Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

В комментариях к этому принципу, кроме повторения его содержания, говорится только о том, что должны иметься процедуры для поддержания и сохранения записей (какие и каких — не уточняется). Исходя из изложенного в главах 3 и 4, руководству и специалистам ВК целесообразно вместе с сотрудниками подразделений ИТ и СБ определить внутрисистемные информационные сечения и контрольные точки, в которых они смогут считывать требуемую им контрольную информацию (помимо упоминавшихся типовых процедур организационного и документарного характера). Состав соответствующих финансовых, операционных, клиентских и служебных (и сеансовых — в случае ДБО) данных предпочтительно зафиксировать документально и, скорее всего, оформить как сведения ограниченного распространения. Необходимо помнить, что методы и содержание проверок не должны быть общедоступными, чтобы знания о них не были использованы в попытках осуществления противоправных действий или сокрытия совершенных ошибок, для чего любая ТЭБ и виртуальное пространство БАС зачастую предоставляют разнообразные возможности.

Принцип 8. Чтобы система внутреннего контроля была эффективной, требуются надежные информационные системы, охватывающие все важные направления деятельности банка. Эти системы, включая те, в которых данные хранятся и используются в электронной форме, должны быть защищены, независимо контролируемы и поддержаны адекватными мерами на случай непредвиденных обстоятельств.

Критическим компонентом обеспечения надежности банковской деятельности является организация и сопровождение ИСУ, которая охватывает все процессы в кредитной организации. В Рекомендациях отмечается, что «банки должны уделять особое внимание… требованиям внутреннего контроля, относящимся к обработке информации в электронной форме и наличию адекватных аудиторских записей. От плохо спроектированных и недостаточно контролируемых систем может поступать ненадежная и вводящая в заблуждение информация, что способно негативно повлиять на принятие решений руководством». Там же говорится о необходимости принимать меры для обеспечения бесперебойной работы информационных систем, чтобы избежать прерывания операций и возможных потерь. Поскольку в настоящее время банковские компьютерные системы стали распределенными, особенно за счет вовлечения в обработку транзакций и данных организаций-провайдеров, число факторов риска увеличилось, и соответственно могут значительно возрасти уровни банковских рисков, связанных как с автоматизированными системами, так и с ИКБД в целом. Поэтому пропорциональное расширение сферы ответственности ВК неизбежно, поскольку, несмотря на решения части задач подразделением ИТ и СБ, первое из них, как правило, уделяет больше внимания БАС и СЭБ, а второе — вопросам инкассации и физической безопасности кредитной организации. При этом критично важным становится ведение системных логов и аудиторских трейлов, в файлах которых фиксируются операции пользователей БАС и СЭБ. Но даже при полном охвате этими службами всех функциональных участков электронного банкинга необходим внешний по отношению к их деятельности контроль, который является прерогативой ВК.