Читаем Применение технологий электронного банкинга: риск-ориентированный подход полностью

В материалах зарубежных органов банковского регулирования и надзора предполагается, что руководители современных кредитных организаций осознают значимость ИТ для их деятельности в целом, равно как и сопутствующих их применению компонентов банковских рисков, а следовательно, используют в рамках ВК подходы так называемого «компьютерного аудита» или аудита ИТ. За рубежом такие подходы разрабатываются преимущественно Институтом внутренних аудиторов[163], основанным в 1941 г., и Ассоциацией аудита и контроля информационных систем, основанной в 1969 г.[164] Последней организацией разработан набор стандартов, в соответствии с которыми считается целесообразным проводить проверки функционирования информационных систем, классифицирующихся по следующим категориям:

В целом предполагается ориентация ВК на выявление и оценку степени серьезности уязвимостей[165]. Поэтому в этих стандартах акцент делается прежде всего на знаниях и подготовке аудиторов ИТ, которые обеспечиваются сертификацией CISA — «Сертифицированный аудитор информационных систем» и CISM — «Сертифицированный менеджер информационных систем»[166]. Отмечается, что такие специалисты, помимо изначальной профессиональной подготовки, должны поддерживать уровень своей квалификации в соответствии с развитием банковских информационных технологий и автоматизированных систем, точнее, она должна всегда немного опережать его. Поэтому наличие таких сотрудников в составе службы ВК считается одной из гарантий обеспечения технологической надежности кредитной организации. На этом, а также на участии этих специалистов в ЖЦ банковских автоматизированных систем всегда делается акцент в литературе, посвященной аудиту ИТ, составляющих основу современного бизнеса’. По существу ни одна системная разработка, АС или СЭБ не должны внедряться в кредитной организации без участия специалистов ВК, причем их участие необходимо с начала проектирования таких систем, как об этом было сказано выше. В книге Davis С., Schiller М., Wheeler К. IT Auditing: Using Controls to Protect Information Assets, представляющей собой отличное введение в аудит ИТ, указывается, что ВК «должен быть не частью проблемы, а частью ее решения». При этом его специалистам следует присутствовать на всех важных совещаниях по вопросам автоматизации, они должны активно участвовать в обсуждении предусматриваемых в автоматизированных системах средств контроля и ни в коем случае не «занимать позицию мухи на стене». Стоит добавить, что такую ролевую функцию ВК руководству кредитной организации целесообразно предусмотреть в ее «Положении о службе внутреннего контроля» (на основе риск-ориентированного подхода) и должностных инструкциях ответственных менеджеров и исполнителей.

В качестве примера расширения состава функций службы ВК в случае внедрения технологии интернет-банкинга можно привести соответствующий перечень, скомпонованный по материалам североамериканских и западноевропейских органов банковского регулирования и надзора. Согласно их рекомендациям на службу В К, помимо контроля над работой подразделения ИТ, возлагаются также функции контроля:

над содержанием и ведением web-сайта, используемого кредитной организацией;

бухгалтерским учетом операций, совершаемых через Интернет, и отражением соответствующих данных в банковской отчетности;

функционированием, финансовым состоянием и аппаратно-программным обеспечением провайдеров кредитной организации;

поставщиками программного обеспечения интернет-банкинга;

мероприятиями, осуществляемыми службой ОИБ и защиты информации кредитной организации.

Тем самым должна обеспечиваться контролируемость в целом информационного контура интернет-банкинга, используемого кредитной организацией.

Что касается адаптации ВК, то связанный с ним и сопутствующий ему мета-процесс во многом аналогичен рассмотренному в отношении процесса ОИБ. Он строится, как предлагалось выше, исходя из содержания жизненного цикла процесса ВК в отношении, в данном случае, систем ДБО. В целом он заключается в выполнении совокупности опять-таки типовых, описанных во внутренних документах кредитной организации процедур, которые обеспечивали бы поддержание управляемости и контролируемости ИКБД на уровне, соответствующем установленным в ней границам для уровней принимаемых банковских рисков.

В число типовых внутрибанковских процедур в части ВК целесообразно включать (как минимум):

разработку мер по обеспечению полноты и адекватности функционирования системы ВК при принятии решения о внедрении новой банковской технологии (в первую очередь — технологии ДБО), т. е. участие в проектировании и разработке внутрибанковских систем;

контроль над реализацией этих мер при практическом внедрении программно-технических решений, в которых закладываются новые средства обеспечения ВК и (или) модернизируются уже существующие, т. е. участие в ПСИ начиная со стадии подготовки их программ и методик;