Диссертация (1152347), страница 19
Текст из файла (страница 19)
Соблюдение принципа двойного контроля должно бытьзаложено при составлении операционных регламентов как мера защитныхмероприятий и аналогично другим принципам проверяться на предметсоблюдения в рамках проверок службой внутреннего контроля (Рисунок 3.3).ДвойнойконтрольПо моментувыполненияПо критериюохватаПо критериюавтомтаизацииПревентивныйПолныйСистемныйДетективныйЧастичныйМануальныйРисунок 3.3 - Типология реализации принципа «двойного контроля»Источник: Составлено автором102Опциональными характеристиками при внедрении данного принципаявляются: Превентивный или детективный контроль.
Безусловно, лучшей меройзащиты от риска является предварительная проверка более опытнымсотрудником действий, совершенных исполнителем. Однако такаяпроверка не всегда может быть произведена технически (например,системаобработкикарточныхпроводокнетребуетдвойнойавторизации). Кроме того, при анализе количества ошибок могут бытьвыявлены низкий потенциальный ущерб и частота случаев. В такомслучае в интересах улучшения скорости обслуживания клиентапредпочтение может быть отдано детективной проверке, котораяпозволит не избежать, но исправить операционную ошибку. Полный или частичный контроль.
Разумеется, проверка 100% данныхсотрудником с большим экспертным опытом предпочтительнеечастичной выборки. Однако в силу наличия статистических данных –незначительности риска и исторической частоты случаев ошибки –проверка может производиться выборочно. Важным аспектом такойпроверки является случайность компонентов выборки (то естьисполнителю не должно быть известно, какие операции выберетпроверяющий). Зачастую во избежание ошибки контролер можетвыбирать для проверки наиболее значительные по сумме операции,карты с наибольшим лимитом при одобрении заявки на их открытие ит.д.
Однако стоит помнить, что наибольшее число мошенническихслучаев связаны именно с операциями на небольшие суммы, которыеостаются незамеченными для банка, но в сумме за долгое времяиспользования мошеннической практики могут привести к серьезнымубыткам. Таким образом, принцип случайности в выборе операций дляпроверки необходимо соблюдать. Системный или мануальный контроль.
Под данной классификациейпонимаетсятребованияпрограммногообеспечениякдвойной103авторизации действий исполнителя или их отсутствие. Так, банковскоепрограммное обеспечение, например, при зачислении переводов накарты или накопленных бонусных баллов может быть настроено такимобразом, что действие можно произвести только после одобрениядействий исполнителя сотрудником со старшей ролью в системе.
Такойвид контроля позволяет обеспечить неукоснительность вовлеченияконтролера, фиксировать время, потраченное им на проверку, а такжеего идентификационные данные.Безусловно, соблюдение принципа двойного контроля может вызватьскептическое отношение руководства коммерческого банка с точки зрениянеобходимости удвоения трудовых ресурсов на выполнение каждогооперационного действия. Однако при грамотном его внедрении и соблюдениипринципа максимальной автоматизации, один контролер может покрыватьдействия трех исполнителей, обеспечивая при этом практически полнуюзащиту от операционного риска ошибки или недобросовестных действий.Конечно, полное исключение ошибки или вероятности сговора сотрудниковостается возможным, но вероятность наступления таких событий значительнониже.
Так, на практике используется постановка индикаторов продуктивности(KPI) для исполнителя и проверяющего. При установленной норме в 2%ошибок для исполнителя и 2% ошибок проверяющего количество ошибок для10 тысяч обработанных операций снизится с 200 до 4 штук, что приведет кснижению общедопустимого процента ошибок до 0,04 %. При автоматизациипроцесса проверки действия, проверяющего могут занимать не более 15минут, однако, при отказе от проверки время подготовки корректировок,составления и одобрения служебных записок и, конечно, репутационныеиздержки перед пострадавшими клиентами составят большие затраты длябанка.5.Принциппроцессов.человеческогоБанковскоеконтроляпрограммноедляавтоматизированныхобеспечениепостоянносовершенствуется, стремясь покрыть те дефекты и зоны риска, которые104содержала предыдущая версия.
Может сложиться впечатление, что придолжной защите доступов системы полностью защищены от рисковтехнологических ошибок и подвержены лишь общим технологическимперебоям в работе (например, система Rainbow для Citigroup)69. Несомненно,при обработке значительных массивов данных системами, которые ужепрошли тестовый период, осуществлять полную проверку не представляетсяцелесообразным действием. Тем не менее, любая система не застрахована отошибки разработчика, относящейся к редкому сценарию или ведущей к стольмалой разнице, что заметить возможно лишь аккумулированный эффект отмножества случившихся событий.Примером может послужить вид мошеннической деятельности,основанныйнапробелевразработкепрограммногообеспечения,случившийся в западных банках в 10-ых годах.
Так, при переводе 1 польскогогроша на счет в евро, данная сумма была столь мала (при курсе 1 евро за 440грошей), что системная логика предусматривала зачисление клиенту 1 евроцента. В результате создания недобросовестным клиентом программы,генерировавшей такой перевод каждые 10 секунд, за 1 час клиент могобогатиться на 3,6 евро, что давало 86,4 евро в день. Контроль за логикойработы системы позволил бы избежать потерь банка, в месяц составившей2 592 евро.
Ежедневная выгрузка подозрительного количества переводов едвабы заняло более получаса трудовых ресурсов, что значительно нижепонесенных потерь. Кроме того, подобные проверки (например, 10 любыхопераций в день) позволяют выявить не только мошеннические схемы, но ипростые недоработки авторов программ.69Singh S.
We have changed banking much like Google has changed search. . [Электронныйресурс] // The Economic Times – 2012. – Режим доступа:http://articles.economictimes.indiatimes.com/2012-10-14/news/34449035_1_bank-branchesforeign-bank-citigroup/3 свободный.- Загл. с экрана. – Яз.англ. (дата обращения: 21.01.2016)1056. Повышение уровня автоматизации исполнения процессов сминимизацией человеческого вмешательства напрямую связано с принципомдвойного контроля.Однако в эпоху сокращения издержек, развития информационныхтехнологий и конкуренции между банками в части платежных технологиймаксимальная автоматизация операционных процессов должна являтьсяпервоочередной задачей какIT-департамента, так и подразделений,отвечающих за операционную деятельность и риски.
Автоматизацияоперационных процессов, позволяя сократить трудовые ресурсы наисполнение действий, снижает риски человеческого фактора, обладает лучшейинформационной защитой от несанкционированных доступов и позволяетпереместить фокус операционной деятельности с исполнения на контроль.Так, прямая автоматизированная отправка файла с одобренными заявками навыпуск карт напрямую производителю карт дает возможность исключитьдоступ сотрудников банка к конфиденциальным данным карты, как длякопирования или распечатки файлов, так и простой фотографии на мобильныйтелефон и избежать убытка от мошеннических операций.7. Принцип составления «полученного урока»по результатамнаступления рискового события (Таблица 3.1).Очевиднойистинойявляетсянеобходимостьреагированиянаслучившееся непредусмотренное рисковое событие, защита от которого небыла организована или же была организована не должным образом.
Ксожалению, при очевидности данной необходимости в любой сферечеловеческой жизнедеятельности, регламенты, политики и процедурыкоммерческого банка не всегда должным образом содержат в себе алгоритмотработки «полученного урока». Полагаем, что для успешной реализациипринципа в целях будущей защиты от риска операционный процесс долженсодержать в себе следующие этапы.106Таблица 3.1 - Механизм внедрения в коммерческом банке принципа«полученного урока»№Этапы контроля соблюдения принципа «полученного урока»1Запрос службой внешнего регулярного отчета о рисковых событиях, произошедшихза день или неделю. Каждому событию и ущербу от него соответствуют описание«полученного урока» и предлагаются меры по улучшению текущих продуктов ипроцессов для нивелирования риска.В зависимости от величины ущерба или вероятности повторения события сбольшим ущербом служба внешнего контроля выбирает наиболее значимыесобытия для дальнейшей эскалации руководству банка и отделу риск-менеджмента.События, обнаружившие наибольшую уязвимость или вызывающие затруднения поразработке мер защиты, выносятся на ежемесячное обсуждение созданной внутрибанка комиссии по борьбе с рисками.234В рамках регулярного мониторинга (не реже ежегодного) проверяются служебныезаписки о списании сумм на убытки для проверки факта отчета и «урока» орисковом событии, вызвавшем убыток.Источник: Составлено авторомНетрудно заметить, что практически все принципы связаны с самимэтапом первичного и повторного контроля в модели FERMA и, очевидно,соблюдением принципов № 8-9 мониторинга и пост-контроля в любой системеуправления рисками вообще и предложенными для исследуемой нами моделив частности.Подобныймониторингможноклассифицироватьподвумнаправлениям, определяющим частоту и уровень эскалации результатовпроведенной проверки:1.
Мониторингипост-контрольрисковыхфакторовнавсехиерархических уровнях коммерческого банка.2. Мониторинг и пост-контроль рисковых факторов на ежедневном,еженедельном, ежегодном уровнях.Сущностнымобобщениемдвухданныхпринциповявляетсявыполнение мониторинга и пост-контроля рисковых событий, их эффекта иобязательных реакционных мер на всех уровнях иерархии и частоты.Контрольдолженбытьвсеобъемлющим,регулярным,частымидокументированным. Модель реализации данных принципов представлена на107рисунке 3.4, где множество эскалированных для обсуждения рисковыхсобытийопределяетсяпеременнымиуровняслужебнойиерархииикатегорией полученного или потенциального убытка.УровеньиерархииУбытокОченьвысокийВысшееруководствоВысокийДиректорнаправленияСреднийРуководительподразделенияНизкийРуководительотделаОченьнизкийЕжедневноЕженедельноЕжемесячноЕжегодноЧастотаотчетностиРисунок 3.4.
– Модель мониторинга и контроля рисков обращенияплатежных карт в коммерческом банкеИсточник: Составлено авторомОтметим, что очевидной третьей координатной осью могла бы служитьчастота отчетности (ежедневная, еженедельная и т.д.) и логичнымпредположением было бы совпадение её направления с осями служебнойиерархии и величины убытка. Однако на наш взгляд, временная ось в данномслучае не является переменной для исследуемого множества, так какежедневная отчетность о рисковых событиях должна присутствовать на всехиерархических уровнях для своевременного уведомления и реакции насобытия.
Конечно, наименее значительные события достаточно эскалировать108до уровня руководителей подразделения или департаментов. Таким образом,приходим к выводу о применимости изображенной на рисунке 3.4 модели дляежедневного, еженедельного, ежемесячного и ежегодного обсуждения.Итак, в исследовании была выбрана модель управления карточнымирискамииразработаны9обязательныхпринциповеевнедрения,соответствующие отдельным её этапам.
Незначительно опередив ходповествования, была предложена модель мониторинга и пост-контроляпроцесса управления риском платежных карт.3.2 Процедуры управления рисками обращения платежных карт в СУРОПК коммерческого банкаНа основе выделенных в параграфе 3.1 принципов управления рискамиобращения платежных карт, предлагаемых как наиболее эффективные натекущей стадии развития риск-менеджмента данного продукта, определимпроцедуры каждого этапа развитой модели управления риском ОПК.Первым этапом реализации модели риск-менеджмента, как былопредставлено на рисунке 3.1 выше, является оценка риска, заключающаяся внеобходимости идентификации рисков, их анализа и оценке их значимостидля коммерческого банка, с учетом специфики существующей и планируемойассортиментнойлинейки,целевойаудиторииитехнологическойинфраструктуры.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
