Мошенничество в платежной сфере. Бизнес-энциклопедия (неизвестный) - страница 64
Поэтому хорошей практикой при переходе кредитной организации к внедрению ТЭБ можно было бы считать включение в состав службы ВК специалистов, имеющих такую квалификацию, как, например:
— Certified Information Systems Auditor (CISA) — сертифицированный аудитор информационных систем;
— Certified Information Systems Manager (CISM) — сертифицированный менеджер информационных систем;
— Certified Information Systems Security Professional (CISSP) — сертифицированный профессионал по безопасности информационных систем;
— Certified Fraud Examiner (CFE) — сертифицированный инспектор по мошенничеству,
или аналогичную им, хотя специалистов, имеющих соответствующие сертификаты, в России до настоящего времени немного[87]. Обеспечение полной совокупности квалификационных качеств вряд ли достижимо для большинства российских кредитных организаций, однако целесообразно все же осознавать значимость их наличия в современном высокотехнологичном банке.
В то же время служба ВК не должна работать в «безвоздушном пространстве» — эффективный контроль в высокотехнологичных кредитных организациях возможен только в том случае, если в них сформирована система ВК (СВК). Собственно указанная служба является только «ядром» СВК, а ее элементы («датчики») следует располагать во всех структурных подразделениях кредитной организации, во всяком случае — в критически важных для обеспечения надежности банковской деятельности. В число этих подразделений входят, естественно, как минимум ИТ, ОИБ, УБР, юридический департамент и, возможно, ряд других. Организационная схема, соответствующая описанному подходу, может иметь вид, как на рисунке 3.5.
Рис. 3.5. Взаимодействие структурных подразделений кредитной организации в целях обеспечения осуществления ВК
Одно из главных требований, неизбежно следующее из понятия надежной банковской деятельности, — это наличие реальных гарантий того, что ИТ, БАС и все СЭБ действительно являются управляемыми и контролируемыми с подтверждением этого в том числе при внедрении новых ТЭБ. Руководству банков следует осознавать, что служба ВК является наиболее значимым ее подразделением, которое предоставляет руководству достоверную информацию о ее реальном функционировании и состоянии.
В одной из книг по тематике предотвращения мошенничества подчеркивается важность бдительности, умения и опыта своевременного обнаружения первых признаков нарушений, мошенничества и неправильного функционирования систем[88]. При этом отмечается, что, во-первых, высшим руководителям не следует слепо доверять своим подчиненным, должна существовать сбалансированная система проверок за счет наличия внутренних контрольных механизмов и регулярного внешнего аудита, и, во-вторых, что компьютерные системы должны быть эффективными, постоянно проверяться и контролироваться. Традиционного общего «бухгалтерского» ВК недостаточно, а для сохранения уверенности в конфиденциальности, целостности и доступности точной и своевременной информации для принятия решений важно проводить регулярный (по мнению БКБН, как минимум ежегодный) аудит информационных систем. Также немаловажно использовать в аналитических процедурах, связанных с контролем деятельности пользователей ДБО и претензионной работой (см. следующий подраздел), дополнительные технологические признаки возможной ППД, к примеру присутствие в трафике анонимных прокси-серверов или появление каких-то ордеров клиента, связываемых с разными группами IP-адресов, или же близких по времени поступления данных о транзакциях (например, карточных) из удаленных друг от друга мест и т. п. — подобные факты должны настораживать сотрудников ОИБ и ФМ банка как своего рода «разведпризнаки» ППД. Поэтому целесообразно внедрение таких аналитических программ ФМ, которые способны реализовывать экспертную логику такого рода