Кибербезопасность в условиях электронного банкинга. Практическое пособие - Коллектив авторов
– процесс планирования использования данной технологии;
– реализацию этой технологии;
– средства измерения и мониторинга сопутствующего риска.
Процесс планирования риска является обязанностью СД и ВРБ. Им потребуются квалификация и знания, необходимые для управления применением в банке технологии интернет-банкинга и связанными с этой технологией рисками. СД должен проверять, утверждать и контролировать проекты, относящиеся к технологии интернет-банкинга, которые могут оказать влияние на профиль риска банка. Его членам следует определить, соответствуют ли применяемые технологии и услуги стратегическим целям банка и удовлетворяют ли они потребности рынка. ВРБ должен обладать квалификацией, достаточной для оценивания применяемой технологии и предполагаемого риска. Периодическое независимое оценивание данной технологии интернет-банкинга и услуг аудиторами или консультантами может помочь СД и ВРБ справиться со своими обязанностями.
Реализация технологии является обязанностью руководства. Руководители банка должны обладать квалификацией, достаточной для эффективного оценивания технологий и услуг интернет-банкинга, выбора верных сочетаний и контроля над их правильным внедрением. Если сотрудникам банка не хватает опыта для самостоятельного выполнения таких обязанностей, то им следует рассмотреть возможность заключения контракта с поставщиком, который специализируется на данном типе бизнеса, или организовать совместную работу с другими провайдерами, обладающими комплексными технологиями и опытом.
Измерение и мониторинг риска являются обязанностью руководства банка. Руководителям банка необходимо обладать квалификацией, достаточной для эффективной идентификации, измерения, мониторинга и контроля рисков, ассоциируемых с интернет-банкингом. СД банка должен получать регулярные отчеты по применяемым технологиям, предполагаемым рискам и тому, как эти риски управляются. Мониторинг функционирования систем является ключевым фактором успеха. Национальные банки должны включить в свою систему интернет-банкинга эффективные процессы подтверждения качества и аудита как часть процесса разработки. Банкам следует периодически проверять свои системы, чтобы определять, соответствуют ли они стандартам функционирования.
6.5. Внутренний контроль
Есть дайверы старые, есть дайверы отчаянные. Но не бывает старых отчаянных дайверов.
Цитата из фильма Pressure («Опасное погружение»)Внутренний контроль над системами интернет-банкинга должен быть соразмерен уровню риска банка. Как и в любой другой области банковского дела, руководство банка несет окончательную ответственность за разработку и реализацию надежной системы внутреннего контроля над технологией и услугами интернет-банкинга.
Регулярный аудит указанной системы контроля поможет гарантировать, что средства контроля соответствуют своему назначению и функционируют должным образом. К примеру, контроль в отношении технологии интернет-банкинга может быть нацелен на то, чтобы обеспечить:
– согласованность технологического планирования и стратегических целей, включая эффективность и экономичность операций, а также соответствие корпоративной политике и законодательным требованиям;
– доступность данных, включая планирование восстановления деловых операций;
– целостность данных, включая обеспечение защищенности активов, должную авторизацию транзакций, а также надежность соответствующего процесса и его результата;
– конфиденциальность данных и защищенность прав личности;
– надежность информационной системы управления.
При наличии установленных целей контроля руководство несет ответственность за внедрение внутреннего контроля, необходимого для того, чтобы убедиться в достижении этих целей. Руководство также несет ответственность за оценивание соответствия средств контроля на основе определения экономического эффекта. При таком анализе могут учитываться эффективность каждого средства контроля в процессе, денежный эквивалент объема потока средств, задействованных в данном процессе, а также стоимость самих средств контроля.
7. Организация внутреннего аудита и внутреннего контроля в кредитных организациях при использовании систем электронного банкинга
Дело должно соответствовать возможностям, действие должно соответствовать времени.
Лао-цзы (Ли Эр), древнекитайский философВведение
Если тебе тяжело, значит ты поднимаешься в гору. Если тебе легко, значит ты летишь в пропасть.
Генри Форд, американский промышленник, владелец автомобильных заводов по всему миру В части организации (адаптации) и реализации процессов внутреннего контроля в кредитных организациях, применяющих в своей деятельности технологии ЭБ, целесообразно основываться не только на общепринятом подходе к процессу управления[123], но и на рекомендациях Базельского комитета по банковскому надзору. В частности, БКБН указывает на необходимость принятия четких стратегических решений относительно предоставления банковских услуг посредством электронных технологий, организации процессов должного контроля и мониторинга и парирования рисков.
7.1. Качество корпоративного управления в части развития и применения систем электронного банкинга
Не пренебрегай врагами: они первыми замечают твои ошибки.
Антисфен, древнегреческий философ7.1.1. Ориентированность кредитной организации
на развитие технологий электронного банкинга
В соответствии с рекомендациями Базельского комитета по банковскому надзору «Совершенствование корпоративного управления в кредитных организациях» и другими международными документами по корпоративному управлению деятельность организации, не имеющей стратегических целей или корпоративных ценностей, крайне затруднена. С учетом этого целесообразно разработать стратегию развития (далее – Стратегия), которой кредитная организация будет руководствоваться в повседневной деятельности.
Поскольку за разработку Стратегии отвечают СД и ВРБ, СД необходимо уделять достаточно времени обсуждению Стратегии, в том числе на этапе ее утверждения, включая определение приоритетных направлений развития в области технологий ЭБ.
Важным элементом корпоративного управления кредитной организации является установление во внутренних документах порядка разработки, утверждения и при необходимости уточнения (корректировки) Стратегии.
Утверждать Стратегию следует общим собранием акционеров или СД.
С учетом рекомендаций зарубежных органов банковского надзора предполагается, что в оптимальном варианте в стратегическом плане кредитной организации излагаются в том числе планы внедрения, применения и развития технологий ЭБ, количественные и качественные показатели, позволяющие оценить деятельность кредитной организации в целом, ее отдельных подразделений и служащих и сравнить достигнутые в соответствующем плановом периоде результаты с запланированными показателями.
В целях обеспечения эффективности управления рисками, возникающими при осуществлении кредитной организацией операций с применением СЭБ, органам управления кредитной организации рекомендуется обеспечить соответствие планов внедрения и развития клиентского обслуживания с использованием СЭБ стратегическим целям.
Кредитной организации целесообразно осуществлять контроль за соблюдением сроков реализации мероприятий по развитию ЭБ, которые предусмотрены в планах по реализации целей, определенных Стратегией.
В соответствии с рекомендациями БКБН перед внедрением технологий ЭБ кредитным организациям необходимо осуществлять предварительный анализ особенностей вновь внедряемых технологий ДБО, оценивать потенциальные факторы риска, связанные с этими технологиями, а также рассматривать альтернативы стратегического развития данного направления деятельности, в том числе наихудший, наилучший и наиболее вероятный варианты развития событий.
При этом возможные последствия решений в области технологий ЭБ необходимо соизмерять с предельно допустимым совокупным уровнем риска, который может принять кредитная организация.
Ошибочные решения органов управления кредитной организации в отношении внедрения, сопровождения и развития СЭБ могут привести к возникновению убытков, причинами которых могут быть:
– высокие затраты на внедрение и сопровождение СЭБ;
– невозможность достижения поставленных кредитной организацией стратегических целей в связи с отсутствием или обеспечением в неполном объеме необходимыми ресурсами (финансовыми, техническими, материальными, человеческими);
– невыполнение организационных мер в области применения технологий ЭБ;
– ошибки в реализации организационно-технических решений при внедрении СЭБ.
Стратегия должна предусматривать процедуры своевременного и адекватного реагирования на возможные действия конкурентов кредитной организации или появление новых технологических решений. Отсутствие такого положения в Стратегии может стать причиной потери кредитной организацией своего конкурентного преимущества в данной области и привести к оттоку клиентов, применяющих технологии ЭБ.
При оценке ориентированности кредитной организации на развитие технологий ЭБ необходимо обращать внимание на следующее:
– имеется ли у кредитной организации Стратегия?
– установлен ли во внутренних документах