Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

Что касается российского банковского сектора, то до настоящего времени деятельность ВК в кредитных организациях определяется Положением Банка России от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение 242-П). В этом документе вопросам контроля над информационными активами и технологиями кредитных организаций уделено немало внимания, включая, как сказано, «контроль за управлением информационными потоками (получением и передачей информации) и обеспечением информационной безопасности» (п. 3.1) и «внутренний контроль за автоматизированными информационными системами и техническими средствами…» (п. 3.5). Вместе с тем, как свидетельствует практика, интенсивное развитие кредитными организациями ДБО и внедрение новых систем электронного банкинга приводит к серьезным затруднениям в обеспечении адекватности ВК новым способам и условиям банковской деятельности, тем более в виртуальном пространстве[157].

В складывающейся в области ДБО ситуации требуется осознание того, что следствием расширения компьютеризации банковской деятельности становится не только повышение ее эффективности и рентабельности, но и то, что технологические нововведения для этой деятельности могут привести к серьезному ослаблению ВК в кредитных организациях. Их высшему менеджменту требуется уверенность в том, что банковские автоматизированные системы и системы электронного банкинга правильно спроектированы, разработаны и функционируют должным образом, обеспечивая выполнение банковских операций и подготовку регламентной банковской отчетности. Собственно содержание, методология, программы и технология ВК, равно как и реализующие ее методы и средства устаревают по мере внедрения новых видов банковских услуг и банковских информационных технологий, вследствие чего требуется их модернизация. В противном случае функционирование новых банковских автоматизированных систем, систем электронного банкинга и хранилищ данных может оказаться неконтролируемым. В то же время и контролирующим органам требуется от кредитных организаций предоставление гарантий соответствия организации и содержания процесса внутреннего контроля способам и условиям осуществления ими своей банковской деятельности. Для получения таких гарантий в службах ВК формируются специальные подразделения аудита ИТ, состоящие из высококвалифицированных специалистов, обеспечивающих немалую часть необходимой ВК совокупной квалификации.

Главная проблема внутреннего контроля в высокотехнологичных кредитных организациях заключается в необходимости контроля функционирования реальных объектов и целостности внутрибанковских процессов фактически через виртуальное пространство. Для решения этого принципиального проблемного вопроса требуется серьезный пересмотр идеологии осуществления ВК с обеспечением его специалистов такими технологиями и средствами, которые по сложности и разнообразию не уступают собственно банковским информационным технологиям. Можно укрупненно выделить три основные категории ВК, требующие детализации при внедрении ТЭБ:

выполнение банковских операций и сделок;

подготовка регламентной банковской отчетности;

оценка соответствия установленным требованиям.

Однако в ситуации ДБО отслеживать приходится не только выполнение даже, допустим, типичных банковских операций, но всех процедур, составляющих банковскую деятельность кредитной организации как дистанционного финансового посредника. Это означает, что ВК следует распространить на весь ИКБД, начиная с клиента ДБО (вместе с условиями, в которые он поставлен договорными отношениями и средствами доступа к информационно-процессинговым ресурсам кредитной организации), продолжая провайдерами (с определением содержания SLA с каждым из них), а также подлежащими контролю информационными сечениями в ИКБД (прежде всего между СЭБ и БАС) и заканчивая учетом ордеров, приходящих из киберпространства, процедур их ФМ, обработки в кредитной организации и последующего сохранения банковской и клиентской информации в условиях, гарантирующих ее целостность, доступность и конфиденциальность. Эта проблема усугубляется отсутствием готовых методологических подходов к решению задач, поставленных в том же Положении 242-П, причем даже изучение зарубежного опыта не гарантирует получение готовых решений, так как единая и полная методология УБР отсутствует (ввиду отсутствия законченной теории банковских рисков), а значит, каждая кредитная организация вынуждена разрабатывать программы и методики ВК для ТЭБ самостоятельно.