26 октября, 2010, BIS Journal №1(1)/2011

Укротитель правовых рисков


Беликов Александр

Начальник отдела сопровождения информационной безопасности – удостоверяющего центра управления информационной безопасности Департамента безопасности (ОАО «Россельхозбанк»)

Минимизировать правовые риски IT-банкинга поможет эффективный риск-менеджмент

Для дистанционных банковских услуг риск правовой (legal risk), вынужденного обслуживания возможных убытков − среди самых значимых. Согласно рекомендациям Базельского комитета по банковскому надзору и регулированию (Basel II) и требованиям Европейского банка реконструкции и развития (ЕБРР), кредитная организация рассматривает правовой риск как составную часть операционного. Чтобы свести правовые риски к минимуму, кредитные организации должны выстраивать эффективные системы риск-менеджмента.

НЕ ДОВОДЯ ДО СУДА

В США первое крупное «компьютерное» хищение в банке суммы, в несколько десятков миллионов долларов, произошло еще в 1974 году. В России такие виды дистанционного банковского обслуживания, как интернет-банкинг, стали предлагаться существенно позже, с «дефолтного» 1998 года. По мере стремительно роста интернет-банкинга информационные угрозы растут, мошенничества и хищения в виртуальном пространстве хоть редко, да случаются.

Информационные угрозы несут кредитным организациям разнообразные риски: кредитные, фондовые, валютные, процентные, потери ликвидности, ущерба репутации и многие другие. Перечень угроз для конфиденциальной информации обширен: от сетевых распределенных атак до кражи персональной информации пользователей, в том числе реквизитов банковских карт. Один из самых неприятных − правовой риск вынужденного обслуживания возможных убытков.

Как минимизировать правовые риски, связанные с новыми технологиями банковского обслуживания? Риск-менеджмент, или управление правовыми рисками ради их минимизации, − традиционный приоритет для дистанционного банковского обслуживания. Основным принципов является выработка методов управления рисками в соответствии со стратегией и политикой управления банковскими рисками в целом.

Внешние факторы правовых рисков разнообразны. В их числе и несовершенство правового регулирования и надзора, и неполная стыковка ряда федеральных законов, и законодательные новации, и некорректные применения норм иностранных законов и международного права. Поэтому во многих случаях, когда клиенты и контрагенты не соблюдают федерального законодательства и условий заключенных договоров, договориться по спорным вопросам не получается, и кредитной организации приходится обращаться в суд.

ПОД КОНВОЕМ ЮРИСТОВ

Многочисленны и внутренние факторы правовых рисков. Среди них − несоблюдение кредитной организацией законодательства РФ, в частности, требований идентификации и изучения внутренних документов кредитных организаций, клиентов и выгодоприобретателей, к выгоде которых действуют клиенты. Другой негативный фактор − несоответствие внутренних документов федеральным законам и нормативным актам Банка России.

Неэффективная организация правовой работы в кредитной организации приводит к правовым ошибкам персонала. Тогда резко возрастает опасность нарушений кредитной организацией условий договоров дистанционного банковского обслуживания. Правовые ошибки выражаются в неправильных юридических консультациях, ошибках при составлении документов, в том числе для рассмотрения спорных вопросов в судах.

Реструктуризация технологической деятельности подразделений кредитной организации не должна сопровождаться чрезмерным возрастанием уровня рисков. Разработка, внедрение и адаптация инновационных технологий могут сопровождаться некачественным юридическим сопровождением.

Искусство управления правовыми рисками помогает минимизировать или вовсе свести на нет убытки, в том числе в виде выплат по решениям судов. В особенности в системе дистанционного банковского обслуживания, для других новых технологий банковских операций и сделок, а также при освоении новых рынков или расширении области услуг.

Для выявления и оценки факторов правовых рисков кредитной организации применяются различные методы идентификации и получения сведений о клиентах дистанционного банковского обслуживания и выгодоприобретателях. Вплоть до привлечения аудиторских компаний. Главный принцип, в соответствии с требованиями федерального законодательства − «знай своего клиента».

В первую очередь нужна чёткая регламентация информационного обмена между подразделениями и служащими − определение оснований, порядка и периодичности предоставления отчетов и прочей информации о правовых рисках. Распределение полномочий и ответственности между подразделениями и служащими исключает пересечение их функций. Эффективность управления правовыми рисками выявляется специально проводимыми контрольными мероприятиями.

НЕПРОБИВАЕМЫЙ ФОРМАЛИЗМ

Уровень правовых рисков оценивается по динамике количества − росту либо сокращение количества жалоб и претензий клиентов и контрагентов кредитной организации. Другие показатели − статистика случаев нарушения федерального законодательства, в том числе законов о рекламе, банковской и иной охраняемой законом тайне. Степень соответствия нормативных документов кредитной организации и технологических процессов требованиям закона, отраслевых стандартов и нормам международного права может быть выявлена посредством аудита.

Жизненно важен регулярный анализ влияния факторов правовых рисков на показатели деятельности кредитной организации. Строгим индикатором является частота и степень различных мер воздействия  на кредитную организацию со стороны органов государственного регулирования и  надзора. Интегральный показатель уровня правовых рисков − количество и размеры проигранных судебных исков и, соответственно, выплат по решениям судов и иных уполномоченных органов.

Главный способ борьбы с правовыми рисками – последовательная формализация процессов правового сопровождения планирования, мониторинга и контроля банковских операций. Средство − разработка в кредитной организации соответствующих внутренних нормативных документов. Есть несколько действенных основных методов минимизировать правовые риски. Разрабатываются локальные нормативные акты, готовятся типовые форм договоров. Определяется внутренний порядок согласования их визировании, в особенности − всех, отличающихся от стандартизированных и типовых. Выполнение этих требований контролируется.

Выведение на рынок всех новых банковских продуктов, связанных с использованием инновационных технологий, в обязательном порядке сопровождается сотрудниками юридических подразделений кредитной организации. Для дистанционного банковского обслуживания стандартизуются ключевые банковские операции − порядок, процедуры и технологии. Распределяются «зоны ответственности» кредитной организации и клиента. Клиент документально предупреждается о возможных приёмах мошенничества.

ПРАВОВАЯ ТЕХНИКА

Мониторинг правовых рисков предполагает постоянное наличие свежей информации о последних нормативных актах Банка России, обо всех изменениях в федеральном законодательстве и отраслевых стандартах, нормах международного права. Все эти изменения должны своевременно учитываться во внутренних нормативных документах, а также оперативно доводиться до сведения максимально широкого круга сотрудников кредитной организации. Лучших по влиянию на снижение уровня правовых рисков предпочтительно стимулировать.

Применяются и технические меры минимизации правовых рисков при дистанционном банковском обслуживании. Адрес операционного web-сайта, который нельзя путать с информационным, является конфиденциальной информацией. Он должен сообщаться только зарегистрированным пользователям системы дистанционного банковского обслуживания в порядке, установленном кредитной организацией. Нельзя использовать прямые ссылки − точки входа с информационных WEB-сайтов на операционные сайты кредитной организации или приводить на них сведения о таких точках входа − адресах.

Недопустимо ни назначать URL-адреса (Uniform Resource Locator- унифицированный указатель расположения ресурса) операционным web-сайтам, ни регистрировать их на серверах доменных имен. Нельзя осуществлять доступ к операционным web-сайтам при помощи IP-адресации (способа числовой идентификации пользователей и ресурсов интернета). Порой, чтобы выполнить эти требования, приходится идти на существенные изменения используемых технологий. Не следует осуществлять вход на операционные web-сайты с применением в отношении зарегистрированных пользователей процедур идентификации − установления личности или аутентификации − проверки соответствия предъявленному им идентификатору.

Во всех режимах работы web-сайта информационный обмен банка с клиентом должен осуществляться с использованием средств шифрования. Электронный документооборот между кредитной организацией и клиентами через операционный web-сайт требует использования средств аутентификации электронных сообщений, контроля целостности и подтверждения подлинности электронного сообщения, в том числе электронной подписи.

Параметры управления правовыми рисками различных инструментов дистанционного банковского обслуживания, нуждаются в проверке на адекватность действующей в кредитной организации политике информационной безопасности. Дисбаланс даже одного параметра управления правовыми рисками с другими недопустим. Правильно выстроенная и сбалансированная система управления правовыми рисками минимизирует существующие угрозы и существенно облегчает жизнь кредитно-финансовой организации.

 

Смотрите также

Подпишись на новости!
Подписаться