ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО

от 31 марта 2008 года N 36-Т

О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга

В соответствии с Положением Банка России от 16 декабря 2003 года N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", зарегистрированным Министерством юстиции Российской Федерации 27 января 2004 года N 5489, 22 декабря 2004 года N 6222 ("Вестник Банка России" от 4 февраля 2004 года N 7, от 31 декабря 2004 года N 74) одной из целей внутреннего контроля является обеспечение эффективного управления банковскими рисками.

Банком России направляются для использования в работе Рекомендации по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга.

Настоящее письмо подлежит опубликованию в "Вестнике Банка России".

Первый заместитель председателя
Центрального банка
Российской Федерации
Г.Г.Меликьян

Приложение
к письму Банка России
от 31 марта 2008 года N 36-Т
"О Рекомендациях по организации
управления рисками, возникающими
при осуществлении кредитными организациями
операций с применением систем
интернет-банкинга"

     

РЕКОМЕНДАЦИИ
по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга

Раздел 1. Общие положения

1.1. Для целей настоящих Рекомендаций используются следующие понятия:

Интернет-банкинг - способ дистанционного банковского обслуживания клиентов, осуществляемого кредитными организациями в сети Интернет (в том числе через WEB-сайт(ы) в сети Интернет) и включающего информационное и операционное взаимодействие с ними.

_______________

Определения понятий "WEB-сайт", "WEB-сервер" содержатся в Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет (приложение к Указанию оперативного характера Банка России от 03.02.2004 N 16-Т "О Рекомендациях по информационному содержанию и организации WEB-сайтов кредитных организаций в сети Интернет", "Вестник Банка России" от 11 февраля 2004 года N 11).

Информационный контур интернет-банкинга - совокупность взаимосвязанных компьютерных систем, устройств и каналов связи, используемых при обслуживании клиента (передаче информации от кредитной организации к клиенту и обратно с использованием сети Интернет, а также при обработке и хранении данной информации).

Провайдер - организация, предоставляющая кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающая доступ к информационно-телекоммуникационным сетям.

Система интернет-банкинга - информационная система, используемая кредитной организацией для обслуживания клиентов в сети Интернет.

Риски интернет-банкинга - риски, возникающие при осуществлении кредитными организациями операций с применением систем интернет-банкинга.

Ордер клиента - любое дистанционное обращение клиента кредитной организации с помощью системы интернет-банкинга за оказанием банковских услуг (получение выписки со счета, осуществление банковской операции и так далее).

1.2. Настоящие Рекомендации разработаны в целях обеспечения:

надежного дистанционного банковского обслуживания с применением систем интернет-банкинга, отвечающего требованиям клиентов кредитной организации в части доступности, функциональности и защищенности операций и данных интернет-банкинга;

соответствия дистанционного банковского обслуживания с применением систем интернет-банкинга требованиям законодательства Российской Федерации, в том числе нормативных актов Банка России, по вопросам банковской деятельности и управления банковскими рисками;

информационной безопасности систем интернет-банкинга, в том числе защиты информационных ресурсов кредитной организации от неправомерного доступа с применением интернет-технологий;

контроля за банковскими операциями, осуществляемыми клиентами с применением систем интернет-банкинга, в рамках системы внутреннего контроля кредитной организации;

противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также исключению вовлечения кредитной организации в противоправную деятельность при использовании дистанционного банковского обслуживания с применением систем интернет-банкинга;

достоверности, полноты и своевременности учета данных об осуществлении банковских операций с применением систем интернет-банкинга;

поддержания уровней банковских рисков, связанных с дистанционным банковским обслуживанием с применением систем интернет-банкинга, в пределах, установленных кредитной организацией.

Раздел 2. Банковские риски, возникающие при осуществлении кредитными организациями операций с применением систем интернет-банкинга

2.1. К банковским рискам, связанным с применением систем интернет-банкинга, относятся: операционный, правовой, стратегический риски, риск потери деловой репутации (репутационный риск) и риск ликвидности.

2.2. Причинами возникновения операционного риска при применении систем интернет-банкинга могут являться:

ненадлежащая организация информационных потоков, внутрибанковских процессов и процедур, а также обеспечения информационной безопасности как в самой кредитной организации, так и у провайдеров;

нарушения режимов функционирования используемых для интернет-банкинга информационных систем кредитной организации, связанные с авариями, отказами, сбоями оборудования и программного обеспечения самой кредитной организации или ее провайдеров;

ошибки и(или) сбои в работе аппаратно-программного обеспечения применяемых кредитной организацией систем интернет-банкинга, которые могут привести к нарушениям целостности данных в информационном контуре интернет-банкинга;

действия в отношении кредитной организации в виде неправомерного доступа с применением интернет-технологий к ее информационным ресурсам, в том числе при (для) совершении(я) преступных действий;

недостаточная производительность и защищенность информационных систем и информационно-телекоммуникационных сетей как кредитной организации, так и провайдеров, задействованных в информационном контуре интернет-банкинга (с учетом возможного неправомерного доступа с применением интернет-технологий);

ошибки служащих кредитной организации, ее клиентов или провайдеров (в том числе разработчиков программного обеспечения систем интернет-банкинга и устройств, входящих в информационный контур интернет-банкинга), а также недостаточный уровень контроля (в том числе программного) за возможностью их совершения;

невыполнение поставщиками услуг (исполнителями работ) договорных обязательств перед кредитной организацией;

невыполнение кредитной организацией обязательств перед клиентами из-за ненадлежащего качества аппаратно-программного обеспечения систем интернет-банкинга;

хищения денежных средств путем неправомерного использования ключа электронной цифровой подписи.

2.3. Причинами возникновения правового риска при применении систем интернет-банкинга могут являться:

нарушения кредитной организацией требований законодательства Российской Федерации, в том числе нормативных актов Банка России, из-за недостатков (ошибок) в аппаратно-программном обеспечении систем интернет-банкинга, результатом чего является возникновение оснований для применения мер за нарушения валютного законодательства Российской Федерации, банковской тайны, порядка организации и осуществления внутреннего контроля, в том числе в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, правил осуществления банковских операций, правил бухгалтерского учета, представления недостоверной отчетности;

несовершенство правовой системы (неурегулированность отдельных вопросов дистанционного банковского обслуживания с применением систем интернет-банкинга и ответственности сторон, в том числе при трансграничном оказании банковских услуг);

неправомерный доступ к конфиденциальной информации во время ее обработки, передачи или хранения как в самой кредитной организации, так и у провайдеров, с которыми кредитной организацией заключены договоры на обслуживание;

несоответствие внутренних документов кредитной организации законодательству Российской Федерации, в том числе нормативным, а также иным актам Банка России, и(или) неспособность кредитной организации своевременно приводить свою деятельность и внутренние документы в соответствие с изменениями законодательства;

неэффективная организация правовой работы, приводящая к ошибкам в действиях служащих и органов управления кредитной организации при разработке и внедрении новых интернет-технологий;

недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации, в том числе определение ответственности провайдеров при невыполнении обязательств по обслуживанию в рамках интернет-банкинга;

недостаточность проработки кредитной организацией правовых вопросов при заключении договоров с клиентами на оказание услуг интернет-банкинга, в том числе определение ответственности сторон при невыполнении обязательств;

нахождение филиалов кредитной организации, ее клиентов, пользующихся услугами интернет-банкинга, и провайдеров под юрисдикцией различных государств;

нарушения условий договоров со стороны как кредитной организации, так и ее клиентов и контрагентов.

2.4. Причинами возникновения стратегического риска при применении систем интернет-банкинга могут являться возможные убытки вследствие ошибочных решений органов управления кредитной организации в отношении внедрения, сопровождения и развития систем интернет-банкинга, что может быть обусловлено:

отсутствием или недостатками стратегического плана развития, предусматривающего применение систем интернет-банкинга;

невозможностью достижения стратегических целей, поставленных кредитной организацией, в связи с отсутствием или необеспечением в полном объеме необходимыми ресурсами (финансовыми, материально-техническими, людскими) и невыполнением организационных мер (управленческих решений) в области предоставления услуг интернет-банкинга;

чрезмерными затратами на внедрение и сопровождение систем интернет-банкинга и(или) их нерентабельностью, а также вынужденным отказом от использования уже внедренных в эксплуатацию технологий банковского обслуживания и соответствующих информационных систем кредитной организации;

ошибками в выборе видов услуг интернет-банкинга или реализующих его технических решений;

ошибками в политике кредитной организации по тем или иным направлениям банковской деятельности, связанным с применением систем интернет-банкинга.

2.5. Причинами возникновения риска потери деловой репутации (репутационного риска) при применении систем интернет-банкинга могут являться:

уничтожение данных о клиентах кредитной организации, их счетах и вкладах в связи с отказами оборудования, входящего в информационный контур интернет-банкинга, как в самой кредитной организации, так и у провайдеров;

утечка из кредитной организации конфиденциальной информации, в том числе нарушение банковской тайны (из-за сетевых атак в условиях дистанционного банковского обслуживания с применением систем интернет-банкинга, неправомерного доступа к информационным ресурсам кредитной организации и т.п.);

вовлечение кредитной организации в противоправную деятельность с применением систем интернет-банкинга из-за ненадлежащего исполнения обязанностей по идентификации клиентов, установления и идентификации выгодоприобретателей и установления личности лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами, находящимися на счете, используя аналог собственноручной подписи, коды, пароли и иные средства, подтверждающие наличие указанных полномочий, а также ошибок в сообщениях об авторизации и аутентификации при осуществлении банковских операций;

неправомерные воздействия на информацию, размещенную на WEB-сайте, используемом кредитной организацией, и(или) размещение на нем недостоверной, неполной или нежелательной для кредитной организации информации, негативно влияющей на ее деловую репутацию;

возникновение у кредитной организации конфликта интересов с учредителями (участниками), клиентами и контрагентами, а также другими заинтересованными лицами при осуществлении операций с применением систем интернет-банкинга;

негативная оценка клиентами качества предоставляемого дистанционного банковского обслуживания с применением систем интернет-банкинга;

нарушения непрерывности функционирования систем интернет-банкинга.

2.6. Причинами возникновения риска ликвидности при применении систем интернет-банкинга могут являться:

недостатки при управлении ликвидностью в условиях применения систем интернет-банкинга, препятствующие своевременному и полному выполнению кредитной организацией своих обязательств перед клиентами;

негативное влияние на выполнение обязательств кредитной организации нарушений в функционировании информационно-телекоммуникационных сетей, используемых для работы систем интернет-банкинга;

невозможность реализации высоколиквидных активов по причине сбоев в системах интернет-банкинга (а также в системах и комплексах провайдеров);

нарушения непрерывности функционирования систем интернет-банкинга;

использование систем интернет-банкинга для противоправных действий, наносящих ущерб клиентам кредитной организации или ей самой.

2.7. При использовании кредитной организацией нескольких систем интернет-банкинга рекомендуется учитывать возможное взаимное влияние источников (факторов) банковских рисков, сопутствующих каждой из этих систем.

Раздел 3. Принципы управления рисками интернет-банкинга

3.1. Управление рисками интернет-банкинга рекомендуется организовывать таким образом, чтобы обеспечить контроль за данным видом дистанционного банковского обслуживания в целом, в том числе в рамках функционирования аппаратно-программного обеспечения систем интернет-банкинга, осуществления отдельных операций и используемых при этом массивов банковских данных.

3.2. При организации управления рисками интернет-банкинга и принятии внутренних документов кредитной организации рекомендуется учитывать:

высокие темпы инновационных процессов в технологиях интернет-банкинга;

рост зависимости кредитной организации от информационных технологий в целом и от эффективности построения внутрибанковских автоматизированных систем;

интеграцию новых интернет-технологий в действующие внутрибанковские автоматизированные системы;

повышенную степень риска при осуществлении операций с применением систем интернет-банкинга ввиду возможности легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма;