5.6. Адаптация финансового мониторинга
К оглавлению1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1617 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43
Главное, что руководству высокотехнологичных кредитных организаций целесообразно учитывать при адаптации осуществления процесса ФМ к условиям электронного банкинга, это то, что применение таких технологий радикально изменяет характер взаимодействия между кредитными организациями и их клиентами, что может негативно повлиять на выполнение обязательств этих организаций перед контролирующими органами (очевидно, что в противном случае необходимости в ПОД/ФТ и ФМ не было бы). Если руководство кредитной организации, внедряющей ТЭБ, не придает должного значения этому факту и необходимость модернизации ФМ осознается недостаточно, то надежность (качество) процедур ФМ будет оцениваться заведомо неадекватно, следствием чего станет повышение банковских рисков: как минимум правового и стратегического, возможно, чрезмерное для этой организации. Чаще всего эти риски реализуются из-за скрытого вовлечения кредитной организации в противоправную деятельность, хотя имеют место и другие причины. Можно обоснованно говорить и о повышении своего рода «риска потери деловой репутации» в глазах ряда контролирующих органов, реализация которого всегда приводит к негативным последствиям для кредитной организации.
Более того, сложность осуществления ФМ в условиях применения технологий электронного банкинга и массового ДБО может возрасти настолько, что фактически потребуется формирование выделенного внутрибанковского процесса ФМ, приспосабливаемого к новым условиям банковской деятельности. Рост числа клиентов кредитной организации, обслуживаемых дистанционно, быстрое увеличение плотности потоков поступающих от них ордеров и предоставление им разнообразных каналов удаленного доступа к ее информационно-процессинговым ресурсам обусловливают возникновение потребности в автоматизированном анализе указанных потоков практически в реальном масштабе времени (РМВ). Для этого соответственно в дополнение к традиционному АПО банковской деятельности необходимо внедрять специализированное программно-информационное обеспечение (ПИО), позволяющее оперативно выявлять подпадающие под критерии ФМ ордера клиентов на выполнение банковских операций. Для сопровождения этого ПИО требуется обеспечение дополнительной квалификации для существующего персонала или формирование новой группы специалистов.
В последние годы рассматриваемые технологии стали достаточно активно использоваться для легализации доходов, полученных незаконным путем, совершения различных финансовых преступлений и другой противоправной деятельности, что заметно усложняет осуществление ПОД/ФТ. Что касается отмывания денег, то оно в последние годы по всему «цивилизованному миру» получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Во многих зарубежных публикациях отмечается, что в настоящее время имеет место неизбежное отставание законодательной базы от практики, регулирующей, в частности, новые банковские технологии и инструменты, что создает идеальные условия для их незаконного использования в целях отмывания денег. Отмеченная анонимность используется для такой противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или «мертвые души», а также так называемые «бумажные банки» (хотя на самом деле они скорее «виртуальные», т. е. не существующие реально, но имитируемые с помощью электронного документооборота) и т. п. Угрозы для кредитных организаций заключаются в том, что они могут оказаться незаметно вовлечены в незаконную деятельность со всеми вытекающими отсюда последствиями реализации компонентов правового, репутационного и стратегического рисков. Поэтому в области технологий электронного банкинга при изучении и анализе состава и структуры типичных банковских рисков акцент смещается с вида и содержания банковской деятельности в сторону организации и условий этой деятельности (с учетом особенностей новых способов ее осуществления с использованием ДБО).
Основная проблема с операционной деятельность в виртуальном пространстве заключается в том, что, после того как клиент открыл счет, кредитной организации оказывается затруднительно определить, проводит ли конкретную транзакцию именно официально зарегистрированный владелец счета, а иногда даже понять, имеет ли экономический смысл проводимая операция (и вообще имеет ли место операция как таковая). Тем самым проблема ФМ (оперативного контроля) усложняется многократно. Поэтому во многих странах выпущены специальные руководства по ПОД/ФТ, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности[167].
Следует отметить, что само понятие «виртуальность» используется не случайно — то физическое пространство, которое соответствует ИКБД в случае, например, интернет-банкинга, реально формируется только на то время, пока идут сеансы связи между различными распределенными «по всему миру» web-серверами, шлюзами, маршрутизаторами, коммутаторами и другими компонентами этого контура. По завершении каждого сеанса, точнее, после прохождения маршрута одним или несколькими пакетами данных такое физическое пространство видоизменяется (все они могут проходить разными маршрутами), и о том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия в соответствии с теми или иными командами (предположительно известных, официально зарегистрированных личностей и/или систем/серверов), а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях файлов компьютерных журналов, которые предназначены для регистрации системных событий (если таковые, кстати, вообще ведутся в системах электронного банкинга и банковских автоматизированных системах кредитной организации).
Многие современные электронные платежные инструменты характеризуются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с различными платежными системами, глобальностью действия и «автоматизированностью», т. е. применением так называемых «безлюдных» технологий. Эти особенности снижают эффективность таких традиционных методов ПОД/ФТ, как требование установления личности клиента, отслеживания и анализа содержания операций, предоставления той или иной дополнительной информации и т. п. Пока что в борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле. К примеру, устанавливаются требования увеличения видов и объема подлежащих фиксации данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов проведения расследований подозрительных ситуаций. Таким образом, основная в этом случае задача следования кредитными организациями принципу «знай своего клиента» оказалась при работе в киберпространстве довольно сложной.
Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Появление технологий электронного банкинга как таковое переводит банковские операции в такую форму, когда реальные, скажем, первичные документы, т. е. представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Собственно-то банковские операции совершаются, естественно, на уровне физическом, но, так сказать, «внечувственном». Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.
Вследствие сказанного важно подчеркнуть, что в современных условиях и в ближайшей перспективе контролирующим предоставление финансовых услуг органам требуются от кредитных организаций гарантии соответствия организации и содержания процесса ФМ (ПОД/ ФТ) способам и условиям осуществления ими своей банковской деятельности. Для предоставления гарантий такого рода кредитным организациям полезно прежде всего располагать внутренними документами (начиная с УБР), в которых было бы четко выражено понимание ими специфики ситуации осуществления ФМ на фоне новых банковских информационных технологий, описание используемого для него ПИО, увязка стратегических планов развития ДБО с необходимостью дальнейшего совершенствования ПОД/ФТ, а в вариантах массового ДБО — учет требований, возможно, связанных с работой в РМВ.
Полные и однозначные рекомендации относительно того, как организовывать специальные процедуры подтверждения идентичности клиентов и аутентичности информационного обмена, до настоящего времени для разных вариантов ДБО не разработаны. Из этого следует, что начиная с внедрения первой же ТЭБ руководству кредитных организаций целесообразно разрабатывать и внедрять процедуры такого рода еще до перехода к физической обработке ордеров и транзакций удаленных клиентов. Варианты их могут быть различны, зачастую для регулярной идентификации дистанционно работающих клиентов используются типовые правила обновления идентифицирующих и аутентифицирующих данных (такой процесс может быть реализован совершенно «естественно»). Вместе с тем на первый план выходят компьютерная грамотность и информированность клиентов кредитной организации, а значит, ее руководству логично было бы предусмотреть:
1) изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п.;
2) организацию процесса доведения необходимой информации до клиентов ДБО, например, через офисы, web-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д.;
3) адаптацию процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.
Все перечисленное позволит предотвратить или, как минимум, серьезно затруднить незаметное использование кредитных организаций в качестве посредников для трансфера или хранения незаконных доходов с использованием новых банковских информационных технологий. Важно, чтобы осознавалось возможное устаревание технологии ФМ и реализующих ее методов и средств по мере внедрения новых видов банковских услуг и развития автоматизации банковской деятельности, а также регулярно (или, как минимум, по мере внедрения каждой новой СЭБ) оценивалась потребность в их модернизации. Наличие в кредитной организации документов, в которых отражается описанный подход, а также возможность практической демонстрации внедренных в связи с переходом к ДБО процедур ФМ, снижают ее потенциальную подверженность компонентам правового и стратегического рисков.
Реализации упомянутых процедур в кредитных организациях посвящен ряд документов Банка России, в частности упоминавшимся в главе 4 Положением 262-П предусмотрено, что:
«2.9. Кредитная организация оценивает степень (уровень) Риска с учетом следующих операций повышенной степени (уровня) Риска: <…>
2.9.11. Осуществление банковских операций и иных сделок с использованием интернет-технологий.
<…>
2.10. Кредитная организация должна уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) Риска».
Необходимо отметить, что проблема заключается не в самих интернет-технологиях — это лишь один из вариантов ДБО и они упомянуты конкретно как наиболее распространенный в российском банковском секторе, а в том, для каких целей может быть использована любая технология ДБО. Практическое выполнение требований нормативных документов и рекомендаций предполагает прежде всего их фиксацию во внутренних документах кредитной организации (причем не ограничиваясь простым цитированием, как это нередко бывает), за которой в оптимальном варианте следует дополнение внутрибанковских процессов новыми процедурами в рамках процесса ФМ. Естественно, предполагается учет в них специфики каждой ТЭБ в связи с содержанием процессов УБР и ВК, а возможно и с работой СД кредитной организации.
Для иллюстрации проявления такой специфики в варианте интернет-банкинга на рис. 5.8 приведена карикатура (с www. cartoonbank.com), которая, по мнению автора, лаконично и точно отражает суть рассматриваемой проблематики.
При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию интернет-банкинга. Поэтому кредитной организации целесообразно разработать, документировать и внедрить дополнительные процедуры подтверждения идентичности клиентов ДБО с тем, чтобы они после заключения соглашения на ДБО не исчезали из ее «поля зрения» и одновременно выполнялись установленные нормативными правовыми актами требования к дальнейшей работе с такими клиентами. Мероприятия такого рода в свою очередь будут иметь значение для контролирующих органов в плане подтверждения «отнесения» клиентов ДБО к «повышенной степени (уровню) Риска», как сказано в Положении 262-П.
Кроме того, специалистам кредитных организаций желательно располагать моделями возможной противоправной деятельности, так называемыми шаблонами или «образами»[168]. Типичные мошеннические приемы, реализуемые с помощью технологий электронного банкинга, достаточно хорошо известны и при должном внимании могут быть парированы без угроз для других клиентов кредитной организации и ее самой. В число признаков, помимо установленных законодательно, обычно входят имитация поставок товаров и услуг с задержкой (а затем с отсутствием) предоставления подтверждающих документов (включая авансовые платежи), проведение последовательных операций сомнительного характера в сжатые интервалы времени, переводы на счета за рубежом и др. Банк России в ряде своих писем дал рекомендации кредитным организациям по усилению контроля над операциями, совершаемыми с помощью средств ДБО[169]. Для этого могут дополнительно использоваться прямые и косвенные процедуры, как входящие в их типовой набор, например, подтверждение нахождения клиента по его юридическому или фактическому адресу, так и те, которые кредитная организация определяет самостоятельно — замена средств идентификации, доступа к СЭБ или криптозащиты трафика.
Здесь надо отметить еще и подходы к организации приема и обработки ордеров клиентов ДБО в автоматизированных системах кредитных организаций. Некоторые наблюдения свидетельствуют о том, что за последние годы стала проявляться своеобразная тенденция роста доли банковских операций, относящихся к категории подлежащих обязательному контролю и совершенных с применением систем ДБО, в сопоставлении с долей клиентов кредитных организаций, пользующихся системами электронного банкинга. Даже если доля последних составляет всего 1,5–3 % от общего количества клиентов, они могут давать более половины поводов для отнесения совершаемых по их ордерам операций к указанной категории. Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеет ли место «крен» такого рода, и, возможно, более внимательно относиться к клиентам ДБО, если возникают подозрения в попытках противоправно воспользоваться отмечавшимися ранее особенностями киберпространства. Однако во многих случаях при передаче потоков данных из СЭБ в БАС ордера клиентов «очищаются» от сеансовой информации, позволяющей установить, через какой канал информационного взаимодействия обращался клиент, а потеря таких признаков не позволяет осуществить даже элементарный статистический анализ в интересах ФМ (или в целях ПОД/ФТ).
В дополнение к этому логично сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее «отвлеченных» формах на кредитную организацию с точки зрения контролирующих органов. Принцип «знай своего клиента» (ЗСК) хорошо известен банковскому сообществу по тем же публикациям БКБН, однако в последние годы этот комитет стал уделять ему повышенное внимание в разных отношениях, что связано с усиливающейся тенденцией к использованию систем ДБО для противоправной деятельности. Как пишет БКБН в ряде своих материалов, «банки, не имеющие адекватных программ управления риском, связанным с принципом „знай своего клиента“[170], подвержены значительным рискам, в особенности правовому и репутационному». Поэтому здесь же указывается, что «приятие эффективных стандартов ЗСК представляет собой существенную часть банковской практики управления рисками». Учитывая возможные затруднения с идентификацией клиентов и комплексным анализом их деятельности в многофилиальных структурах, особенно в связи с ДБО, БКБН пропагандирует так называемое «консолидированное управление риском, связанным с клиентами», в связи с чем особый акцент делается на так называемом «групповом подходе» при соблюдения принципа ЗСК[171].
Речь в этом случае идет о кредитных организациях, имеющих дочерние банки, или филиалы, или представительства и т. п. Ниже рассматриваются основные положения из этого документа БКБН, которые прямо относятся к факторам риска, возникающим при ДБО, и соответственно подлежат учету при осуществлении внешнего аудита кредитных организаций и риск-ориентированного банковского надзора. Они становятся даже более актуальными в тех случаях, когда филиалы кредитных организаций предлагают клиентам ДБО, тогда как их головные офисы такие технологии не используют. В такой ситуации представляется логичной организация исполнительными органами кредитной организации как минимум дополнительных процедур информационного взаимодействия с такими филиалами и контроля над их деятельностью, т. е. речь фактически идет о внедрении того же подхода, который обсуждался в связи с адаптацией процесса ФМ. Естественно, эти процессы следует подкреплять выделением в кредитной организации соответствующего ответственного должностного лица и персонала, обеспеченного всеми необходимыми внутрибанковскими документами, регламентирующими и описывающими эти процедуры (от порядков до должностных инструкций, включая механизм управленческого наблюдения за реализацией таких порядков).
Как пишет БКБН, ключевым аспектом реализации кредитной организацией «надежной» политики и процедур, связанных с принципом ЗСК, являются внедрение и поддержание на адекватном масштабам ее деятельности уровне эффективного группового подхода, для чего строится соответствующий бизнес-процесс, в основу которого закладывается анализ компонентов правового и репутационного рисков (иногда, кстати, называемого в материалах комитета «имиджевым риском»). Считается, что политика и процедуры на уровне филиалов и дочерних компаний кредитной организации должны быть согласованы с групповыми стандартами ЗСК (вид внутрибанковского документа в зарубежной терминологии) и обеспечивать их поддержку. Если говорить о специфике российской ситуации, то она двояка и различна как для отечественных кредитных организаций, которые не всегда могут адекватно контролировать деятельность своих филиалов (особенно удаленных, в которых за ИТ и ДБО отвечает малое число сотрудников), так и для зарубежных кредитных организаций, руководство которых может не иметь полного и адекватного представления о том, в каких условиях работает их дочерний банк за рубежом.
Как бы то ни было, БКБН подчеркивает важность следования кредитных организаций принципу: «Банк должен располагать возможностью осуществления мониторинга своих клиентов при совершении ими операций».
Для этого «необходимо наличие в банках надежной политики и процедур ЗСК, учитывающих специфику банковского обслуживания, поскольку это:
— способствует обеспечению безопасности и надежности банка;
— содействует защите целостности банковской системы за счет снижения вероятности превращения банков в „механизмы“ отмывания денег, финансирования терроризма и реализации других незаконных действий».
Ниже излагаются основные положения этого документа БКБН:
следует разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков, а также риска концентрации[172];
политика и процедуры на уровне всех филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку;
единые подходы для всех банков к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации способствуют координированию действий и делают контроль над этими рисками и управление ими более эффективным;
подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков;
между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками;
контролирующий процесс должен включать не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов.
При этом обращается внимание также на то, что роль аудита особенно важна в оценке стандартов ЗСК на консолидированной основе, и сотрудники надзорного органа должны быть уверены, что все необходимые процедуры в этом отношении соблюдены, и они имеют полный доступ к относящимся к делу отчетам и рабочим документам аудита (по всей группе).
Главное заключается в том, что необходимо разработать, внедрить и поддерживать (на основе регулярного ВК) единые подходы для всех кредитных организаций к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации. Постулируется, что это способствует координации действий в банковском секторе и делает контроль над этими рисками и управление ими в кредитных организациях более эффективными. В свою очередь кредитным организациям рекомендуется перенести этот подход на уровень своей системы или, иначе, подсистемы банковского сектора.
Постулируется также, что подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих ему факторов банковских рисков, что при ДБО оказывается весьма актуальным. Информационное взаимодействие между головным офисом кредитной организации и ее филиалами должно быть налажено как единый процесс, унифицированный для всех офисов, который одновременно позволял бы обеспечить одинаковое информирование филиалами головного офиса о возможных проблемных клиентах и ситуациях. При консолидированном подходе требуется специальная организация контроля в банковской подсистеме (группе) над проблемными операциями и ситуациями. Контролирующий процесс вообще должен включать, по мнению БКБН, не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов. Для крупного многофилиального банка при этом могут возникнуть дополнительные организационно-технические проблемы, особенно в плане комплексного (группового) контроля.
В завершение рассмотрения документов БКБН по тематике ФМ можно привести еще несколько концептуальных положений:
«Банкам следует сделать все возможное для идентификации всех клиентов… Особое внимание следует уделять идентификации владельцев счетов… Всем банкам следует внедрить эффективные процедуры по идентификации новых клиентов. Следует иметь четко определенную политику, гарантирующую, что никакие значимые транзакции не будут выполняться, если соответствующие клиенты не идентифицированы должным образом…
Банки могут не располагать средствами, позволяющими определить принадлежность транзакций к противоправной деятельности… может оказаться затруднительным установить соответствие требованиям законодательства при трансграничных операциях… Тем не менее любая транзакция должна тщательно проверяться на предмет ее возможной подозрительности.
…Все банки должны официально утвердить политику, отвечающую установленным принципам и убедиться в том, что все сотрудники, независимо от их нахождения, ознакомлены с данной политикой…
…банкам следует внедрить специальные процедуры для идентификации клиентов и сохранения сведений об их транзакциях. Может потребоваться организация специальных процедур внутреннего аудита…»
Специально подчеркивается, что «контролирующие органы должны получить возможность убеждаться в наличии таких процедур и их эффективности», т. е. в том, что меры по идентификации и подтверждению аутентичности клиентской информации, принимаемые кредитной организацией в отношении клиентов ДБО, действительно способствуют снижению уровней компонентов принимаемых ею банковских рисков, связанных с возможными недостатками в следовании принципу ЗСК.
Организуя и модернизируя процесс ФМ (ПОД/ФТ) в целом, руководству кредитных организаций целесообразно помнить о том, что существуют типовые схемы противоправной деятельности, которые при использовании технологий электронного банкинга повторяются наиболее часто — обобщенная трехэтапная схема такого рода приведена на рис. 5.9. Этапы определяются как «размещение», «расслоение» и «интеграция», при этом полученные преступным путем денежные средства перемещаются относительно небольшими суммами между счетами реальных и подставных фирм, затем для запутывания следов с помощью наиболее сложно отслеживаемых «электронных транзакций» пересылаются с использованием оффшорных банков, после чего под видом более-менее обоснованных платежей концентрируются таким образом, чтобы их можно было снять со счетов вполне «добропорядочных» компаний, придав им легитимный вид.
В рассматривавшихся в параграфе 5.2 материалах БКБН отмечено также, что «надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, включая повышенный риск обезличивания индивидуальности и большие затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам».
Для адаптации процесса ФМ уместно из общего состава принципов управления рисками в условиях электронного банкинга использовать также принципы 5, 7, 8, 9 и 14, указанные в параграфе 5.2. Их практическая интерпретация определяется теми технологиями и системами электронного банкинга, которые применяет кредитная организация, и содержанием ее процесса УБР.
Резюмируя рассмотрение влияния технологий электронного банкинга на содержание процесса ФМ в кредитной организации, можно сделать вывод, что внедрение ТЭБ приводит к внесению существенных изменений в организацию и содержание этого процесса. Поэтому важно убедиться в том, что кредитная организация располагает необходимыми для этого ресурсами или может их привлечь. Для реализации принципа ЗСК в части идентификации потенциальных клиентов внедряемого ДБО и контроля над осуществляемыми ими операциями в новых условиях банковской деятельности руководству организации целесообразно до начала внедрения этой технологии и реализующей ее БАС оценить состав и содержание тех изменений, которые потребуется внести в процесс ФМ и составляющие его процедуры, а также достаточность требуемых для этого ресурсов: персонала и его квалификации, специальных технологических решений и технических средств, внутрибанковского документарного обеспечения, а также адаптации УБР и ВК. В рамках определения содержания, осуществления и адаптации ФМ и составляющих его процедур целесообразно:
при принятии решения относительно внедрения ТЭБ и реализующих ее автоматизированных систем руководству кредитной организации определить и проанализировать те процедуры, которые потребуется разработать и внедрить для эффективной реализации принципа ЗСК в приложении к идентификации потенциальных клиентов конкретного ДБО и контроля над осуществляемыми ими операциями, а также оценить возможности реализации этих процедур в плане необходимых для этого практически применимых методов и средств с учетом организации и осуществления дальнейшего управления этими средствами и контроля их использования[173];
изучать способы и практические примеры противоправной деятельности с помощью банковских информационных технологий;
создавать и адаптировать модели возможной противоправной деятельности с использованием АПО СЭБ;
тестировать ПИО ФМ (ПОД/ФТ) на предмет его адекватности указанным моделям;
актуализировать и обновлять ПИО ФМ (ПОД/ФТ) по мере расширения применения технологий электронного банкинга.
Внутрибанковский мета-процесс в части ФМ уподобляется своему аналогу в области ВК в целом. Основная цель такой компоненты процесса высшего уровня состоит в том, чтобы воспрепятствовать вовлечению кредитной организации в противоправную деятельность, осуществляемую за счет использования технологических возможностей современного ДБО. Это касается прежде всего тех ситуаций, в которых могут быть поставлены под сомнение сами возможности данной организации в отношении контроля над операциями, осуществляемыми с помощью ее БАС или аналогичных систем, установленных в филиалах либо используемых ими. В то же время нельзя забывать, что серьезные нарушения возможны и без всяких противоправных операций, например, нарушение конфиденциальности сведений о состоянии счетов и операциях клиента (т. е. нарушение банковской тайны) возможно в тех случаях, когда информация такого рода передается через системы провайдеров (например, системы мобильной связи) в незащищенном виде. Впрочем, данная проблематика ближе, пожалуй, к вопросам ОИБ. Необходимо только подчеркнуть, что дополнительным, но часто забываемым нюансом становится обеспечение, по сути, доказательного подтверждения непричастности кредитной организации (ее персонала и руководства) к осуществлению зафиксированных противоправных действий, т. е. в случаях уже как бы «причастности» (в этом случае имеются в виду недостатки в содержании процесса ФМ, которые приводят к зависимости уровней банковских рисков, принимаемых кредитной организацией, от деятельности ее клиентов).
Эффективная адаптация процесса ФМ, как правило, невозможна без согласованного с соответствующими требованиями внесения изменений во все внутрибанковские процессы, так или иначе связанные с контролем управления финансовыми потоками и банковскими операциями. Поэтому в кредитной организации необходимо понимание зависимости результатов ФМ от его обеспечения со стороны таких процессов. Согласованная адаптация всех процессов требует наличия единой организационно-методической платформы, формирование которой обеспечивается руководством кредитной организации. Поэтому целесообразно наличие своего рода «политики» внедрения технологий электронного банкинга (а не просто политики информатизации), базирующейся на принципе «знай свои технологии», в которой описывались бы (регламентировались) все мероприятия, связывающие модернизацию внутрибанковских процессов. Руководству кредитной организации целесообразно рассматривать управление процессом ФМ и контроль над его осуществлением как неотъемлемую часть общебанковского процесса корпоративного управления. То и другое следует осуществлять в связи с адаптацией процесса УБР, поскольку ФМ должен рассматриваться и как составная часть этого процесса, которая в современных условиях приобретает все большее значение в связи в внедрением, развитием и широким распространением новых технологий электронного банкинга, а также быстрым ростом их клиентской базы и масштабов операций, проводимых в режимах, близких к РМВ.
Главное, что руководству высокотехнологичных кредитных организаций целесообразно учитывать при адаптации осуществления процесса ФМ к условиям электронного банкинга, это то, что применение таких технологий радикально изменяет характер взаимодействия между кредитными организациями и их клиентами, что может негативно повлиять на выполнение обязательств этих организаций перед контролирующими органами (очевидно, что в противном случае необходимости в ПОД/ФТ и ФМ не было бы). Если руководство кредитной организации, внедряющей ТЭБ, не придает должного значения этому факту и необходимость модернизации ФМ осознается недостаточно, то надежность (качество) процедур ФМ будет оцениваться заведомо неадекватно, следствием чего станет повышение банковских рисков: как минимум правового и стратегического, возможно, чрезмерное для этой организации. Чаще всего эти риски реализуются из-за скрытого вовлечения кредитной организации в противоправную деятельность, хотя имеют место и другие причины. Можно обоснованно говорить и о повышении своего рода «риска потери деловой репутации» в глазах ряда контролирующих органов, реализация которого всегда приводит к негативным последствиям для кредитной организации.
Более того, сложность осуществления ФМ в условиях применения технологий электронного банкинга и массового ДБО может возрасти настолько, что фактически потребуется формирование выделенного внутрибанковского процесса ФМ, приспосабливаемого к новым условиям банковской деятельности. Рост числа клиентов кредитной организации, обслуживаемых дистанционно, быстрое увеличение плотности потоков поступающих от них ордеров и предоставление им разнообразных каналов удаленного доступа к ее информационно-процессинговым ресурсам обусловливают возникновение потребности в автоматизированном анализе указанных потоков практически в реальном масштабе времени (РМВ). Для этого соответственно в дополнение к традиционному АПО банковской деятельности необходимо внедрять специализированное программно-информационное обеспечение (ПИО), позволяющее оперативно выявлять подпадающие под критерии ФМ ордера клиентов на выполнение банковских операций. Для сопровождения этого ПИО требуется обеспечение дополнительной квалификации для существующего персонала или формирование новой группы специалистов.
В последние годы рассматриваемые технологии стали достаточно активно использоваться для легализации доходов, полученных незаконным путем, совершения различных финансовых преступлений и другой противоправной деятельности, что заметно усложняет осуществление ПОД/ФТ. Что касается отмывания денег, то оно в последние годы по всему «цивилизованному миру» получило фактически поддержку технологий электронного банкинга из-за предоставляемых ими возможностей в части запутывания следов и потоков финансовых средств. Во многих зарубежных публикациях отмечается, что в настоящее время имеет место неизбежное отставание законодательной базы от практики, регулирующей, в частности, новые банковские технологии и инструменты, что создает идеальные условия для их незаконного использования в целях отмывания денег. Отмеченная анонимность используется для такой противоправной финансовой деятельности, в которой фигурируют фиктивные фирмы, подставные лица или «мертвые души», а также так называемые «бумажные банки» (хотя на самом деле они скорее «виртуальные», т. е. не существующие реально, но имитируемые с помощью электронного документооборота) и т. п. Угрозы для кредитных организаций заключаются в том, что они могут оказаться незаметно вовлечены в незаконную деятельность со всеми вытекающими отсюда последствиями реализации компонентов правового, репутационного и стратегического рисков. Поэтому в области технологий электронного банкинга при изучении и анализе состава и структуры типичных банковских рисков акцент смещается с вида и содержания банковской деятельности в сторону организации и условий этой деятельности (с учетом особенностей новых способов ее осуществления с использованием ДБО).
Основная проблема с операционной деятельность в виртуальном пространстве заключается в том, что, после того как клиент открыл счет, кредитной организации оказывается затруднительно определить, проводит ли конкретную транзакцию именно официально зарегистрированный владелец счета, а иногда даже понять, имеет ли экономический смысл проводимая операция (и вообще имеет ли место операция как таковая). Тем самым проблема ФМ (оперативного контроля) усложняется многократно. Поэтому во многих странах выпущены специальные руководства по ПОД/ФТ, в которых обычно содержатся рекомендации по верификации личности клиента и его адреса до открытия счета и по мониторингу онлайновых транзакций, требующих повышенной бдительности[167].
Следует отметить, что само понятие «виртуальность» используется не случайно — то физическое пространство, которое соответствует ИКБД в случае, например, интернет-банкинга, реально формируется только на то время, пока идут сеансы связи между различными распределенными «по всему миру» web-серверами, шлюзами, маршрутизаторами, коммутаторами и другими компонентами этого контура. По завершении каждого сеанса, точнее, после прохождения маршрута одним или несколькими пакетами данных такое физическое пространство видоизменяется (все они могут проходить разными маршрутами), и о том, что какие-то массивы данных перемещались между агентами сетевого взаимодействия в соответствии с теми или иными командами (предположительно известных, официально зарегистрированных личностей и/или систем/серверов), а также сетевыми протоколами этого взаимодействия, свидетельствуют только изменения в полях записей баз данных, которые ведут кредитные организации, и в записях файлов компьютерных журналов, которые предназначены для регистрации системных событий (если таковые, кстати, вообще ведутся в системах электронного банкинга и банковских автоматизированных системах кредитной организации).
Многие современные электронные платежные инструменты характеризуются предельно высокой скоростью транзакций, анонимностью, сочетаемостью с различными платежными системами, глобальностью действия и «автоматизированностью», т. е. применением так называемых «безлюдных» технологий. Эти особенности снижают эффективность таких традиционных методов ПОД/ФТ, как требование установления личности клиента, отслеживания и анализа содержания операций, предоставления той или иной дополнительной информации и т. п. Пока что в борьбе с незаконным использованием финансовых систем делается, по сути, попытка адаптации существующих методов и процедур к новым платежным инструментам и электронной торговле. К примеру, устанавливаются требования увеличения видов и объема подлежащих фиксации данных, обеспечения доступа к дополнительным источникам информации, совершенствования методов проведения расследований подозрительных ситуаций. Таким образом, основная в этом случае задача следования кредитными организациями принципу «знай своего клиента» оказалась при работе в киберпространстве довольно сложной.
Вместе с тем структура телекоммуникационных сетей радикально отличается от структуры традиционной финансовой системы, на которую были рассчитаны существующие средства защиты от распространения противоправной деятельности. Если традиционные финансовые системы базируются на институциональных посредниках, преследующих собственные денежные интересы, то системы электронной торговли и платежей обеспечивают лишь автоматические соединения. Кроме того, даже существующий контроль за системами электронного финансового трансфера оказывается неэффективен вследствие различий в технологических уровнях, положениях законодательства, требованиях регулирующих органов, особенно в разных странах. Появление технологий электронного банкинга как таковое переводит банковские операции в такую форму, когда реальные, скажем, первичные документы, т. е. представляемые на бумажной основе, в инициируемом транзакционном процессе физически отсутствуют. Собственно-то банковские операции совершаются, естественно, на уровне физическом, но, так сказать, «внечувственном». Теперь для контроля над электронными банковскими операциями пытаются применять и различные «интеллектуальные», в том числе и эвристические методы типа определения нерациональных и неэффективных операций или финансовых потоков и выявлять на этой основе подозрительную деятельность. Однако о серьезных успехах здесь говорить еще преждевременно.
Вследствие сказанного важно подчеркнуть, что в современных условиях и в ближайшей перспективе контролирующим предоставление финансовых услуг органам требуются от кредитных организаций гарантии соответствия организации и содержания процесса ФМ (ПОД/ ФТ) способам и условиям осуществления ими своей банковской деятельности. Для предоставления гарантий такого рода кредитным организациям полезно прежде всего располагать внутренними документами (начиная с УБР), в которых было бы четко выражено понимание ими специфики ситуации осуществления ФМ на фоне новых банковских информационных технологий, описание используемого для него ПИО, увязка стратегических планов развития ДБО с необходимостью дальнейшего совершенствования ПОД/ФТ, а в вариантах массового ДБО — учет требований, возможно, связанных с работой в РМВ.
Полные и однозначные рекомендации относительно того, как организовывать специальные процедуры подтверждения идентичности клиентов и аутентичности информационного обмена, до настоящего времени для разных вариантов ДБО не разработаны. Из этого следует, что начиная с внедрения первой же ТЭБ руководству кредитных организаций целесообразно разрабатывать и внедрять процедуры такого рода еще до перехода к физической обработке ордеров и транзакций удаленных клиентов. Варианты их могут быть различны, зачастую для регулярной идентификации дистанционно работающих клиентов используются типовые правила обновления идентифицирующих и аутентифицирующих данных (такой процесс может быть реализован совершенно «естественно»). Вместе с тем на первый план выходят компьютерная грамотность и информированность клиентов кредитной организации, а значит, ее руководству логично было бы предусмотреть:
1) изучение текущей и оценку перспективной обстановки, например, получения информации о тех способах противоправной деятельности, которые уже зафиксированы в банковском сообществе и правоохранительными органами, о «достижениях» хакеров и компьютерных мошенников и т. п.;
2) организацию процесса доведения необходимой информации до клиентов ДБО, например, через офисы, web-сайты, сервис-центр, целевую (адресную) рассылку сообщений электронной почты и т. д.;
3) адаптацию процесса предупреждения клиентов, возможно, за счет усложнения процедур идентификации и авторизации, регулярного переобучения, обновления средств дистанционного доступа и поставочной документации и других процедур.
Все перечисленное позволит предотвратить или, как минимум, серьезно затруднить незаметное использование кредитных организаций в качестве посредников для трансфера или хранения незаконных доходов с использованием новых банковских информационных технологий. Важно, чтобы осознавалось возможное устаревание технологии ФМ и реализующих ее методов и средств по мере внедрения новых видов банковских услуг и развития автоматизации банковской деятельности, а также регулярно (или, как минимум, по мере внедрения каждой новой СЭБ) оценивалась потребность в их модернизации. Наличие в кредитной организации документов, в которых отражается описанный подход, а также возможность практической демонстрации внедренных в связи с переходом к ДБО процедур ФМ, снижают ее потенциальную подверженность компонентам правового и стратегического рисков.
Реализации упомянутых процедур в кредитных организациях посвящен ряд документов Банка России, в частности упоминавшимся в главе 4 Положением 262-П предусмотрено, что:
«2.9. Кредитная организация оценивает степень (уровень) Риска с учетом следующих операций повышенной степени (уровня) Риска: <…>
2.9.11. Осуществление банковских операций и иных сделок с использованием интернет-технологий.
<…>
2.10. Кредитная организация должна уделять повышенное внимание операциям с денежными средствами или иным имуществом, проводимым клиентами, отнесенным к повышенной степени (уровню) Риска».
Необходимо отметить, что проблема заключается не в самих интернет-технологиях — это лишь один из вариантов ДБО и они упомянуты конкретно как наиболее распространенный в российском банковском секторе, а в том, для каких целей может быть использована любая технология ДБО. Практическое выполнение требований нормативных документов и рекомендаций предполагает прежде всего их фиксацию во внутренних документах кредитной организации (причем не ограничиваясь простым цитированием, как это нередко бывает), за которой в оптимальном варианте следует дополнение внутрибанковских процессов новыми процедурами в рамках процесса ФМ. Естественно, предполагается учет в них специфики каждой ТЭБ в связи с содержанием процессов УБР и ВК, а возможно и с работой СД кредитной организации.
Для иллюстрации проявления такой специфики в варианте интернет-банкинга на рис. 5.8 приведена карикатура (с www. cartoonbank.com), которая, по мнению автора, лаконично и точно отражает суть рассматриваемой проблематики.
При осуществлении банковского обслуживания через Интернет кредитной организации следует принимать специальные меры идентификации клиентов и контроля над их действиями, особенно при массовом дистанционном обслуживании и работе через филиалы. Предоставление банковских услуг через Интернет требует, в общем случае, регулярного подтверждения идентичности клиентов, в том числе в целях противодействия возможному противоправному использованию интернет-банкинга. Поэтому кредитной организации целесообразно разработать, документировать и внедрить дополнительные процедуры подтверждения идентичности клиентов ДБО с тем, чтобы они после заключения соглашения на ДБО не исчезали из ее «поля зрения» и одновременно выполнялись установленные нормативными правовыми актами требования к дальнейшей работе с такими клиентами. Мероприятия такого рода в свою очередь будут иметь значение для контролирующих органов в плане подтверждения «отнесения» клиентов ДБО к «повышенной степени (уровню) Риска», как сказано в Положении 262-П.
Кроме того, специалистам кредитных организаций желательно располагать моделями возможной противоправной деятельности, так называемыми шаблонами или «образами»[168]. Типичные мошеннические приемы, реализуемые с помощью технологий электронного банкинга, достаточно хорошо известны и при должном внимании могут быть парированы без угроз для других клиентов кредитной организации и ее самой. В число признаков, помимо установленных законодательно, обычно входят имитация поставок товаров и услуг с задержкой (а затем с отсутствием) предоставления подтверждающих документов (включая авансовые платежи), проведение последовательных операций сомнительного характера в сжатые интервалы времени, переводы на счета за рубежом и др. Банк России в ряде своих писем дал рекомендации кредитным организациям по усилению контроля над операциями, совершаемыми с помощью средств ДБО[169]. Для этого могут дополнительно использоваться прямые и косвенные процедуры, как входящие в их типовой набор, например, подтверждение нахождения клиента по его юридическому или фактическому адресу, так и те, которые кредитная организация определяет самостоятельно — замена средств идентификации, доступа к СЭБ или криптозащиты трафика.
Здесь надо отметить еще и подходы к организации приема и обработки ордеров клиентов ДБО в автоматизированных системах кредитных организаций. Некоторые наблюдения свидетельствуют о том, что за последние годы стала проявляться своеобразная тенденция роста доли банковских операций, относящихся к категории подлежащих обязательному контролю и совершенных с применением систем ДБО, в сопоставлении с долей клиентов кредитных организаций, пользующихся системами электронного банкинга. Даже если доля последних составляет всего 1,5–3 % от общего количества клиентов, они могут давать более половины поводов для отнесения совершаемых по их ордерам операций к указанной категории. Это свидетельствует о целесообразности применения кредитными организациями дополнительных аналитических процедур, позволяющих установить, имеет ли место «крен» такого рода, и, возможно, более внимательно относиться к клиентам ДБО, если возникают подозрения в попытках противоправно воспользоваться отмечавшимися ранее особенностями киберпространства. Однако во многих случаях при передаче потоков данных из СЭБ в БАС ордера клиентов «очищаются» от сеансовой информации, позволяющей установить, через какой канал информационного взаимодействия обращался клиент, а потеря таких признаков не позволяет осуществить даже элементарный статистический анализ в интересах ФМ (или в целях ПОД/ФТ).
В дополнение к этому логично сделать акцент на тех обязательствах, которые может наложить ДБО в своих наиболее «отвлеченных» формах на кредитную организацию с точки зрения контролирующих органов. Принцип «знай своего клиента» (ЗСК) хорошо известен банковскому сообществу по тем же публикациям БКБН, однако в последние годы этот комитет стал уделять ему повышенное внимание в разных отношениях, что связано с усиливающейся тенденцией к использованию систем ДБО для противоправной деятельности. Как пишет БКБН в ряде своих материалов, «банки, не имеющие адекватных программ управления риском, связанным с принципом „знай своего клиента“[170], подвержены значительным рискам, в особенности правовому и репутационному». Поэтому здесь же указывается, что «приятие эффективных стандартов ЗСК представляет собой существенную часть банковской практики управления рисками». Учитывая возможные затруднения с идентификацией клиентов и комплексным анализом их деятельности в многофилиальных структурах, особенно в связи с ДБО, БКБН пропагандирует так называемое «консолидированное управление риском, связанным с клиентами», в связи с чем особый акцент делается на так называемом «групповом подходе» при соблюдения принципа ЗСК[171].
Речь в этом случае идет о кредитных организациях, имеющих дочерние банки, или филиалы, или представительства и т. п. Ниже рассматриваются основные положения из этого документа БКБН, которые прямо относятся к факторам риска, возникающим при ДБО, и соответственно подлежат учету при осуществлении внешнего аудита кредитных организаций и риск-ориентированного банковского надзора. Они становятся даже более актуальными в тех случаях, когда филиалы кредитных организаций предлагают клиентам ДБО, тогда как их головные офисы такие технологии не используют. В такой ситуации представляется логичной организация исполнительными органами кредитной организации как минимум дополнительных процедур информационного взаимодействия с такими филиалами и контроля над их деятельностью, т. е. речь фактически идет о внедрении того же подхода, который обсуждался в связи с адаптацией процесса ФМ. Естественно, эти процессы следует подкреплять выделением в кредитной организации соответствующего ответственного должностного лица и персонала, обеспеченного всеми необходимыми внутрибанковскими документами, регламентирующими и описывающими эти процедуры (от порядков до должностных инструкций, включая механизм управленческого наблюдения за реализацией таких порядков).
Как пишет БКБН, ключевым аспектом реализации кредитной организацией «надежной» политики и процедур, связанных с принципом ЗСК, являются внедрение и поддержание на адекватном масштабам ее деятельности уровне эффективного группового подхода, для чего строится соответствующий бизнес-процесс, в основу которого закладывается анализ компонентов правового и репутационного рисков (иногда, кстати, называемого в материалах комитета «имиджевым риском»). Считается, что политика и процедуры на уровне филиалов и дочерних компаний кредитной организации должны быть согласованы с групповыми стандартами ЗСК (вид внутрибанковского документа в зарубежной терминологии) и обеспечивать их поддержку. Если говорить о специфике российской ситуации, то она двояка и различна как для отечественных кредитных организаций, которые не всегда могут адекватно контролировать деятельность своих филиалов (особенно удаленных, в которых за ИТ и ДБО отвечает малое число сотрудников), так и для зарубежных кредитных организаций, руководство которых может не иметь полного и адекватного представления о том, в каких условиях работает их дочерний банк за рубежом.
Как бы то ни было, БКБН подчеркивает важность следования кредитных организаций принципу: «Банк должен располагать возможностью осуществления мониторинга своих клиентов при совершении ими операций».
Для этого «необходимо наличие в банках надежной политики и процедур ЗСК, учитывающих специфику банковского обслуживания, поскольку это:
— способствует обеспечению безопасности и надежности банка;
— содействует защите целостности банковской системы за счет снижения вероятности превращения банков в „механизмы“ отмывания денег, финансирования терроризма и реализации других незаконных действий».
Ниже излагаются основные положения этого документа БКБН:
следует разработать политику и процедуры идентификации, мониторинга и снижения репутационного, операционного, правового рисков, а также риска концентрации[172];
политика и процедуры на уровне всех филиалов и дочерних организаций должны быть согласованы с групповыми стандартами «знай своего клиента» и обеспечивать их поддержку;
единые подходы для всех банков к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации способствуют координированию действий и делают контроль над этими рисками и управление ими более эффективным;
подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих рисков;
между головным офисом и филиалами должно быть налажено такое информационное взаимодействие, чтобы была возможность получать информацию о рискованных клиентах для управления правовым и репутационным рисками;
контролирующий процесс должен включать не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов.
При этом обращается внимание также на то, что роль аудита особенно важна в оценке стандартов ЗСК на консолидированной основе, и сотрудники надзорного органа должны быть уверены, что все необходимые процедуры в этом отношении соблюдены, и они имеют полный доступ к относящимся к делу отчетам и рабочим документам аудита (по всей группе).
Главное заключается в том, что необходимо разработать, внедрить и поддерживать (на основе регулярного ВК) единые подходы для всех кредитных организаций к идентификации, контролю и парированию репутационного, правового, операционного риска и риска концентрации. Постулируется, что это способствует координации действий в банковском секторе и делает контроль над этими рисками и управление ими в кредитных организациях более эффективными. В свою очередь кредитным организациям рекомендуется перенести этот подход на уровень своей системы или, иначе, подсистемы банковского сектора.
Постулируется также, что подходы к идентификации клиента должны быть сформированы на основе возможных сопутствующих ему факторов банковских рисков, что при ДБО оказывается весьма актуальным. Информационное взаимодействие между головным офисом кредитной организации и ее филиалами должно быть налажено как единый процесс, унифицированный для всех офисов, который одновременно позволял бы обеспечить одинаковое информирование филиалами головного офиса о возможных проблемных клиентах и ситуациях. При консолидированном подходе требуется специальная организация контроля в банковской подсистеме (группе) над проблемными операциями и ситуациями. Контролирующий процесс вообще должен включать, по мнению БКБН, не только рассмотрение политик и процедур банка, но также информацию о клиентах и данные выписок по счетам клиентов. Для крупного многофилиального банка при этом могут возникнуть дополнительные организационно-технические проблемы, особенно в плане комплексного (группового) контроля.
В завершение рассмотрения документов БКБН по тематике ФМ можно привести еще несколько концептуальных положений:
«Банкам следует сделать все возможное для идентификации всех клиентов… Особое внимание следует уделять идентификации владельцев счетов… Всем банкам следует внедрить эффективные процедуры по идентификации новых клиентов. Следует иметь четко определенную политику, гарантирующую, что никакие значимые транзакции не будут выполняться, если соответствующие клиенты не идентифицированы должным образом…
Банки могут не располагать средствами, позволяющими определить принадлежность транзакций к противоправной деятельности… может оказаться затруднительным установить соответствие требованиям законодательства при трансграничных операциях… Тем не менее любая транзакция должна тщательно проверяться на предмет ее возможной подозрительности.
…Все банки должны официально утвердить политику, отвечающую установленным принципам и убедиться в том, что все сотрудники, независимо от их нахождения, ознакомлены с данной политикой…
…банкам следует внедрить специальные процедуры для идентификации клиентов и сохранения сведений об их транзакциях. Может потребоваться организация специальных процедур внутреннего аудита…»
Специально подчеркивается, что «контролирующие органы должны получить возможность убеждаться в наличии таких процедур и их эффективности», т. е. в том, что меры по идентификации и подтверждению аутентичности клиентской информации, принимаемые кредитной организацией в отношении клиентов ДБО, действительно способствуют снижению уровней компонентов принимаемых ею банковских рисков, связанных с возможными недостатками в следовании принципу ЗСК.
Организуя и модернизируя процесс ФМ (ПОД/ФТ) в целом, руководству кредитных организаций целесообразно помнить о том, что существуют типовые схемы противоправной деятельности, которые при использовании технологий электронного банкинга повторяются наиболее часто — обобщенная трехэтапная схема такого рода приведена на рис. 5.9. Этапы определяются как «размещение», «расслоение» и «интеграция», при этом полученные преступным путем денежные средства перемещаются относительно небольшими суммами между счетами реальных и подставных фирм, затем для запутывания следов с помощью наиболее сложно отслеживаемых «электронных транзакций» пересылаются с использованием оффшорных банков, после чего под видом более-менее обоснованных платежей концентрируются таким образом, чтобы их можно было снять со счетов вполне «добропорядочных» компаний, придав им легитимный вид.
В рассматривавшихся в параграфе 5.2 материалах БКБН отмечено также, что «надежные процессы идентификации и аутентификации клиентов особенно важны в контексте трансграничных операций с применением технологий электронного банкинга, учитывая осложнения, которые могут возникнуть при осуществлении электронных операций с клиентами через национальные границы, включая повышенный риск обезличивания индивидуальности и большие затруднения в выполнении эффективных проверок при предоставлении кредита потенциальным клиентам».
Для адаптации процесса ФМ уместно из общего состава принципов управления рисками в условиях электронного банкинга использовать также принципы 5, 7, 8, 9 и 14, указанные в параграфе 5.2. Их практическая интерпретация определяется теми технологиями и системами электронного банкинга, которые применяет кредитная организация, и содержанием ее процесса УБР.
Резюмируя рассмотрение влияния технологий электронного банкинга на содержание процесса ФМ в кредитной организации, можно сделать вывод, что внедрение ТЭБ приводит к внесению существенных изменений в организацию и содержание этого процесса. Поэтому важно убедиться в том, что кредитная организация располагает необходимыми для этого ресурсами или может их привлечь. Для реализации принципа ЗСК в части идентификации потенциальных клиентов внедряемого ДБО и контроля над осуществляемыми ими операциями в новых условиях банковской деятельности руководству организации целесообразно до начала внедрения этой технологии и реализующей ее БАС оценить состав и содержание тех изменений, которые потребуется внести в процесс ФМ и составляющие его процедуры, а также достаточность требуемых для этого ресурсов: персонала и его квалификации, специальных технологических решений и технических средств, внутрибанковского документарного обеспечения, а также адаптации УБР и ВК. В рамках определения содержания, осуществления и адаптации ФМ и составляющих его процедур целесообразно:
при принятии решения относительно внедрения ТЭБ и реализующих ее автоматизированных систем руководству кредитной организации определить и проанализировать те процедуры, которые потребуется разработать и внедрить для эффективной реализации принципа ЗСК в приложении к идентификации потенциальных клиентов конкретного ДБО и контроля над осуществляемыми ими операциями, а также оценить возможности реализации этих процедур в плане необходимых для этого практически применимых методов и средств с учетом организации и осуществления дальнейшего управления этими средствами и контроля их использования[173];
изучать способы и практические примеры противоправной деятельности с помощью банковских информационных технологий;
создавать и адаптировать модели возможной противоправной деятельности с использованием АПО СЭБ;
тестировать ПИО ФМ (ПОД/ФТ) на предмет его адекватности указанным моделям;
актуализировать и обновлять ПИО ФМ (ПОД/ФТ) по мере расширения применения технологий электронного банкинга.
Внутрибанковский мета-процесс в части ФМ уподобляется своему аналогу в области ВК в целом. Основная цель такой компоненты процесса высшего уровня состоит в том, чтобы воспрепятствовать вовлечению кредитной организации в противоправную деятельность, осуществляемую за счет использования технологических возможностей современного ДБО. Это касается прежде всего тех ситуаций, в которых могут быть поставлены под сомнение сами возможности данной организации в отношении контроля над операциями, осуществляемыми с помощью ее БАС или аналогичных систем, установленных в филиалах либо используемых ими. В то же время нельзя забывать, что серьезные нарушения возможны и без всяких противоправных операций, например, нарушение конфиденциальности сведений о состоянии счетов и операциях клиента (т. е. нарушение банковской тайны) возможно в тех случаях, когда информация такого рода передается через системы провайдеров (например, системы мобильной связи) в незащищенном виде. Впрочем, данная проблематика ближе, пожалуй, к вопросам ОИБ. Необходимо только подчеркнуть, что дополнительным, но часто забываемым нюансом становится обеспечение, по сути, доказательного подтверждения непричастности кредитной организации (ее персонала и руководства) к осуществлению зафиксированных противоправных действий, т. е. в случаях уже как бы «причастности» (в этом случае имеются в виду недостатки в содержании процесса ФМ, которые приводят к зависимости уровней банковских рисков, принимаемых кредитной организацией, от деятельности ее клиентов).
Эффективная адаптация процесса ФМ, как правило, невозможна без согласованного с соответствующими требованиями внесения изменений во все внутрибанковские процессы, так или иначе связанные с контролем управления финансовыми потоками и банковскими операциями. Поэтому в кредитной организации необходимо понимание зависимости результатов ФМ от его обеспечения со стороны таких процессов. Согласованная адаптация всех процессов требует наличия единой организационно-методической платформы, формирование которой обеспечивается руководством кредитной организации. Поэтому целесообразно наличие своего рода «политики» внедрения технологий электронного банкинга (а не просто политики информатизации), базирующейся на принципе «знай свои технологии», в которой описывались бы (регламентировались) все мероприятия, связывающие модернизацию внутрибанковских процессов. Руководству кредитной организации целесообразно рассматривать управление процессом ФМ и контроль над его осуществлением как неотъемлемую часть общебанковского процесса корпоративного управления. То и другое следует осуществлять в связи с адаптацией процесса УБР, поскольку ФМ должен рассматриваться и как составная часть этого процесса, которая в современных условиях приобретает все большее значение в связи в внедрением, развитием и широким распространением новых технологий электронного банкинга, а также быстрым ростом их клиентской базы и масштабов операций, проводимых в режимах, близких к РМВ.