В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163], основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:
В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей[165]. Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем»[166]. Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Davis С., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.
В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:
над содержанием и ведением web-сайта, используемого кредитной организацией;
бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;
функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;
поставщиками программного обеспечения интернет-банкинга;
мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.
Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет-банкинга, используемого кредитной организацией.
Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.
В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):
разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;
контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;
регулярную проверку функциональности и надежности средств ВК, т. е. участие в эксплуатации и сопровождении автоматизированных систем, а также контроль над функционированием и состоянием аналогичных компьютерных систем провайдеров кредитной организации;
обеспечение адаптации мер по обеспечению управляемости и контролируемости ИКБД при модернизации автоматизированных систем и выводе их из эксплуатации и замене, а также при заключении контрактных отношений с новыми провайдерами (включая замену провайдера в интересах учета специфики той или иной организации).
Эти процедуры, как и в случае адаптации ОИБ, целесообразно специально разрабатывать и адаптировать для каждой из технологий электронного банкинга, используемой кредитной организацией.
Точно так же «Положение о внутреннем контроле» (или его аналог) и связанные с ним внутрибанковские документы целесообразно пересматривать при внедрении каждой новой технологии электронного банкинга и реализующей ее системы и однозначно увязывать его содержание с содержанием «Положения об управлении банковскими рисками», включающего описания компонентов банковских рисков, ассоциируемых с электронным банкингом (как минимум операционного, правового, репутационного, неплатежеспособности и стратегического рисков). В «Положение о внутреннем контроле» кредитной организации целесообразно включить описание специальных функций контроля над управлением банковскими рисками, «привязав» их к конкретным системам электронного банкинга, а также над организацией ФМ и содержанием положения о его осуществлении в кредитной организации. Общая оценка значимости роли ВК с риск-ориентированных позиций в условиях применения и развития кредитными организациями технологий электронного банкинга может быть сформулирована следующим образом:
Недостатки в организации внутреннего контроля в условиях применения современных банковских информационных технологий могут оказаться наиболее серьезными источниками компонентов банковских рисков для кредитной организации и ее клиентов.
Новые информационные технологии и ассоциируемые с их применением в банковской деятельности потенциальные факторы возникновения источников компонентов банковских рисков «требуют» обеспечения гарантий адекватности ВК составу сложности и особенностям прежде всего технологий электронного банкинга, а также масштабам ДБО. Именно поэтому кредитным организациям, использующим в своей деятельности распределенные компьютерные технологии в «открытых системах», в условиях отсутствия (и невозможности) регламентации нормативными правовыми актами информатизации банковской деятельности необходимо разрабатывать новую индивидуальную методологию ее ВК начиная с применения ТЭБ. Кроме того, руководству высокотехнологичных кредитных организаций целесообразно помнить о том, что всегда остается вопрос: кто проверяет проверяющих?
5.6. Адаптация финансового мониторинга
Главное, что руководству высокотехнологичных кредитных организаций целесообразно учитывать при адаптации осуществления процесса ФМ к условиям электронного банкинга, это то, что применение таких технологий радикально изменяет характер взаимодействия между кредитными организациями и их клиентами, что может негативно повлиять на выполнение обязательств этих организаций перед контролирующими органами (очевидно, что в противном случае необходимости в ПОД/ФТ и ФМ не было бы). Если руководство кредитной организации, внедряющей ТЭБ, не придает должного значения этому факту и необходимость модернизации ФМ осознается недостаточно, то надежность (качество) процедур ФМ будет оцениваться заведомо неадекватно, следствием чего станет повышение банковских рисков: как минимум правового и стратегического, возможно, чрезмерное для этой организации. Чаще всего эти риски реализуются из-за скрытого вовлечения кредитной организации в противоправную деятельность, хотя имеют место и другие причины. Можно обоснованно говорить и о повышении своего рода «риска потери деловой репутации» в глазах ряда контролирующих органов, реализация которого всегда приводит к негативным последствиям для кредитной организации.