить, что в современных условиях эта проблематика стала весьма актуальной в связи с тем, что "виртуализация" банковской деятельности через различные среды информационного взаимодействия привела к широкому распространению так называемых киберпреступлений.
На основании мотивированного суждения определяется оценка риска: низкий, средний или повышенный уровень. Полученный расчетный показатель классифицируется как низкий уровень риска в интервале от 20% до 40% включительно, как средний - от 41% до 80% включительно, повышенный - от 81% до 100% включительно.
Если внедряемая система электронного банкинга окажется ненадежной в плане выполнения требований противодействия легализации (отмыванию) доходов, то не исключено, что кредитной организации, чтобы не превратиться, как пишет Базельский комитет по банковскому надзору, "в "механизм" отмывания денег, финансирования терроризма и реализации других незаконных действий", придется отказаться от использования такой системы либо принять меры для ее оперативной модернизации. В обоих вариантах эта организация столкнется с реализацией компонента стратегического риска, физической оценкой которого станут неокупившиеся затраты либо дополнительные расходы.
Поэтому ее руководству целесообразно при организации, реализации и адаптации процесса финансового мониторинга, а также при адаптации процесса управления банковскими рисками:
- изучать способы и практические примеры противоправной деятельности с помощью технологий электронного банкинга;
- создавать и адаптировать модели возможной противоправной деятельности с использованием таких технологий;
- тестировать программно-информационное обеспечение финансового мониторинга на предмет его адекватности указанным моделям;
- актуализировать и обновлять программноинформационное обеспечение финансового мониторинга по мере внедрения новых технологий электронного банкинга.
Реализация подходов к осуществлению внутреннего контроля над процессом управления банковскими рисками в условиях электронного банкинга, рассмотренных в настоящей статье, может оказать существенное влияние на улучшение условий функционирования российского банковского сектора. Поскольку наличие надежного ДБО в российских кредитных организациях позволяет эффективно обеспечивать решение задач, возникающих в процессе текущей банковской деятельности, обеспечивая адекватность процессов управления банковскими рисками и внутреннего контроля применяемым этими организациями банковским информационным технологиям, чем обеспечивается технологическая надежность финансовой системы в целом.
Список литературы:
1. 1. П.В.Ревенков, А.Н.Воронин, Электронный банкинг: Организация и методика защиты от противоправных действий // Расчеты и операционная работа в коммерческом банке", 2009, № 2
2. Лямин Л.В. Оптимизация принципов организации внутреннего контроля в условиях применения технологий электронного банкинга // Оперативное управление и стратегический менеджмент в коммерческом банке. 2005. N 3. С. 109 -120
3. Положение Банка России от 16.12.2003 № 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах"
4. Л.В.Лямин, Контроль над управлением банковскими рисками при электронном банкинге //Управление в кредитной организации, 2010, № 4
References:
1. P.V. Revenkov, A.N. Voronin, Electronic banking: Organization and protection procedure from illegal actions // Payments and operating activities in commercial bank , 2009, № 2.2. Lyamin L.V. Optimization the principle organization internal control in conditions electronic banking technology employ // Operating control and strategic management in commercial bank, 2005. N 3. С. 109 - 120.
3. Statute of Bank of Russia "On organize internal control in credit organizations and banking group" No. 242-P dated December 16, 2003.
4. Lyamin L.V. Control at bank risks management by the electronic banking // Management in lending agency, 2010, № 4.
РЕЦЕНЗИЯ
на статью соискателя кафедры финансов и кредита Российского государственного социального университета Шамина Владимира Павловича на тему «Методика оценки, управления и контроля рисков, возникающих в коммерческом банке при осуществлении операций с применением систем интернет - банкинга».
В данной статье рассматриваются вопросы оценки и управления рисками при осуществлении операций с применением систем интернет - банкинга. Автор рассматривает основные задачи, стоящие перед руководством кредитной организацией в целях управления рисками, связанными с применением систем интернет
- банкинга. В статье выявлены факторы, влияющие на риски интернет-банкинга, и определены меры по организации, реализации и адаптации процесса финансового мониторинга к данным рискам.
Представленный автором порядок оценки стратегического риска и риска ликвидности при применении интернет-банкинга представляет интерес, как с теоретической, так и с практической точки зрения. Так, например, четкость понимания применяемой технологии электронного банкинга, правил и стандартов её применения оказывает существенное влияние на уровень данных рисков и на деятельность кредитной организации в целом.
Существенным моментом является и то, что предложенная автором методика оценки рисков, связанных с применением систем интернет-банкинга на основе мотивированного суждения позволит принимать необходимые меры по их минимизации.
Статья рекомендуется к публикации в журнале «Бизнес в законе».
Профессор
д.э.н. Н.П. Белотелова
