Укротитель правовых рисков
Минимизировать правовые риски IT-банкинга поможет эффективный риск-менеджмент
Александр БЕЛИКОВ (ОАО «Россельхозбанк»)
начальник отдела сопровождения
информационной безопасности – удостоверяющего центра управления
информационной безопасности Департамента безопасности
Для дистанционных банковских услуг риск правовой (legal risk), вынужденного обслуживания возможных убытков ? среди самых значимых. Согласно рекомендациям Базельского комитета по банковскому надзору и регулированию (Basel II) и требованиям Европейского банка реконструкции и развития (ЕБРР), кредитная организация рассматривает правовой риск как составную часть операционного. Чтобы свести правовые риски к минимуму, кредитные организации должны выстраивать эффективные системы риск-менеджмента.
НЕ ДОВОДЯ ДО СУДА
В США первое крупное «компьютерное» хищение в банке суммы, в несколько десятков миллионов долларов, произошло еще в 1974 году. В России такие виды дистанционного банковского обслуживания, как интернет-банкинг, стали предлагаться существенно позже, с «дефолтного» 1998 года. По мере стремительно роста интернет-банкинга информационные угрозы растут, мошенничества и хищения в виртуальном пространстве хоть редко, да случаются.
Информационные угрозы несут кредитным организациям разнообразные риски: кредитные, фондовые, валютные, процентные, потери ликвидности, ущерба репутации и многие другие. Перечень угроз для конфиденциальной информации обширен: от сетевых распределенных атак до кражи персональной информации пользователей, в том числе реквизитов банковских карт. Один из самых неприятных ? правовой риск вынужденного обслуживания возможных убытков.
Как минимизировать правовые риски , связанные с новыми технологиями банковского обслуживания? Риск-менеджмент, или управление правовыми рисками ради их минимизации, ? традиционный приоритет для дистанционного банковского обслуживания. Основным принципов является выработка методов управления рисками в соответствии со стратегией и политикой управления банковскими рисками в целом.
Внешние факторы правовых рисков разнообразны. В их числе и несовершенство правового регулирования и надзора, и неполная стыковка ряда федеральных законов, и законодательные новации, и некорректные применения норм иностранных законов и международного права. Поэтому во многих случаях, когда клиенты и контрагенты не соблюдают федерального законодательства и условий заключенных договоров, договориться по спорным вопросам не получается, и кредитной организации приходится обращаться в суд.
ПОД КОНВОЕМ ЮРИСТОВ
Многочисленны и внутренние факторы правовых рисков . Среди них ? несоблюдение кредитной организацией законодательства РФ, в частности, требований идентификации и изучения внутренних документов кредитных организаций, клиентов и выгодоприобретателей, к выгоде которых действуют клиенты. Другой негативный фактор ? несоответствие внутренних документов федеральным законам и нормативным актам Банка России.
Неэффективная организация правовой работы в кредитной организации приводит к правовым ошибкам персонала. Тогда резко возрастает опасность нарушений кредитной организацией условий договоров дистанционного банковского обслуживания. Правовые ошибки выражаются в неправильных юридических консультациях, ошибках при составлении документов, в том числе для рассмотрения спорных вопросов в судах.
Реструктуризация технологической деятельности подразделений кредитной организации не должна сопровождаться чрезмерным возрастанием уровня рисков. Разработка, внедрение и адаптация инновационных технологий могут сопровождаться некачественным юридическим сопровождением.
Искусство управления правовыми рисками помогает минимизировать или вовсе свести на нет убытки, в том числе в виде выплат по решениям судов. В особенности в системе дистанционного банковского обслуживания, для других новых технологий банковских операций и сделок, а также при освоении новых рынков или расширении области услуг.
Для выявления и оценки факторов правовых рисков кредитной организации применяются различные методы идентификации и получения сведений о клиентах дистанционного банковского обслуживания и выгодоприобретателях. Вплоть до привлечения аудиторских компаний. Главный принцип, в соответствии с требованиями федерального законодательства ? «знай своего клиента».
В первую очередь нужна чёткая регламентация информационного обмена между подразделениями и служащими ? определение оснований, порядка и периодичности предоставления отчетов и прочей информации о правовых рисках. Распределение полномочий и ответственности между подразделениями и служащими исключает пересечение их функций. Эффективность управления правовыми рисками выявляется специально проводимыми контрольными мероприятиями.
НЕПРОБИВАЕМЫЙ ФОРМАЛИЗМ
Уровень правовых рисков оценивается по динамике количества ? росту либо сокращение количества жалоб и претензий клиентов и контрагентов кредитной организации. Другие показатели ? статистика случаев нарушения федерального законодательства, в том числе законов о рекламе, банковской и иной охраняемой законом тайне. Степень соответствия нормативных документов кредитной организации и технологических процессов требованиям закона, отраслевых стандартов и нормам международного права может быть выявлена посредством аудита.
Жизненно важен регулярный анализ влияния факторов правовых рисков на показатели деятельности кредитной организации. Строгим индикатором является частота и степень различных мер воздействия на кредитную организацию со стороны органов государственного регулирования и надзора. Интегральный показатель уровня правовых рисков ? количество и размеры проигранных судебных исков и, соответственно, выплат по решениям судов и иных уполномоченных органов.
Главный способ борьбы с правовыми рисками – последовательная формализация процессов правового сопровождения планирования, мониторинга и контроля банковских операций. Средство ? разработка в кредитной организации соответствующих внутренних нормативных документов. Есть несколько действенных основных методов минимизировать правовые риски. Разрабатываются локальные нормативные акты, готовятся типовые форм договоров. Определяется внутренний порядок согласования их визировании, в особенности ? всех, отличающихся от стандартизированных и типовых. Выполнение этих требований контролируется.
Выведение на рынок всех новых банковских продуктов, связанных с использованием инновационных технологий, в обязательном порядке сопровождается сотрудниками юридических подразделений кредитной организации. Для дистанционного банковского обслуживания стандартизуются ключевые банковские операции ? порядок, процедуры и технологии. Распределяются «зоны ответственности» кредитной организации и клиента. Клиент документально предупреждается о возможных приёмах мошенничества.
ПРАВОВАЯ ТЕХНИКА
Мониторинг правовых рисков предполагает постоянное наличие свежей информации о последних нормативных актах Банка России, обо всех изменениях в федеральном законодательстве и отраслевых стандартах, нормах международного права. Все эти изменения должны своевременно учитываться во внутренних нормативных документах, а также оперативно доводиться до сведения максимально широкого круга сотрудников кредитной организации. Лучших по влиянию на снижение уровня правовых рисков предпочтительно стимулировать.
Применяются и технические меры минимизации правовых рисков при дистанционном банковском обслуживании. Адрес операционного web-сайта, который нельзя путать с информационным , является конфиденциальной информацией. Он должен сообщаться только зарегистрированным пользователям системы дистанционного банковского обслуживания в порядке, установленном кредитной организацией. Нельзя использовать прямые ссылки ? точки входа с информационных WEB-сайтов на операционные сайты кредитной организации или приводить на них сведения о таких точках входа ? адресах.
Недопустимо ни назначать URL-адреса (Uniform Resource Locator- унифицированный указатель расположения ресурса) операционным web-сайтам, ни регистрировать их на серверах доменных имен. Нельзя осуществлять доступ к операционным web-сайтам при помощи IP-адресации (способа числовой идентификации пользователей и ресурсов интернета). Порой, чтобы выполнить эти требования, приходится идти на существенные изменения используемых технологий. Не следует осуществлять вход на операционные web-сайты с применением в отношении зарегистрированных пользователей процедур идентификации ? установления личности или аутентификации ? проверки соответствия предъявленному им идентификатору.
Во всех режимах работы web-сайта информационный обмен банка с клиентом должен осуществляться с использованием средств шифрования. Электронный документооборот между кредитной организацией и клиентами через операционный web-сайт требует использования средств аутентификации электронных сообщений, контроля целостности и подтверждения подлинности электронного сообщения, в том числе электронной подписи.
Параметры управления правовыми рисками различных инструментов дистанционного банковского обслуживания, нуждаются в проверке на адекватность действующей в кредитной организации политике информационной безопасности. Дисбаланс даже одного параметра управления правовыми рисками с другими недопустим. Правильно выстроенная и сбалансированная система управления правовыми рисками минимизирует существующие угрозы и существенно облегчает жизнь кредитно-финансовой организации.
Источник: BIS-Journal http://www.ib-bank.ru/bis/