Кредитным организациям, планирующим оказание клиентам трансграничных банковских услуг посредством СЭБ, рекомендуется предварительно изучить дополнительные источники (факторы) банковских рисков, связанные с нарушением законодательства зарубежных государств, а также возможности учета факторов риска, относящихся к той или иной стране или юрисдикции.

7.2. Организация (адаптация) процедур внутреннего аудита и контроля в части системы электронного банкинга

– Почему собака виляет хвостом?

– Потому что собака умнее хвоста.

Если бы хвост был умнее, то он бы сам вилял собакой.

Относительно рекомендаций об организации (адаптации) процедур внутреннего аудита и контроля в части использования технологий ЭБ необходимо учитывать, что они основываются на рекомендации БКБН о непригодности единого подхода к решению вопросов управления рисками в области ЭБ по причине специфичности архитектуры внутрибанковских распределенных компьютерных систем, а соответственно и профиля сопутствующих рисков для каждой кредитной организации, методов и средств внутреннего контроля.

Существенной необходимостью для кредитных организаций является самостоятельный индивидуальный учет всех особенностей реализации своих или приобретенных и интегрированных в уже имеющиеся банковские автоматизированные системы программно-аппаратных комплексов ЭБ.

В большинстве кредитных организаций, применяющих СЭБ, обобщенное описание совокупности процедур внутреннего контроля должно учитывать основные особенности содержания и выполнения функций внутреннего контроля в данной кредитной организации.

Такая обобщенная реализация (адаптация) процедур внутреннего контроля может базироваться на модели непрерывного циклического процесса менеджмента (модели Деминга)[125] и предполагать разбиение стадий модели на этапы жизненного цикла СЭБ, часто выделяемые при разработке и использовании таких систем. Составляющие комплекса процедур внутреннего контроля могут быть реализованы на следующих этапах жизненного цикла СЭБ (рис. 40):

– этапе обоснования проекта СЭБ;

– этапе принятия решения о новом проекте СЭБ;

– этапе планирования реализации СЭБ;

– этапе проектирования СЭБ;

– этапе разработки СЭБ;

– этапе испытаний, сдачи и приемки в эксплуатацию СЭБ;

– этапе эксплуатации СЭБ;

– этапе вывода из эксплуатации СЭБ.

Рис. 40. Жизненный цикл СЭБ

Подразумевается, что доработка и модификация СЭБ должны осуществляться после обоснования проекта, в связи с чем в жизненном цикле не выделяется отдельный этап доработки и модификации.

С одной стороны, специфика адаптации процедур внутреннего аудита и контроля к условиям эксплуатации СЭБ в кредитных организациях должна обеспечивать непрерывность процесса внутреннего контроля на всех участках информационного контура СЭБ, во всех задействованных в работе СЭБ структурных подразделениях кредитной организации, а также должна охватывать ее взаимодействие:

– с клиентами (как юридическими, так и физическими лицами), использующими СЭБ;

– контрагентами, к которым могут быть отнесены провайдеры (организации, предоставляющие кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающие доступ к информационно-телекоммуникационным сетям), поставщики программного обеспечения и оборудования, задействованного в информационном контуре СЭБ, а также другие сторонние организации, например обеспечивающие консультационные услуги в части ЭБ, ремонтно-настроечные услуги модулей или СЭБ, продвигающие услуги кредитной организации в форме ЭБ на рынке банковских услуг среди юридических лиц и населения посредством специализированных маркетинговых пиар-акций и программ.

С другой стороны, с учетом всех указанных особенностей внутреннего аудита и контроля необходимо распределять его процедуры по соответствующим этапам жизненного цикла СЭБ.

7.2.1. Организация процедур внутреннего аудита и контроля на этапе обоснования нового проекта системы электронного банкинга

Содержание этапа обоснования нового проекта СЭБ, как и любой другой электронной технологии, заключается в осознании экономической целесообразности реализации определенных, уже существующих или планируемых, функций и услуг кредитной организации посредством технологии ДБО.

В основе осознания целесообразности могут лежать:

– очевидное снижение затрат на осуществление соответствующих банковских операций;

– экономия времени кредитной организации на обработку внутренних документов и документов клиентов;

– увеличение числа потенциальных клиентов за счет преодоления географических ограничений и связанного с этим снижения затрат на открытие филиалов и дополнительных офисов, представительств кредитной организации;

– дополнительная самореклама, продвижение индивидуальных преимуществ кредитной организации.

С организационной точки зрения должны быть четко определены инициатор или группа инициаторов (коллегиальный инициатор) внедрения в практику кредитной организации СЭБ. Группа инициаторов должна состоять из конечного числа специалистов или структурных подразделений.

Инициатор в данном случае выступает в роли заказчика СЭБ и выполняет соответствующие функции на всех последующих этапах вплоть до приема системы в эксплуатацию.

Функции заказчика на первоначальном этапе заключаются в формализации идеи в виде документарно оформленной заявки на разработку СЭБ.

Заявка не является детализированным заданием на разработку, которое должно быть подготовлено на последующих этапах, а представляет собой краткое обоснованное описание необходимости разработки или приобретения СЭБ.

Заявка должна отражать основные цели реализации такой системы, определять круг задач, решение которых может быть более эффективным с использованием системы, и иметь краткое экономическое, функциональное и технологическое обоснование.

Обоснование является исходным материалом, необходимым для принятия соответствующим полномочным органом кредитной организации решения относительно целесообразности реализации СЭБ, и поэтому должно максимально полно отражать все аспекты нововведения.

Если экономическое и функциональное обоснование составляется заказчиком системы, то технологическое обоснование является приложением к заявке и составляется структурным подразделением кредитной организации, ответственным за эксплуатацию информационных систем.

В случае отсутствия такого специализированного подразделения технологическое обоснование может подготовить специально созданная для данной цели рабочая группа из специалистов различных подразделений, задачи которых связаны с автоматизацией деятельности.

Чтобы исключить конфликт интересов, важно нормативно закрепить за таким подразделением функции экспертизы заявок на развитие информационных систем и подготовки технологического обоснования.

Итоговое обоснование должно отражать различные аспекты возможного применения ЭБ, в том числе такие, как:

– оценка возможности (технологичности и удобства) интеграции с действующими автоматизированными системами. Такую возможность необходимо оценивать с учетом планов развития действующих в банке автоматизированных систем: их доработки, замены и т. д. В противном случае обоснование может оказаться объективным в конкретный момент и недостоверным в ближайшие последующие периоды, что может привести к стратегически неверным решениям руководства кредитной организации на следующем этапе – этапе принятия решения о новом проекте СЭБ;

– адекватная организация распределения информационных ресурсов, определение круга подразделений, которые могут быть задействованы в реализации и последующей эксплуатации СЭБ, сопоставление с имеющимися штатными ресурсами и организационной структурой кредитной организации. Необходимо также оценить основные роли и распределение прав доступа с точки зрения соответствия действующей в кредитной организации политике информационной безопасности (ПИБ) и т. д.;

– оценка стоимости разработки, внедрения и сопровождения СЭБ. Следует учитывать, что СЭБ может быть приобретена у сторонней организации-разработчика или поставщика, представляющего интересы разработчика, как целиком, так и в виде отдельных модулей и технических средств либо разработана кредитной организацией (при этом приобретается только соответствующее оборудование). В последнем случае может потребоваться увеличить штатную численность специалистов подразделения автоматизации. В обосновании может быть также отражена информация об объеме затрат, связанных с модернизацией СЭБ, и т. д.;

– оценка трудоемкости и сроков исполнения всех работ, связанных с разработкой (закупкой) и внедрением СЭБ. Такая оценка должна основываться на штатном расписании кредитной организации, принятых нормах и внутренних правилах осуществления подобных работ;

– общий перечень рисков и их источников, с которыми может столкнуться кредитная организация, используя СЭБ, и которым необходимо будет уделять внимание на всех этапах жизненного