Л. Лямин - Применение технологий электронного банкинга: риск-ориентированный подход

72

См., например: Management and Supervision of Cross-Border Electronic Banking Activities.

73

В 2009 году и первой половине 2010 г. возможные изменения этого закона интенсивно обсуждались в Государственной Думе, и судьба этих изменений пока полностью не ясна.

74

Setyice Level Agreement (SLA).

75

Risk Management Principles for Electronic Banking.

76

Имеется в виду оптимальный вариант обеспечения совокупной необходимой квалификации при анализе предметной области и принятии решений относительно внедрения варианта ДБО.

77

По данным отчетности кредитных организаций, представляемой в Банк России в соответствии с формой 0409070, российскими кредитными организациями используется порядка 100 разновидностей систем только интернет-банкинга, половина из которых разработана различными компаниями и еще примерно столько же оригинальных разработок выполнены самими кредитными организациями.

78

Речь идет, разумеется, не о названии внутрибанковских документов, а об их содержа-

79

В этом случае понятие аутсорсинга используется в «максимально широкой» его трактовке, с учетом «множественности» вариантов образования внешней зависимости банковской деятельности кредитной организации в ИКБД.

80

Имеются в виду варианты предварительного «внутреннего» тестирования автоматизированной системы подразделением ИТ, апробации ее небольшим количеством операторов на тестовых и отдельных практических примерах и передачи ее в опытную эксплуатацию, после чего принимается решение о проведении ПСИ для передачи системы в постоянную эксплуатацию.

81

В устоявшейся терминологии зарубежных органов банковского регулирования и надзора под провайдерами обычно понимаются продавцы услуг (доступа в Интернет, каналов связи и пр.), а под вендорами — продавцы товаров (программного обеспечения, автоматизированных систем и т. п.). На самом деле такое разделение не существенно и используется только для удобства квалификации возникающих зависимостей кредитной организации от сторонних организаций и, соответственно, структурных компонентов типичных банковских рисков.

82

Data Flow Diagram (D FD).

83

Universal Rating System for Information Technologies. Federal Register. V. 64, № 12, 1999. Эта система разработана Федеральным советом по проверкам финансовых учреждений (Federal Financial Institutions Examination Council — FFIEC), который является своего рода общим методическим органом для учреждений США, выполняющих регулятивнонадзорные функции в банковском секторе. В описании этой системы указано, что она «является… внутренней рейтинговой системой для проверок в рамках надзора… используемой для обеспечения однотипной оценки рисков, принимаемых финансовыми учреждениями и провайдерами услуг при использовании информационных технологий и выявления тех учреждений и провайдеров услуг, в отношении которых необходимо особое внимание со стороны надзора». Разработками этой организации пользуются и коммерческие банки и другие финансовые учреждения в США.

84

Robertson R.M. The Comptroller and Bank Supervision.

85

Эта проблематика анализировалась в статье: Лямин Л.В. Концептуальные вопросы управления аутсорсингом в условиях применения технологий электронного банкинга // Управление в коммерческом банке. 2007. № 5. С. 109–118; 2008. № 1. С. 80–102.

86

Например, распределение функций администрирования автоматизированных систем и вычислительных сетей и контроля реализации этого распределения (обязанностей, ответственности, прав и полномочий, порядков и должностных инструкций), проведения проверок службой внутреннего контроля и службой обеспечения информационной безопасности и т. п.

87

В качестве одного из наиболее очевидных примеров можно привести определение требований к настройке брандмауэров (сетевых экранов) кредитной организации, которые являются основными средствами защиты ее вычислительных сетей. В этом случае необходима разработка корпоративной политики такой защиты (в том числе допустимых для использования сетевых протоколов, ограничений на доступное внешнее и внутреннее адресное пространство и т. п.), доведение ее до технических исполнителей и проверка соответствия выполненных настроек установленным требованиям специалистами подразделения ИТ, обеспечение информационной безопасности и внутреннего контроля, которые при их проведении должны руководствоваться соответствующими положениями о подразделениях и должностными инструкциями.

88

Еще одним простым примером может являться формирование механизма доведения до менеджеров разных уровней информации о сетевых и вирусных атаках, случаях НСД, отказах серверного оборудования разного назначения и т. п. Известно, что если проблема не «докладывается», то она повторяется, причем в кредитных организациях это может продолжаться до тех пор, пока сокрытие негативной информации не приведет к весьма серьезным финансовым потерям их самих или их клиентов (чему немало примеров из российской и зарубежной банковской деятельности). Чтобы создать такие «механизмы» и контролировать их функционирование (допустим, через анализ содержания тех же системных логов и аудиторских трейлов), также необходима специальная квалификация.

89

Совершенствование корпоративного управления в кредитных организациях // Вестник Банка России. 2001. № 46. 25 июля.

90

http://www.oecd.org/dataoecd/57/18/32159669.pdf.

91

Лямин Л.В. Корпоративное управление в условиях применения технологий электронного банкинга // Управление в кредитной организации. 2008. № 3. С. 78–89; № 4. С, 70–83; № 5. С. 68–83.

92

Enhancing corporate governance for banking organisations. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, February 2006.

93

Здесь под распространением риска имеется в виду то, что реализация какого-то фактора или проявление источника риска может оказать влияние на выполнение различных процедур, входящих в состав внутрибанковских процессов. Особенно это касается ситуаций, в которых возможно нарушение целостности банковских или клиентских данных.

94

Risk Management Principles for Electronic Banking.

95

В число которых, как поясняется в документе, «входят надзор, правительство и вкладчики ввиду уникальной роли банков в национальной и локальной экономиках и финансовых системах, а также ассоциируемыми с ними явными и неявными гарантиями депозитов».

96

Federal Deposit Insurance Corporation (FDIC).

97

Учитывать следует как внешние, так и внутренние угрозы, которые могут инициироваться в различных информационных сечениях как между системой ДБО и БАС, так и самой БАС.

98

Письмо Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», которое требует, вообще говоря, практической интерпретации в каждом индивидуальном случае применения электронного банкинга.

99

Как поясняется, предупредительному, ориентированному на создание необходимых условий для эффективного внедрения и поддержания, и это справедливо, однако отсутствие указаний на связь с жизненными циклами банковских информационных технологий и внутрибанковских процессов, что, казалось бы, в современном банковском деле «лежит на поверхности», исключает и необходимый акцент на них.

100

В оригинале — Sound corporate governance principles.

101

Факторы и источники компонентов банковских рисков, условия проявления и степень их влияния и т. п.

102

От англоязычного понятия ATM — Automatic Teller Machine.

103

По результатам разных исследований, проводившихся, например, в США совместно Федеральным бюро расследований и научно-техническими организациями, инсайдеры инициируют от 60 до 80 % противоправных действий — в зависимости от вида опрошенных учреждений и компаний.