Интернет-эквайринг: первая линия эффективной защиты
"Внутренний контроль в кредитной организации", 2014, N 4
Интернет-эквайринг подвержен не только специфическим рискам, свойственным платежным технологиям с применением электронных средств платежа, но и рискам, которые сопряжены с использованием мобильных устройств и сети Интернет. Но чем эффективнее организована контрольная среда, тем меньше их вероятность на разных этапах жизненного цикла продукта: от разработки до технологии его реализации и сопровождения. Каковы источники риска и наиболее вероятные риск-факторы в интернет-эквайринге? Как выстроить защиту?
В прошлом номере мы рассмотрели основные условия эффективного функционирования первой линии защиты, а также ее роль в системе управления рисками, основанной на модели трех линий защиты <1>. Тема вызвала большой интерес у читателей, поэтому мы решили более подробно остановиться на условиях, необходимых для поддержания полноценной и эффективной первой линии. В качестве примера проанализируем условия оказания банком-эквайрером услуг по операциям, совершенным в сети Интернет.
<1> Бурдонова М.П. Исполнение функций контроля первой линии // Внутренний контроль в кредитной организации. 2014. N 3. С. 71 - 80.Что делает первую линию защиты эффективной?
Полноценное и эффективное функционирование первой линии защиты означает, что бизнес-подразделения принимают активное участие в управлении рисками, которые вытекают из совершаемых операций и сделок. Для достижения этой цели в банке должны быть внедрены:
- риск-взвешенная система мотивации, распространяющаяся на всех работников, принимающих участие в совершении операций, которые, с одной стороны, приносят доход, а с другой - могут порождать риски;
- эффективная система контроля, включающая как ежедневные контрольные процедуры, интегрированные в бизнес-процессы, так и периодический контроль и аудит.
Система мотивации - отдельная тема, которую, возможно, стоит обсудить, но в данной статье акцентируем внимание на практических аспектах организации системы контроля.
Конечно же, эффективное функционирование первой линии защиты невозможно без полноценно функционирующих второй и третьей линий. Будем исходить из того, что читатели уже знакомы с основными принципами организации системы управления рисками в соответствии с моделью трех линий защиты. Тем не менее, обратим внимание на нюансы, вызывающие неоднозначные мнения даже у ведущих экспертов.
К третьей линии относится функция независимого аудита, в том числе направленная на оценку эффективности контрольной среды на первом и втором уровнях. Однако в рамках организационной структуры большинства банков далеко не всегда можно провести четкую границу между первой и второй линиями. Однозначно относятся ко второй линии только службы по управлению рисками и комплаенс-контроля. Отсутствие границы обусловлено тем, что на одно подразделение могут быть возложены функции как первой, так и второй линий защиты. Одним из наглядных примеров такого совмещения является служба безопасности банка.
К функциям второй линии, которые во многих банках реализуются службой безопасности, можно отнести:
- разработку правил/процедур, обязательных при заключении договорных отношений с клиентами и контрагентами, которые реализуются подразделениями, относящимися к первой линии;
- разработку правил/процедур, направленных на противодействие внутреннему и внешнему мошенничеству и контроль их соблюдения;
- проведение служебных расследований и проверок;
- оценку благонадежности клиентов в целях оценки целесообразности договорных отношений (в т.ч. заключения кредитных, инвестиционных договоров, договоров банковского счета/вклада, договоров о проведении расчетов по операциям, совершенным в сети Интернет с использованием банковских карт, и пр.);
- оценку благонадежности контрагентов в рамках заключения хозяйственных договоров и договоров страхования;
- иные контрольные функции, направленные на обеспечение безопасности.
Одновременно с перечисленными служба безопасности банка может осуществлять и бизнес-функции, которые по своей природе относятся к функциям первой линии, например:
- управление портфелем просроченных ссуд;
- взаимодействие с правоохранительными органами в интересах и от имени кредитной организации;
- иные текущие (неконтрольные) функции, осуществляемые в рамках исполнения функциональных обязанностей.
Банк самостоятельно определяет степень вовлеченности службы безопасности в процессы совершения операций и сделок, в том числе в принятие решений об их совершении. Это, как правило, зависит от масштабов банка, количества обособленных подразделений, сложности организационной структуры, штатной численности службы безопасности, уровня автоматизации, риск-аппетита, установленного как для всей кредитной организации, так и для отдельных направлений деятельности, а также от прочих организационных и функциональных условий.
Аналогичный анализ функций других банковских подразделений (служб) позволит включить в список "совместителей" кадровую, юридическую, финансовую службы, службу информационной безопасности и прочие подразделения, которые в рамках своей профильной деятельности уполномочены формировать правила, обязательные для исполнения первой линией, а также контролировать их соблюдение.
Вторая и третья линии - для первой
В большинстве случаев контрольная среда для первой линии формируется второй линией или с ее непосредственным участием. Третья линия осуществляет ее независимый аудит и дает рекомендации по совершенствованию. Иногда система контроля операций, реализуемых подразделениями, совмещающими функции первой и второй линий, ослаблена, так как эти подразделения традиционно считаются контролирующими, то есть представляющими вторую линию. Эти нюансы стоит учитывать при разработке контрольных процедур, чтобы не допустить ситуаций, когда заинтересованные подразделения проводят операции единолично от начала до конца.
Идентифицировать и оценить риски, расставить приоритеты
Для организации контрольной среды последовательно реализуются процедуры идентификации и оценки рисков, которым подвержены банковские процессы. Подходы к реализации каждый банк определяет самостоятельно. Главное, чтобы в результате было сформировано суждение об эффективности контрольных мероприятий и даны соответствующие рекомендации. Если оценивать этот процесс системно, то должна быть соблюдена последовательность следующих шагов.
Шаг 1. Идентифицировать:
а) операции/сделки, относящиеся к первой линии (в разрезе направлений деятельности);
б) бизнес-процессы, реализуемые для их осуществления;
в) ресурсы, задействованные в бизнес-процессах.
Шаг 2. Оценить:
а) риски, присущие бизнес-процессам (в разрезе видов рисков и их источников);
б) контрольные процедуры, направленные на минимизацию рисков;
в) остаточные риски.
Шаг 3. Расставить приоритеты, сделать выводы:
а) о достаточности контрольных процедур или их избыточности;
б) о необходимости оптимизации процесса (рекомендации).
Оценить эффективность процесса
Допустим, что вторая линия (при активном содействии первой линии) справилась со своей задачей: риски оценили, контроль внедрили и даже процессы изменили. Но подвох может заключаться в том, что эффективность "нового" процесса тоже может измениться, и не всегда в лучшую сторону. Поэтому ключевая задача третьей линии - оценка эффективности процесса. Основные параметры, заслуживающие внимания при оценке эффективности процесса, представлены на рисунке.
Оценка эффективности процесса
--------------------------------------------------------------------------¬
¦ Эффективность процесса ¦
L----------T-------------------T-----------------T----------------T--------
¦/ ¦/ ¦/ ¦/
---------------------¬-------------------¬---------------¬----------------¬
¦ Время ++ Риски ++ Качество ++ Стоимость ¦
LT--------------------LT------------------LT--------------LT---------------
¦-------------------¬ ¦-----------------¬ ¦-------------¬ ¦--------------¬
++ Сокращение сроков¦ ++ Определить ¦ ++ Целостность¦ ++ Стоимость ¦
¦¦ процесса ¦ ¦¦источники рисков¦ ¦¦ процесса ¦ ¦¦ персонала, ¦
¦L------------------- ¦L----------------- ¦L------------- ¦¦ участвующего¦
¦ ¦ ¦ ¦¦ в процессе ¦
¦ ¦-----------------¬ ¦ ¦L--------------
¦-------------------¬ ¦¦Проанализировать¦ ¦-------------¬ ¦--------------¬
¦¦ Оптимизация ¦ ++ контрольную ¦ ¦¦Конкурентные¦ ¦¦ Затраты на ¦
++ нагрузки на ¦ ¦¦ среду ¦ ++преимущества¦ ++ контрольную ¦
¦¦ персонал ¦ ¦L----------------- ¦L------------- ¦¦ среду ¦
¦L------------------- ¦ ¦ ¦L--------------
¦ ¦-----------------¬ ¦ ¦--------------¬
¦ ¦¦ Выявить ¦ ¦-------------¬ ¦¦ Выявление ¦
¦-------------------¬ ¦¦ недостаток или ¦ ¦¦ Соблюдение ¦ L+ наиболее ¦
¦¦ Повышение ¦ L+ избыточность ¦ L+ договорных ¦ ¦ затратных ¦
L+производительности¦ ¦ контроля ¦ ¦ отношений ¦ ¦ этапов ¦
L------------------- L----------------- L------------- L--------------
Рисунок Риски интернет-эквайринга
В открытом доступе есть много материалов, посвященных вопросам управления и аудита рисков, которым подвержены типовые направления деятельности (например, корпоративное и розничное кредитование, заключение и сопровождение договоров банковских счетов/вкладов, деятельность в области ПОД/ФТ и пр.). Однако рискам, которые угрожают банкам при проведении расчетов по операциям, совершенным в сети Интернет с использованием банковских карт (их реквизитов) (интернет-эквайринге), не уделено должного внимания, несмотря на то что продукт становится все более востребованным. Далеко не у всех банков он присутствует в продуктовой линейке, и на это есть свои причины. Поэтому рассмотрим более подробно условия выпуска данного продукта и риски, с которыми банк может столкнуться, оказывая услуги интернет-эквайринга.
Несмотря на схожесть с торговым эквайрингом, интернет-эквайринг имеет ряд существенных отличий, а его востребованность обусловлена стремительно меняющимися внешними условиями.
Необходимо учитывать, что продукт подвержен не только специфическим операционным рискам, свойственным платежным технологиям с применением электронных средств платежа, но и рискам, которые сопряжены с использованием мобильных устройств и сети Интернет. Все эти риски обладают способностью быстрой адаптации к контрольным процедурам. Публичные отчеты крупнейших международных консалтинговых компаний и компаний по предотвращению и расследованию киберпреступлений и мошенничеств (Javelin Strategy & Research, Group-IB) в унисон подтверждают стремительный рост преступлений в этой области. В 2013 г. потери от мошенничества с банковскими счетами и кредитными картами в США составили 16 млрд долл. США, что на 45% больше, чем годом ранее <1>.
<1> Ведомости, 8 сентября 2014 г.Но чем эффективнее будет организована контрольная среда, тем меньше будет вероятность реализации рисков. Их снижение положительно повлияет и на доходность продукта, которая считается невысокой. А в текущих условиях доходность - едва ли не ключевое условие внедрения продукта.
Итак, контрольная среда должна обеспечивать защиту от рисков, возникающих на разных этапах жизненного цикла продукта: от разработки до технологии его реализации и сопровождения. Инструменты снижения риска подразумевают как формирование качественной договорной базы, так и внедрение комплекса различных мероприятий, интегрированных в процессы заключения и сопровождения договора.
В таблице представлены результаты экспресс-анализа защищенности от рисков, которые могут возникнуть у банка при оказании услуги интернет-эквайринга. Данные отражены в разрезе основных источников риска и наиболее вероятных риск-факторов. Также указаны возможные инструменты снижения риска и дана экспертная оценка уровня защиты в случае их применения по трехбалльной шкале (низкий/средний/высокий).
Таблица
Анализ защищенности от рисков при оказании услуг интернет-эквайринга
Источник риска | Риск-фактор | Инструмент снижения риска | Уровень защиты |
Риск контрагента (торгово-сервисное предприятие (ТСП)) | Нарушение договора в части перечня продаваемых товаров/услуг | Требование информировать банк об изменении номенклатуры товаров, реализуемых ТСП | Высокий |
Регулярный мониторинг перечня товаров/услуг после заключения договора с ТСП | |||
Регулярная проверка наличия негативных отзывов о ТСП | |||
Продажа некачественных товаров/услуг | Сайт ТСП: проверка полноты описания товаров/услуг, в т.ч. публикации лицензий | Высокий | |
Сайт ТСП: проверка наличия полных данных о предприятии | |||
Сайт ТСП: проверка наличия информации о правилах проведения платежей (в т.ч. в случае возврата товара) | |||
Установление и контроль лимитов chargeback в режиме онлайн <*> | |||
Мониторинг отзывов о ТСП | |||
Нарушение требований в области ПОД/ФТ (в т.ч. обналичивание) | Мониторинг оборотов в части возвратов | Средний | |
Открытие счета в банке (контроль со стороны подразделения финансового мониторинга) | |||
Оценка ТСП службой безопасности | |||
Анализ баз данных МПС, МСС | |||
Риск внешнего мошенничества | "Белый пластик". Похищение карты или ее реквизитов | 3D Secure | Высокий |
Фрод-фильтры (скоринговая система) | |||
Мониторинг оборотов в части возвратов | |||
Закрепление в договоре права банка заблокировать операции (транзакции) ТСП при выявлении их сомнительности | |||
Требования к сайту ТСП в соответствии с правилами МПС | |||
Соответствие ТСП условиям PCI DSS | |||
Нелегальный доступ к содержимому сайта ТСП/DDoS-атака | Защита панели управления сайтом ТСП (панели администратора) посредством HTTPS, стойкого пароля; защита от подбора паролей роботами | Средний | |
Риск внутреннего мошенничества | Сговор с ТСП | Рассредоточение контрольных/инспекционных функций между разными подразделениями, в т.ч. службой безопасности | Высокий |
По правилам международных платежных систем (МПС) chargeback в размере более 1% может повлечь риск штрафа со стороны МПС.
Самый высокий риск, с которым может столкнуться банк-эквайрер, связан с недобросовестностью клиента. В частности, все неисполненные обязательства клиента - продавца товаров/услуг (Chargeback, штрафы) перекладываются на банк-эквайрер.
Управление рисками интернет-эквайринга
Для управления рисками, присущими интернет-эквайрингу, даже при наличии соответствующей лицензии и безупречной договорной базы рекомендуется разработать:
- требования к безопасности при предоставлении услуг интернет-эквайринга и соответствующий порядок проверки торгово-сервисных предприятий (в т.ч. их интернет-сайтов) на соответствие предъявляемым требованиям;
- типовую анкету потенциального клиента, которая позволит банку не только реализовать принцип "знай своего клиента", но и получить информацию о масштабах деятельности, особенностях организации бизнеса, порядке работы с клиентами (в т.ч. в случае возврата товаров), об истории взаимоотношений с контрагентами и покупателями (для изучения деловой репутации) и другую информацию для формирования и оценки профиля клиента;
- условия выявления сомнительных транзакций (скоринговую модель), осуществляемых в рамках предоставленной услуги. Варианты моделей и гибкость их настроек зависят от технологической платформы (промышленная антифродовая система или собственные разработки IT-инфраструктуры/постановка задач стороннему процессингу или свой процессинговый центр). Система, позволяющая проводить анализ транзакций в режиме онлайн, существенно снижает риски мошенничества в отличие от офлайн-мониторинга;
- порядок взаимодействия подразделений, участвующих в процессе на различных этапах заключения и сопровождения договора. Данный порядок должен в том числе подробно регламентировать следующие процедуры/содержать следующие условия:
- периодичность выполнения каждого этапа проверки (онлайн/единоразово/перед заключением договора/ежедневно/ежеквартально/внезапно/не реже одного раза в год и т.п.);
- порядок реагирования/взаимодействия подразделений и должностных лиц в случаях, если на каких-либо этапах проверки будет выявлена информация, препятствующая заключению договора/его дальнейшему обслуживанию или повышающая риски банка;
- порядок и форму фиксации результатов проверки (кто, когда проверял, с каким результатом), а также место их хранения;
- признаки/условия, изменение которых требует реагирования со стороны банка, и порядок реагирования (в т.ч. эскалации) на изменения.
Для повышения рентабельности продукта может применяться гибкая модель тарификации предоставляемых услуг. Наиболее распространенная модель предполагает зависимость размера комиссий от профиля клиента, оборотов денежных средств (в т.ч. предполагаемых), сроков перечисления денежных средств на счет клиента (например, в рамках одного дня - самый высокий тариф, не позднее следующего дня - средний тариф, до 7 дней - низкий тариф), наличия расчетного счета в банке и возможности сохранения на нем неснижаемого остатка, а также от прочих условий, которые могут повлиять на оценку рисков при предоставлении услуги.
Стоимость услуги и экономический эффект от ее реализации, учитываемый в системе мотивации сотрудников и руководителей соответствующих бизнес-подразделений, должны учитывать все возможные риски.
Если банк является эмитентом банковских карт, дополнительным источником информации для оценки подверженности услуги/продукта рискам служат статистические данные о количестве оспариваемых клиентами операций, совершенных в сети Интернет с использованием банковских карт и (или) их реквизитов. Подобная статистика, как правило, есть в подразделении по управлению операционными рисками. В любом случае для готовности оперативного реагирования на быстро меняющиеся условия должна быть выстроена эффективная система мониторинга тенденций как внутри банка (в т.ч. технологическая платформа), так и на внешнем рынке.
Интересно, что Visa и MasterCard тоже адаптируются к возрастающим рискам и недавно объявили о внедрении новой технологии защиты данных владельцев банковских карт (т.н. токенизации), которая заключается в использовании уникального кода, позволяющего не хранить такие данные, как номер счета и срок действия карты, но при этом идентифицировать ее владельца. Эта технология позволит не держать информацию о владельцах карт на серверах торгово-сервисных предприятий (потенциальных клиентов). Информация будет находиться у эмитента карты или процессинговой компании в виртуальном хранилище. Такая мера позволит повысить безопасность электронных платежей и снизить риски как у торгово-сервисных предприятий, так и у банков-эмитентов <1>.
<1> Ведомости, 8 сентября 2014 г.Таким образом, анализ рисков, которым подвергается банк при оказании услуг интернет-эквайринга, дает основания считать этот продукт высокорискованным. Поэтому при включении его в линейку продуктов банкам придется приложить немало усилий для организации контрольной среды, обеспечивающей защиту от рисков. В качестве инструментов снижения рисков мы рассмотрели примеры организационных, регламентирующих и технологических мероприятий. Учитывая невысокую доходность продукта, перед подразделением внутреннего аудита стоят задачи по оценке организации контрольной среды, обеспечивающей снижение рисков при функционировании процесса, а также по общей оценке его эффективности с учетом доходности продукта и затрат на организацию контрольной среды.
В периоды ухудшения экономической ситуации падение потребительского спроса неизбежно приводит к снижению доходности банковского бизнеса и всплеску мошенничества. Поэтому банкам следует уделить особое внимание организации (модернизации) внутренней контрольной среды, чтобы при проведении операций и оказании услуг не допускать повышения уровня риска или поддерживать его на приемлемом уровне.
М.П.Бурдонова
Начальник
управления нефинансовых рисков
АКБ "РосЕвроБанк" (ОАО)