Раздел 3. Принципы управления рисками интернет-банкинга

3.1. Управление рисками интернет-банкинга рекомендуется организовывать таким образом, чтобы обеспечить контроль за данным видом дистанционного банковского обслуживания в целом, в том числе в рамках функционирования аппаратно-программного обеспечения систем интернет-банкинга, осуществления отдельных операций и используемых при этом массивов банковских данных.

3.2. При организации управления рисками интернет-банкинга и принятии внутренних документов кредитной организации рекомендуется учитывать:

высокие темпы инновационных процессов в технологиях интернет-банкинга;

рост зависимости кредитной организации от информационных технологий в целом и от эффективности построения внутрибанковских автоматизированных систем;

интеграцию новых интернет-технологий в действующие внутрибанковские автоматизированные системы;

повышенную степень риска при осуществлении операций с применением систем интернет-банкинга ввиду возможности легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;

необходимость совершенствования процессов управления банковской деятельностью и внутреннего контроля с учетом применения интернет-технологий;

необходимость повышения квалификации служащих кредитной организации и совершенствования управления рисками интернет-банкинга.

3.3. В целях обеспечения эффективности управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга, органам управления кредитной организации (совету директоров (наблюдательному совету), единоличному и коллегиальному исполнительным органам) рекомендуется:

обеспечивать точное соответствие планов внедрения и развития обслуживания клиентов с помощью систем интернет-банкинга стратегическим целям;

разрабатывать и внедрять процедуры мониторинга банковских операций, осуществляемых с применением систем интернет-банкинга;

осуществлять контроль за дистанционным банковским обслуживанием с применением систем интернет-банкинга, ориентированный на снижение сопутствующих рисков;

внедрять и совершенствовать процессы управления рисками интернет-банкинга на основе своевременного и адекватного выявления, анализа и мониторинга возможных новых источников (факторов) рисков, связанных с усложнением внутрибанковских автоматизированных систем и появлением в информационном контуре интернет-банкинга новых участников, например, провайдеров;

учитывать в процессе управления банковскими рисками особенности применения систем интернет-банкинга и интернет-технологий в целом наряду со специфичными для них источниками (факторами) рисков, виды и масштабы банковских операций, осуществляемых в рамках интернет-банкинга, применяемые способы анализа, контроля и обработки ордеров клиентов, состав клиентской базы в целом (с учетом возможностей легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма), а также структуру кредитной организации и распределение функций, имеющих отношение к работе в рамках интернет-банкинга;

осуществлять мониторинг процессов управления интернет-технологиями в целом, разработку и внедрение процедур, реализующих данный процесс управления, наряду с созданием дополнительных средств контроля в целях управления рисками интернет-банкинга;

организовывать мониторинг и обеспечивать своевременное (упреждающее) повышение производительности внутрибанковских автоматизированных систем, с помощью которых осуществляется обслуживание в рамках интернет-банкинга, по мере расширения его клиентской базы, развития предоставляемых с его помощью банковских услуг и расширения потребностей клиентов;

предусматривать способы и средства обслуживания клиентов в случае неожиданного прекращения функционирования провайдеров и (или) систем интернет-банкинга, разрабатывать планы необходимых мероприятий на случай чрезвычайных обстоятельств и проводить регулярные проверки возможности их реализации;

устанавливать порядок (правила) применения систем интернет-банкинга (разработка, приобретение, документирование, ввод в эксплуатацию, эксплуатация, модернизация, вывод из эксплуатации) и выполнения реализуемых ими процедур предоставления банковских услуг.

3.4. Рекомендуется участие в процессе управления рисками интернет-банкинга следующих структурных подразделений (служб, служащих кредитной организации), прямо или косвенно участвующих в интернет-банкинге (в случае наличия):

структурного подразделения, отвечающего за внедрение и применение информационных технологий (информатизацию и автоматизацию банковской деятельности), в том числе интернет-технологий, функционирование систем интернет-банкинга, а также за взаимодействие с провайдерами и поставщиками аппаратно-программного обеспечения систем интернет-банкинга;

структурного подразделения, отвечающего за ведение бухгалтерского учета в кредитной организации (реализацию учетной политики), практическую реализацию алгоритмов учета в компьютерных программах, управляющих работой внутрибанковских автоматизированных систем, связанных с системами интернет-банкинга, и подготовку банковской отчетности;

структурного подразделения, отвечающего за обеспечение информационной безопасности в кредитной организации;

структурного подразделения, отвечающего за правовое обеспечение деятельности кредитной организации;

структурного подразделения, отвечающего за операционную работу с клиентами;

служащего (структурного подразделения), ответственного за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

структурного подразделения, осуществляющего справочно-информационное взаимодействие с клиентами.

3.5. В состав структурных подразделений кредитной организации, участвующих в процессе дистанционного банковского обслуживания с применением систем интернет-банкинга, службах внутреннего контроля (внутреннего аудита) и информационной безопасности, а также структурных подразделений, осуществляющих мониторинг и оценку рисков интернет-банкинга, рекомендуется включать служащих, удовлетворяющих квалификационным требованиям, позволяющим обеспечивать решение задач по применению и развитию интернет-банкинга, а также понимание причин возникновения рисков интернет-банкинга.

3.6. При организации управления рисками интернет-банкинга целесообразно обеспечить разграничение общего руководства таким образом, чтобы поддерживать:

непрерывность управления (передачи управленческих функций в организационной структуре кредитной организации) с охватом всех процессов и процедур, необходимых для осуществления обслуживания клиентов в рамках интернет-банкинга и обеспечения его надежности за счет удержания уровней банковских рисков в допустимых пределах;

доступность систем интернет-банкинга и выполнение всех функций, указанных в договорах с клиентами, а также защищенность операций и данных интернет-банкинга за счет создания и поддержания в кредитной организации необходимых для этого условий, включая надлежащее организационно-техническое обеспечение интернет-банкинга;

адекватный характеру и масштабам банковских операций с применением систем интернет-банкинга порядок согласования (утверждения) внутренних документов по вопросам управления рисками интернет-банкинга.

3.7. Распределение подчиненности и подотчетности в рамках управления рисками интернет-банкинга рекомендуется организовывать таким образом, чтобы обеспечить непрерывность, своевременность, полноту и адекватность информирования органов управления кредитной организации:

о состоянии и характеристиках аппаратно-программного обеспечения систем интернет-банкинга;

о выявленных недостатках в функционировании информационного контура интернет-банкинга;

о связанных с интернет-банкингом источниках (факторах) рисков;

о результатах выполнения принятых решений по управлению банковскими рисками;

о процедурах реагирования на возможные события, которые могут негативно повлиять на безопасность, финансовую устойчивость или деловую репутацию кредитной организации (например, неправомерный доступ к информационным ресурсам, нарушение правил безопасности со стороны служащих, выход из строя аппаратно-программного обеспечения систем интернет-банкинга, любые серьезные нарушения в использовании компьютерных систем), и результатах их выполнения.

3.8. Управление рисками интернет-банкинга рекомендуется организовывать таким образом, чтобы обеспечить:

предоставление клиентам услуг интернет-банкинга на согласованной и своевременной основе;

установку правил авторизации и способов аутентификации осуществляемых банковских операций;

контроль логического и физического доступа к аппаратно-программному обеспечению систем интернет-банкинга;

адекватную структуру обеспечения безопасности для соблюдения установленных прав и полномочий пользователей интернет-банкинга;

целостность выполнения операций, записей баз данных и передаваемой в системах интернет-банкинга информации;

ведение внутрисистемных компьютерных журналов для всех осуществляемых в рамках интернет-банкинга банковских операций;

принятие мер по соблюдению конфиденциальности клиентской и другой внутрибанковской информации, а также банковской тайны;

полноту и достоверность информации, представляемой на WEB-сайтах, используемых кредитной организацией;

эффективные механизмы реагирования на сбои в обслуживании клиентов и осуществления банковских операций в рамках интернет-банкинга;

идентификацию клиентов, выгодоприобретателей и лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счетах, к которым имеется доступ посредством интернет-банкинга, с использованием аналогов собственноручной подписи, кодов, паролей и других средств подтверждения наличия таких полномочий;

организацию антивирусной защиты;

предотвращение неправомерного доступа к информационным ресурсам кредитной организации и возможных хищений денежных средств.

3.9. Кредитной организации рекомендуется оказывать методологическую и консультационную помощь клиентам интернет-банкинга, доводить до них информацию о принимаемых ими рисках, а также необходимом комплексе мер по защите информации.

3.10. Кредитным организациям, предполагающим оказание клиентам (в том числе находящимся за рубежом) трансграничных банковских услуг посредством интернет-банкинга, рекомендуется предварительно изучить возможные дополнительные источники (факторы) банковских рисков, связанных с нарушением законодательства зарубежных государств и (или) территорий, а также возможности учета факторов риска, относящихся к той или иной стране или юрисдикции, в том числе в соответствии с рекомендациями Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ) <*>.

--------------------------------

<*> Рекомендации 8 - 10 Сорока Рекомендаций ФАТФ.

3.11. Принятие решений при выборе провайдеров кредитной организации, взаимодействие с которыми необходимо для осуществления обслуживания клиентов в рамках интернет-банкинга, целесообразно основывать на анализе возможных банковских рисков. Рекомендуется предусмотреть резервные варианты обслуживания клиентов в рамках интернет-банкинга в случае невозможности выполнения провайдером обязательств перед кредитной организацией.

3.12. Кредитной организации рекомендуется в рамках управления рисками интернет-банкинга разработать и внедрить непрерывные процессы наблюдения и контроля за выполнением обязательств провайдеров, участвующих в обеспечении интернет-банкинга.

3.13. Для снижения влияния факторов рисков, связанных с деятельностью провайдеров по обработке банковских данных, кредитной организации рекомендуется организовать контроль за:

определением обязательств по договорам с провайдерами (например, в случае неисполнения или ненадлежащего исполнения обязательств);

учетом всех операций и систем интернет-банкинга, зависящих от провайдеров, в процессах обеспечения выполнения обязательств перед клиентами, целостности банковских данных, защиты информации и соблюдения ее конфиденциальности, выявления и мониторинга банковских рисков;

проведением периодического независимого внутреннего и (или) внешнего аудита содержания и оценки качества выполнения провайдерами предусмотренных договорами функций по меньшей мере в том же объеме, который осуществлялся бы при выполнении таких операций самой кредитной организацией.

3.14. Кредитной организации рекомендуется в рамках заключаемых договоров предъявлять к провайдерам требования по осуществлению внутреннего контроля и организации обеспечения информационной безопасности.