Операции банков с платежными картами

• сбои в функционировании систем и оборудования;

• неблагоприятные внешние  обстоятельства, находящиеся вне контроля банка.

Основными направлениями  минимизации пластикового операционного  риска являются:

1. Контроль за совершением операций с использованием пластиковых (банковских) карт. Формы такого контроля:

- дополнительный контроль за операциями, подлежащими дополнительному контролю;

  - внутрибанковский (последующий) контроль;

- проверки, осуществляемые  органами управления путем запроса  отчетов и информации о результатах  деятельности структурных подразделений,  принимающих участие в осуществлении  операций с использованием банковских  карт, и разъяснений их руководителей  (в целях выявления недостатков  контроля, нарушений, ошибок);

  - контроль, осуществляемый руководителями «карточных» подразделений посредством проверки отчетов о работе подчиненных им служащих (на периодической основе);

  - проверка соблюдения установленных лимитов на осуществление операций с использованием банковских карт;

- система согласования (утверждения)  операций (сделок) и распределение  полномочий при совершении операций  с использованием банковских  карт, превышающих установленные  лимиты, или проводимых на условиях, отличающихся от стандартных;

-  материальный (физический) контроль, осуществляемый путем:  ограничения доступа к материальным  ценностям (заготовкам пластиковых  карт, персонализированным картам, ПИН-кодов и т.д.); пересчета материальных  ценностей (денежной наличности  в кассетах банкоматов, заготовок  и персонализированных карт); разделение  ответственности за хранение  и использование персонализированных  карт); разделение ответственности  за хранение и использование  персонализированных и неперсонализированных карт; обеспечение охраны помещений для хранения материальных ценностей, используемых при осуществлении операций с банковскими картами, и безопасности их перевозки.

2. Распределение функций  (должностных обязанностей) сотрудников.  Должностные обязанности сотрудников,  связанных с выпуском и обслуживанием  пластиковых (банковских) карт, распределяются  таким образом, чтобы:

  - исключить или свести к минимуму конфликт интересов (противоречие между имущественными и иными интересами банка, его служащих и клиентов, которое может повлечь за собой неблагоприятные последствия) и условия его возникновения;

  - исключить или свести к минимуму возможность совершения преступлений и осуществления других противоправных действий при совершении операций с банковскими картами;

  - исключить совмещение одним и тем же подразделением или служащим функций: совершения операций с банковскими картами и их регистрации и (или) отражения в бухгалтерском учете; санкционирования выплаты денежных средств и осуществления (совершения) их фактической выплаты (например, при выдаче наличных с карточного счета по паспорту в случае утраты карты); проведения операций по карточным счетам клиентов банка и финансово-хозяйственных операций самого банка, осуществляемых с использованием банковских карт; предоставления консультационных и информационных услуг клиентам по совершению операций с банковскими картами и совершения таких операций с теми же клиентами; оценки достоверности и полноты документов, представляемых при выдаче кредитной карты (расчетной карты с овердрафтом) и осуществления мониторинга финансового состояния заемщика.

3. Контроль за подбором и расстановкой кадров. В процессе минимизации операционного риска по операциям с использованием пластиковых (банковских) карт невозможно обойтись без контроля над персоналом.

4. Анализ клиентской базы. Данный анализ заключается в  том, что соответствующие службы  банка производят тщательную  проверку физических лиц и  организаций, претендующих на  получение пластиковых (банковских) карт, а также предприятий торговли, желающих участвовать в системе  эквайринга. Осуществляется также периодический мониторинг деятельности клиентов, уже имеющих банковские карты или находящихся на обслуживании в банке-эквайрере.

5. Контроль за функционированием оборудования и коммуникационных систем сводится к следующему:

- Мониторинг каналов  связи на наличие и продолжительность  сбоев, а также качеству связи;

- Мониторинг оборудования (банкоматов, POS-терминалов) на наличие  неисправностей и выявление их  причин;

  - Определению времени и материальных ресурсов, необходимых для устранения неисправностей.

Существуют и другие способы  минимизации рисков, это:

- развитие систем автоматизации  банковских технологий и защиты  информации;

-  передача риска или  его части третьим лицам (аутсорсинг);

  -  страхование риска и т.д.

Правовой риск риск возникновения у банка убытков вследствие: несоблюдения банком требований нормативных правовых актов и заключенных договоров; допускаемых правовых ошибок при осуществлении деятельности; нарушения контрагентами нормативных правовых актов, а также условий заключенных договоров.

Риск потери деловой репутации  риск возникновения у банка убытков в результате уменьшения числа контрагентов вследствие формирования в обществе негативного представления о финансовой устойчивости банка, качестве оказываемых услуг или характере деятельности в целом.

Стратегический риск риск возникновения у банка убытков в результате ошибок (недостатков), допущенных при принятии решений, определяющих стратегию деятельности и развития банка (стратегическое управление) и выражающихся: в неучете или недостаточном учете возможных опасностей, которые могут угрожать деятельности банка; в неправильном или недостаточно обоснованном определении перспективных направлений деятельности, в которых банк может достичь преимущества перед конкурентами; в отсутствии или обеспечении в неполном объеме необходимых ресурсов (финансовых, материально-технических, людских) и организационных мер (управленческих решений), которые должны обеспечить достижение стратегических целей деятельности банка.

Для определения влияния  мошеннических операций в платежной  системе на бизнес банка необходимо оценить следующие риски:

• Результатом проведения мошеннических операций чаще всего  являются финансовые потери банка или  его клиентов. В последнем случае необходимо учитывать риск потери клиента, если тот перестанет доверять сервисам, предоставляемым банком.

   Оценка финансового риска складывается из:

  - Оценки числа клиентов, пренебрегающих правилами безопасного использования банковской карты:

- оценка числа клиентов, хранящих ПИН-код вместе с картой;

- числа держателей, не установивших лимиты для операций по карте.

   Оценки эффективности сервиса смс-управления картой. Для проведения оценки необходимо проанализировать данные по использованию сервиса его клиентами, при этом следует учесть следующее:

  - число клиентов, не использующих все доступные возможности сервиса по управлению картой (например, на основании заявлений клиентов о мошеннических операциях, уведомления по которым они получали, но не могли отправить команду на блокировку карты; также можно проанализировать типы команд, используемых клиентами для управления ограничениями по своим картам);

- сравнение двух интервалов времени среднего времени между мошенническими операциями (отдельно в случае компрометации реквизитов карты, данных магнитной полосы, ПИН-кода) и времени реагирования подключенного к сервису клиента (отправка смс-команды управления, звонок в банк).

    Оценки финансового риска для держателей карты, группы держателей карт с учетом:

  - остатка по счету;

- лимитов по счету (снятие наличных, покупки в торгово-сервисных предприятиях, общий лимит на все операции);

- подключения к сервису смс-управления картой и эффективности его использования;

- соблюдение требований безопасного использования карты;

- статистического профиля.

• Репутации банка может  быть нанесен ущерб, если предоставляемые  им сервисы будут являться (или  казаться) небезопасными, а принимаемые  защитные меры неэффективными. Следует  учитывать мнение о банке в  области противодействия мошенничеству  в СМИ, среди других банков, МПС, правоохранительных органов и даже мошенников.

     Оценка репутационного риска складывается из:

- Оценки числа клиентов, считающих сервисы платежной  системы банка небезопасными.  Данная оценка потребует проведения  исследования с привлечением  ресурсов бизнес-подразделений банка.

  -  Оценки числа клиентов, отказавшихся от сервисов платежной системы банка из-за недостаточного обеспечения безопасности. Данная оценка потребует проведения аналитической работы с привлечением ресурсов бизнес-подразделений банка.

-  Оценки влияния успешного  взаимодействия с правоохранительными  органами по фактам мошенничества  на репутацию банка. Данная  оценка потребует проведения  исследования с привлечением  ресурсов подразделений банка,  обеспечивающих взаимодействие  с правоохранительными органами  и средствами массовой информации.

-  Оценки репутации  банка по направлению противодействия  мошенничеству сторонними банками,  международными платежными системами.

• Мошеннические операции в эквайринговой сети банка могут привести к временному прерыванию бизнеса в торгово-сервисных предприятиях с высоким уровнем мошенничества (в том числе как результат санкций МПС). В отношении эмиссии банк рискует потерять клиентов, которые из-за мошенничества или ввиду жестких мер по ограничению операций с банковскими картами могут вовсе отказаться от услуг банка, поэтому необходима непрерывность бизнеса.

А также риск бывает:

1. Физический - вероятность потерь, связанных с физической утратой ресурсов (оборудования, информации, специалистов). Виды физического риска:

- утрата персонализированных  и неперсонализированных карт;

- несанкционированный доступ  к содержимому банкоматов;

   - несанкционированный доступ к содержимому банкоматов;

- несанкционированный доступ  в операционные системы банкоматов  и терминалов, линий связи;

- несанкционированный доступ  в процессинговые и криптографические  системы, нарушение целостности  баз данных и систем информационной  безопасности.

2. Юридический - вытекает из невозможности законодательного принуждения контрагентов к выполнению договорных обязательств;

3. Взаимоотношений неблагоприятного  развития отношений с персоналом, клиентами, партнерами и общественностью.

4. Финансовый прямых финансовых потерь. Виды финансового риска:

-  мошеннического использования  карты;

- невозврата задолженности  по карте;

-  ошибочного (завышенного)  проставления расходного лимита  в авторизационной системе.

Необходимым предварительным  условием начала работ по управлению рисками в платежной системе  банка является сбор первоначальной статистики по реализованным инцидентам информационной безопасности, эффективности  применяемых в настоящий момент мер. Сбор статистических данных должен являться постоянно осуществляемым непрерывным процессом.

Для оценки рисков и эффективности  принимаемых мер необходимо рассчитать следующие величины:

 Эмиссия:

1. Годовые и квартальные  финансовые потери от мошенничества  по эмиссии общие, в расчете  на одну карту, одну транзакцию, единицу валюты транзакции, по типам мошенничества, по регионам.

2. Число мошеннических  операций общие, по типам продуктов, по регионам.

3. Средняя сумма остатков  на карточных счетах общая,  по типам продуктов.

4. Статистические профили  держателей карт.

5. Статистика по использованию  сервиса управления картой через  мобильный телефон смс-оповещение  о проведенных операциях и  управление лимитами и статусом  карты.

6. Статистическая обработка  совершенных мошеннических операций.

Эквайринг:

1. Годовые и квартальные  финансовые потери от мошенничества  общие, в расчете на один  терминал, одну транзакцию, единицу  валюты транзакций, по категориям  торгово-сервисных предприятий,  по регионам.

2. Число мошеннических  операций общие, по категориям торгово-сервисных предприятий, по регионам.

3. Оборот в эквайринговой сети общие, по категориям торгово-сервисных предприятий, по регионам.