3. Организация тщательного слежения за взаимодействием с партнерами, привлекаемыми к предоставлению отдельных видов электронных банковских услуг. Руководящим органам банка следует осуществлять постоянную оценку н переоценку уровня сотрудничества со специализированными сервис-провайдерами. При этом члены совета директоров и правления должны четко осознавать риски, связанные с аутсорсингом, в обязательном порядке проводить предварительный анализ степени профессионализма и финансового положения предполагаемых контрагентов; точно формулировать пределы ответственности обеих сторон при заключении контрактов, особенно по порядку предоставления информации.
риск банковский менеджер управление
Б. Обеспечение безопасности в сфере информационных технологий (принципы 4-10).
4. Аутентификация клиентов, пользующихся электронными каналами обслуживания. Она должна осуществляться посредством персональных идентификационных номеров" (ПИНов), паролей, смарткарт, биометрики (сканирования лица, пальцев, глаз, голоса и т.п.) и сертификатов цифровой подписи на базе инфраструктуры открытого ключа. Многофакторная аутентификация с использованием нескольких методов обеспечивает более высокий уровень защиты, что особенно важно при распространении электронных банковских услуг на иностранных клиентов.
5. Недопущение отказа от обязательств онлайновым трансакциям и строгая ответственность за их поведение. Наиболее надежным способом избежать недобросовестного сторнирования электронных сделок является использование сертификатов цифровой подписи на базе инфраструктуры открытого ключа.
6. Разграничение функций, выполняемых банковскими служащими при работе в системах е-банкинга, с базами данных и приложениями. Нельзя предоставлять одному лицу или сервис-партнеру права на инициирование, авторизацию и завершение трансакции.
7. Эффективный контроль над процедурами авторизации и получения доступа в системы е-банкинга, базы данных и прикладные программы. Главное в организации такого контроля - гарантировать сохранность баз данных, в которых хранится информация о правах на авторизацию и доступ к проведению тех или иных операций. Для этого используются те же методы, что и при защите аутентификационных баз данных.
8. Обеспечение целостности данных по операциям и записям в сфере онлайновых услуг. Все процессы, осуществляемые в рамках банковского Интернет-сервиса, должны быть устроены таким образом, чтобы достигалась повышенная устойчивость трансакций и записей к хищениям и искажениям и имелась практически полная гарантия того, что любые несанкционированные изменения не останутся незамеченными.
9. Точный учет трансакций, совершаемых электронным способом. Критически важным представляется учет в таких областях, как открытие, изменение и закрытие клиентского счета; проведение операции, отражающейся на состоянии банковского баланса; разрешение превысить ранее оговоренный с клиентом лимит; предоставление, модификация или аннулирование нрава на доступ в систему е-банкинга.
10. Сохранение конфиденциальности ключевой банковской информации. Все конфиденциальные данные и записи должны быть защищены во время передачи по открытым, закрытым и внутрибанковским коммуникационным сетям и доступны только лицам, агентам и системам, имеющим соответствующие полномочия и прошедшим процедуру аутентификации. Используемые банком стандарты по обеспечению конфиденциальности следует распространить и на сторонние организации, привлекаемые к оказанию электронных услуг.
В. Управление правовым и репутационным риском (принципы 11-14).
11. Раскрытие необходимой информации электронного банковского сервиса на Web-caйтe банка. Нужно указать следующие сведения: название банка и местонахождение его штаб-квартиры и филиалов; название надзорного органа, контролирующего деятельность головного офиса; контактную информацию относительно банковского центра по обслуживанию клиентов; порядок подачи жалоб; порядок получения информации о страховании депозитов; прочие необходимыe сведения, например, перечет стран, где предоставляется электронный сервис.
12. Предотвращение несанкционированного доступа к клиентской информации. Стандарты использования информации о клиентах, накапливаемой банком в процессе оказания онлайновых услуг, должны соответствовать всем требованиям законодательства тех государств, на которые распространяется Web-обслужиианне.
13. Содержание систем е-банкинга в постоянной эксплуатационной готовности. Требуется обеспечить необходимые мощности для электронного сервиса и его непрерывное функционирование, а также разработать комплекс мер на случай возникновения чрезвычайного положения. На критически важных направлениях развития онлайновых услуг должны проводиться постоянные оценки и переоценки имеющихся мощностей и разрабатываться прогнозы их динамики в будущем. Системы следует периодически испытывать на устойчивость к стрессовым ситуациям.
14. Создание эффективного механизма реагирования на неожиданные инциденты - внешние и внутренние атаки на системы е-банкинга. Для улаживания происшествий и банке должны быть разработаны планы действий в следующих областях: немедленное выявление кризисной ситуации и определение размеров угрозы; восстановление электронных систем, в том числе и тex, что переданы внешним исполнителям, в соответствии с различными сценариями развития событий, включая оценку вероятности разных вариантов; взаимодействие с участниками рынка и средствами массовой информации; уведомление руководства банка и государственных регулирующих органов.
Таким образом, система управления банковскими рисками представляется как многоаспектная структура, затрагивающая практически все факторы деятельности банка, ведь возникновение банковских рисков возможно на всех ее направлениях. Совершенствование же системы управления банковскими рисками в силу названных причин должно носить системны характер и осуществляться по всем направления деятельности банка одновременно и перманентно.
1. Hart. W. Управление рисками в банковской индустрии // РЦБК, - 2002, №9, - С.51-56
2. Абишев М.Н., Абишев Н.Д. О ведущей роли системы управления рисками в деятельности и развитии БВУ // Аль Пари - 2003, №2 - С.28-30
3. Курманкулова Р.Ж. Развитие системы внутреннего контроля банковских рисков. // Банки Казахстана, 2003, №11 - С.37-38
4. Ниязбеков Б. Кредитное бюро-инструмент выявления рисков // Банки Казахстана - 2002, №3 - С.36-39
5. Севрук В.Т. Банковские риски. Учебник - М.: Дело ЛТД, 2004