CC BY
109
3 ВЕСТНИК ПГГПУ
Серия № 3. Гуманитарные и общественные науки
УДК 657.1
Шориков Сергей Андреевич
директор
НОЧУ ПОО «Колледж предпринимательства и социального управления»
г. Екатеринбург, Россия 620100, г. Екатеринбург, Сибирский тракт, 8б, e-mail: sashorikov@mail.ru
СОВЕРШЕНСТВОВАНИЕ ВНУТРИБАНКОВСКОГО КОНТРОЛЯ
С ЦЕЛЬЮ ПРЕДОТВРАЩЕНИЯ НЕСАНКЦИОНИРОВАННОЙ ДЕЯТЕЛЬНОСТИ
Sergey A. Shorikov
Director
College of Business and Social Management, Ekaterinburg, Russia, 620100, 8б, Sibirsky trakt, e-mail: sashorikov@mail.ru
IMPROVING OF INTERNAL CONTROL IN THE BANK TO PREVENT UNAUTHORIZED ACTIVITY
Аннотация: Обсуждаются проблемы реализации банковского контроля и предлагаются меры по его совершенствованию на основе внедрения в практику работы банков современных методов внутрибанковского контроля. Данные предложения позволят повышать эффективность функционирования банков и выявлять незаконную деятельность в их среде.
Ключевые слова: банковский контроль и аудит, интеллектуальные компьютерные экспертные системы, банковские IT-технологии.
Abstract: This article discusses the implementation of banking control and proposes measures for its improvement based on the implementation in practice of banks of modern methods of internal control. These proposals will improve the efficiency of banks and the illegal activity in their environment.
Keywords: bank control and audit, intelligent computer expert system, banking IT technologies.
В связи с развитием и совершенствованием современных компьютерных и телекоммуникационных средств обслуживания клиентов и управления бан-
© Шориков С.А., 2016
ковскими активами и пассивами значительно возросло количество преступлений, направленных на хищение средств, находящихся на банковских счетах. Эта тенденция усиливается в условиях экономического кризиса, количество таких преступлений резко возрастает. Поэтому перед банками (кредитными учреждениями) стоит проблема совершенствования, с одной стороны, внутрибанковского контроля, а с другой - системы защиты от несанкционированного доступа к счетам.
Мошенники внутри банков все более активно атакуют банковские 1Т-системы. Об этом сообщил заместитель начальника главного управления безопасности и защиты информации (ГУБиЗИ) ЦБ РФ Артем Сычев в эфире телеканала «Россия-24»: «Мы наблюдаем смещение вектора угроз с клиентов кредитных организаций на сами кредитные организации. Хорошей мишенью оказались банки, где вопросы информационной безопасности не находятся в приоритете. За последний квартал 2015 года и первый квартал 2016-го произошло 19 противоправных инцидентов с кредитными организациями. В основном это банки среднего уровня. Общий ущерб по этим инцидентам находится в районе двух миллиардов рублей».
Таким образом, в банковской среде одной из самых актуальных проблем становится проблема надежной защиты кредитной организации от киберпре-ступлений путем не только совершенствования средств и систем защиты данных, но и разработки новых методик и средств внутрибанковского контроля.
В данной работе предлагается методика совершенствования внутрибанковского контроля на основе четкого регулирования реализации операционной деятельности банковских компьютерных систем и связанных с ними сотрудников. Предложенные в статье мероприятия могут служить основой для разработки и создания автоматизированной системы диагностики состояния учета и операционной деятельности в банке (кредитной организации), а также пресечения незаконной финансовой деятельности. Полученные в работе результаты основываются на исследованиях В.Н. Курсова, А.И. Мерцаловой, А.Л Лазарен-ко и др. [1-6].
ТТ: ВЕСТНИК ПГГПУ Серия № 3. Гуманитарные и общественные науки
Для предотвращения киберпреступлений в банке (кредитной организации) прежде всего необходимо выстроить контроль за функционированием системы интернет-банкинга, связанных с ним банковских рисков и управления банковскими рисками.
Кредитной организации рекомендуется в рамках заключаемых договоров предъявлять к провайдерам, реализующим сетевой обмен, требования по осуществлению внутреннего контроля и организации обеспечения информационной безопасности. Внутренними документами кредитной организации рекомендуется регламентировать работу на всех технологических участках информационного контура интернет-банкинга, организационное и информационное взаимодействие с клиентами и провайдерами, а также функционирование аппаратно-программного обеспечения интернет-банкинга.
Во внутренних документах кредитной организации, регламентирующих управление интернет-банкингом и контроль за функционированием систем, реализующих его операционную часть, рекомендуется четко отразить следующее.
1. Роль органов управления и структурных подразделений кредитной организации, в том числе:
- распределение полномочий между органами управления кредитной организации (совет директоров (наблюдательный совет), единоличный и коллегиальный исполнительные органы);
- распределение прав и обязанностей, ответственности, подчиненности и подотчетности структурных подразделений кредитной организации, служащих кредитной организации, в обязанности которых входят выполнение функций в рамках интернет-банкинга и управление связанными с ним рисками;
- реализацию учетной политики кредитной организации во внутрибанковских автоматизированных системах с учетом особенностей применения систем интернет-банкинга;
- определение допустимых уровней банковских рисков, принимаемых кредитной организацией при использовании систем интернет-банкинга;
- определение порядка информирования органов управления кредитной организации о выявленных источниках (факторах) банковских рисков и приня -тие мер, обеспечивающих снижение уровня рисков.
2. Порядок обеспечения непрерывности управления, в том числе:
- организацию испытания систем интернет-банкинга на соответствие требованиям, предъявляемым к осуществлению банковских операций;
- разработку мер по обеспечению надежности функционирования систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга (в том числе внутрибанковских автоматизированных систем кредитной организации, систем и комплексов провайдеров);
- контроль взаимосвязанных внутрибанковских процессов и процедур, необходимых для осуществления обслуживания в рамках интернет-банкинга;
- разработку и наличие плана действий на случай чрезвычайных обстоятельств с учетом специфики интернет-банкинга, включающего меры по предотвращению влияния источников (факторов) рисков, а также меры по защите интересов кредитной организации и ее клиентов, пользующихся интернет-банкингом, включая восстановление обслуживания;
- разработку и наличие системы документирования, анализа информации о сетевых кибератаках и других противоправных действиях, о нарушени -ях функционирования систем интернет-банкинга и доведения этой информации до органов управления кредитной организации;
- разработку и наличие плана действий при возникновении нештатных ситуаций во внутрибанковских автоматизированных системах кредитной организации, связанных с осуществлением операций интернет-банкинга (включая умышленные повреждения, сетевые и вирусные атаки), в том числе и в системах и комплексах провайдеров (с описаниями мероприятий по выявле -нию нарушений и защите от них функционирования информационного контура интернет-банкинга, попыток неправомерного доступа к программноинформа-ционным ресурсам и мер по их предупреждению, а также порядок информиро -вания органов управления кредитной организации о таких ситуациях).
ТТ: ВЕСТНИК ПГГПУ Серия № 3. Гуманитарные и общественные науки
3. Порядок управления рисками интернет-банкинга, в том числе:
- описание наиболее вероятных внутренних и внешних источников (факторов) рисков интернет-банкинга;
- разработку различных способов оценки и минимизации рисков интернет-банкинга;
- организацию процессов мониторинга источников (факторов) рисков интернет-банкинга и управления рисками интернет-банкинга;
- назначение лица (лиц), ответственного за реализацию процессов мониторинга и управления рисками интернет-банкинга.
4. Разработка требований к организационно-техническому обеспечению интернет-банкинга в части:
- организации, ведения, сопровождения (поддержания функционирова-ния), модернизации и закрытия (отказа от использования) WEB-сайта, применяемого для интернет-банкинга, а также распределения обязанностей, ответственности, подотчетности и контроля в отношении содержания WEB-сайта;
- порядка пользования Интернетом служащими кредитной организации;
- разграничения прав и полномочий доступа служащих кредитной организации к системам интернет-банкинга;
- реализации процессов в случае модернизации обслуживания в рамках интернет-банкинга;
- содержания технического описания внутрибанковских автоматизиро -ванных систем, на которых основаны и реализованы системы интернет -банкинга, в том числе схемы вычислительной сети кредитной организации с указанием потоков данных (передаваемых, обрабатываемых и хранимых);
- содержания инструкций, правил, руководств и иных документов для операторов внутрибанковских автоматизированных систем, администраторов этих систем и администраторов информационной безопасности, а также служащих кредитной организации, обслуживающих эти системы;
- актуализации документации на технические средства, используемые кредитной организацией для интернет-банкинга, а также контроль их модификации (в том числе меры по предотвращению внесения несанкционированных изменений в соответствующее аппаратно-программное обеспечение систем интернет-банкинга и в информационные массивы данных);
- установления договорных отношений с клиентами, пользующимися услугами интернет-банкинга, и контроля выполнения обязательств сторон;
- установления договорных отношений с провайдерами и контроля выполнения обязательств сторон.
5. Порядок обеспечения информационной безопасности в части:
- политики обеспечения информационной безопасности с учетом особенностей интернет-банкинга, внешних и внутренних угроз информационной безопасности и защите банковских операций и данных, возможных сценариев реализации угроз, а также способов противодействия таким угрозам, как неправомерное уничтожение, изменение, копирование данных, доступ к ним со стороны неуполномоченных лиц;
- методической и консультационной помощи клиентам, доведения до них информации о существующих рисках, информирования клиентов об осуществляемых по их счетам операциях, а также о типичных признаках противоправных действий и о необходимом комплексе мер по защите информации.
6. Порядок обеспечения внутреннего контроля в части:
- состава системы внутреннего контроля с учетом особенностей интер -нет-банкинга, в том числе описания встроенных средств автоматизированного (программного) контроля, используемых для целей противодействия легализации («отмыванию») доходов, полученных преступным путем, и финансированию терроризма, а также для выявления и документирования подозрительных операций;
- действий по выявлению нарушений и недостатков при осуществлении кредитными организациями банковских операций с применением систем интернет-банкинга;
ТТ: ВЕСТНИК ПГГПУ Серия № 3. Гуманитарные и общественные науки
- действий по устранению нарушений и недостатков, выявленных службой внутреннего контроля.
7. Порядок противодействия легализации («отмыванию») доходов, полученных преступным путем, и финансированию терроризма в части:
- взаимодействия подразделений информатизации, информационной безопасности, службы внутреннего контроля и служащих (структурного подразделения), ответственных за соблюдение правил внутреннего контроля в целях противодействия легализации («отмыванию») доходов, полученных преступным путем, и финансированию терроризма;
- установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете, используя аналог собственноручной подписи, коды, пароли и иные средства, подтверждающие наличие указанных полномочий;
- идентификации и изучения клиентов интернет-банкинга (в первую очередь клиентов, с которыми кредитная организация осуществляет банковские операции с повышенной степенью риска) и соблюдения принципа «знай своего клиента».
Кредитной организации рекомендуется организовать и контролировать процесс информационного обеспечения в целях эффективного управления рисками интернет-банкинга, выработки мотивированных решений в отношении применения систем интернет-банкинга и принятия мер по снижению и исключению влияния возможных источников (факторов) указанных рисков.
Перечисленные выше мероприятия служат основой для разработки и создания компьютерной системы для автоматизированной диагностики состояния учета и операционной деятельности в банке (кредитной организации), а также пресечения незаконной финансовой деятельности.
В заключение необходимо отметить, что минимизация банковских рисков, связанных с противоправными действиями злоумышленников, невозможна без комплексного и системного подхода к данной проблеме. Это требует посто-
янного совершенствования систем контроля и защиты банковских данных, направленных на предотвращение подобных преступлений, которые, как уже было сказано, в условиях экономического кризиса получили широкое распространение.
Список литературы
1. Банковское дело: экспресс-курс: учеб. пособие для студентов / под ред. О.И. Лаврушина. - 4-е изд., стер. - М.: КНОРУС, 2014. - 348 с.
2. Бухгалтерский учет в коммерческих банках / под ред. Г.Н. Белоглазо-вой, Л.П. Кроливецкой: учеб. пособие для студентов.- М.: Юрайт, 2013. - 479 с.
3. Курсов В.Н. Новое в бухгалтерском учете в коммерческих банках. -М: ИНФРА-М, 2008. - 176 с.
4. Мерцалова А.И., Лазаренко А.Л. Учет и операционная деятельность в кредитных организациях: учебное пособие. - М.: Форум, ИНФРА-М, 2011. -414 с.
5. Шориков С.А. Бухгалтерский учет в банках: учеб. пособие / Уральский институт фондового рынка. - Екатеринбург, 2010. - 548 с.
6. Шориков С.А. Основы банковского аудита: учеб. пособие / Уральский институт фондового рынка. - Екатеринбург, 2015. - 277 с.
