Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

В то же время, как было показано в главе 2, методологию определения и анализа указанных компонентов до настоящего времени нельзя считать установившейся ни за рубежом, ни в нашей стране, а следовательно, отечественные кредитные организации вынуждены самостоятельно разрабатывать методические материалы для осуществления УБР на основе анализа принятой ими организации и условий банковской деятельности, вида ДБО, формирующегося ИКБД, АПО СЭБ, взаимодействия структурных подразделений и т. п. Результатом такого анализа становится (точнее, должно стать) определение зон концентрацииисточников компонентов банковских рисков для кредитной организации и ее клиентов и зон ее ответственности,что служит дополнением состава ролевых функций ее вышеперечисленных служб.

Поскольку указанные зоны заведомо не совпадают (руководство и специалисты кредитной организации не могут принимать меры, парирующие все угрозы, ассоциируемые со всеми источниками компонентов банковских рисков), необходимо четко определить, какие конкретно действия следует предпринимать в отношении угроз, источники которых находятся в пределах «досягаемости», а в отношении каких стоит принять меры хеджирования (предполагая возможное «понесение ущерба»). Такую классификацию было бы предпочтительно отразить в документах, относящихся к определению содержания процесса УБР, в сопоставлении с конкретными факторами возникновения источников компонентов банковских рисков. С некоторой долей условности ориентация внутрибанковских процессов управления и контроля показана на рис. 5.2, где для ДБО в варианте интернет-банкинга кружками отмечены основные зоны концентрации этих источников, а стрелками, направленными от «руководства» кредитной организации, — воздействия на эти источники в рамках УБР, применения ИТ, ОИБ, ВК и пр. (приведенная схема не полна: на ней не показаны почтовые сервера, демилитаризованные зоны (DMZ) и другие возможные элементы, но она вполне достаточна для иллюстрации последующего изложения; схема формирования DMZ будет приведена в параграфе 5.4).

Для эффективного управления и достижения стратегической цели кредитной организацией, использующей технологии электронного банкинга, ее руководству необходима оценка уровней принимаемых ею банковских рисков, адекватная сложности и особенностям каждой из таких технологий, а также мониторинг этих уровней, которые должны удерживаться в допустимых для кредитной организации пределах, устанавливаемых ее внутренними документами, за счет процесса УБР, реализуемого посредством своевременных и адекватных действий ее высших исполнительных органов, менеджеров разных уровней и исполнителей по предотвращению возникновения и реализации источников компонентов типичных банковских рисков. Действия эти регламентируются внутрибанковскими документами (на основе того же анализа), которые описывают модифицированный процесс УБР и связанные с ним процедуры в составе других внутрибанковских процессов, адаптируемых к применению ТЭБ (каждой, включая перспективные) для ДБО.

При модернизации процесса УБР и адаптации его содержания необходимо помнить, что любая схема измерения и мониторинга риска хороша лишь настолько, насколько верна, надежна и устойчива заложенная в ней методология выявления, оценивания и анализа рисков, ассоциируемая с составом и вариантами ДБО. Поэтому и возникает весьма серьезная методологическая проблема, обусловленная тем, что разным архитектурам и составу банковских автоматизированных систем свойственны разные наборы факторов и подмножества источников компонентов банковских рисков. Следовательно, руководство кредитной организации сталкивается с необходимостью формирования некоего универсального подхода, позволяющего конкретизировать управление банковскими рисками по отдельным направлениям ее деятельности на основе единой (или обобщенной) риск-ориентированной методологии. Методологией такого рода, вернее, одним из наиболее «удачных» по состоянию на настоящее время ее компонентов (пока) является подход к определению содержания УБР, изложенный в работе БКБН, называемой «Принципы Управления Рисками для Электронного Банкинга» [107] Risk Management Principles for Electronic Banking. .

В этом достаточно обширном материале отмечено прежде всего, что: «Электронный банкинг… ведет к возникновению новых бизнес-моделей, в которых участвуют банки и небанковские организации…», при этом «…профиль риска у каждого банка свой и требует применения такого подхода к снижению влияния рисков, который соответствует масштабу операций в рамках электронного банкинга, реальному влиянию… рисков, а также готовности и способности конкретного учреждения управлять этими рисками».

В связи с этим в рассматриваемом материале определены так называемые «14 базовых принципов» для того, чтобы, как сказано, «помочь банкам распространить существующие в них процедуры наблюдения за рисками на деятельность в области электронного банкинга». Эти базовые принципы разделены на три тематические группы:

1. Эффективное наблюдение со стороны руководства за деятельностью в рамках электронного банкинга.

2. Организация полноценного процесса контроля безопасности.

3. Полноценный процесс наблюдения за выполнением обязательств и управлением в отношении поставщиков услуг и других третьих сторон, от которых имеется зависимость.

4. Аутентификация клиентов в операциях электронного банкинга.

5. Отсутствие отказов от проведения операций и возможность учета для транзакций, осуществляемых в рамках электронного банкинга.

6. Должные меры по обеспечению разделения обязанностей.

7. Необходимые средства авторизации в системах электронного банкинга, базах данных и прикладных программах.

8. Целостность данных в транзакциях электронного банкинга, записях и информации.

9. Организация формирования точных аудиторских записей для транзакций, осуществляемых в рамках электронного банкинга.

10. Конфиденциальность важнейшей банковской информации.

11. Правильное раскрытие информации для обслуживания в рамках электронного банкинга.

12. Конфиденциальность клиентской информации.

13. Планирование производительности, непрерывности операций и на случай непредвиденных обстоятельств для обеспечения доступности систем и обслуживания в рамках электронного банкинга.