Подразделения, ответственные за построение системы управления рисками, чаще всего слабо представляют себе специфику работы подразделений по работе с пластиковыми картами, а эти подразделения, в свою очередь, не имеют представления о требованиях Банка России и Базельского комитета по банковскому надзору, предъявляемых к построению этой системы.
В первую очередь следует отметить, что основная нагрузка по выявлению банковских рисков, возникающих при операциях с пластиковыми картами, лежит на подразделениях, непосредственно их осуществляющих. Подразделения по управлению рисками, если таковые в банке существуют, чаще всего занимаются аккумуляцией и оценкой поступивших сведений. Поэтому от того, насколько грамотно выстроена система отслеживания возникающих угроз в подразделениях и каким образом принимаются текущие решения, и зависит в основном функционирование системы управления рисками на данном направлении. В настоящей статье мы рассмотрим риски, возникающие именно в работе операционных подразделений по работе с пластиковыми картами (в системе управления рисками по данному направлению могут быть задействованы многие другие подразделения — кассовые, кредитные, по работе с АБС, с персоналом, по обеспечению информационной безопасности и т.п.), и обозначим основные «реперные точки», наличие в которых контрольных процедур поможет избежать большинства возникающих в процессе работы угроз. Многие из них являются структурообразующими и применяются в работе «по определению», однако их следует обозначить с тем, чтобы существовало четкое понимание их наличия и роли в системе.
В частности, мы априори предполагаем, что:
— банк имеет стратегию развития данного направления, адекватную масштабам его деятельности и имеющимся кадровым, техническим и технологическим ресурсам;
— банк выполняет все основные требования к организации его деятельности;
— банк разрабатывает внутреннюю нормативную базу на основании действующего законодательства и требований платежных систем, которая обозначает порядок совершения операций и взаимодействия подразделений на рассматриваемом направлении;
— квалификация сотрудников адекватна поставленным задачам;
— функциональные обязанности сотрудников распределены и закреплены соответствующими должностными инструкциями;
— конфликт интересов исключен;
— контроль за исполнением внутренних требований осуществляется на постоянной основе руководителями подразделений и/или такое право делегировано специально выделенным контролирующим сотрудникам/подразделениям;
— банк располагает достаточными технической и технологической базами, включающими контроль информационной безопасности.
Первый блок вопросов по банковским рискам, возникающим при совершении операций с пластиковыми картами, является общим как для дебетовых, так и для кредитных карт и связан с эмиссией. Под операциями эмиссии в рамках настоящей статьи мы будем понимать комплекс процедур, выполняемых банком, от момента оформления клиентом заявления на выпуск карты до момента ее получения.
Эти процедуры, в свою очередь, следует классифицировать по технологическим стадиям:
— оформление заявления операционным работником и передача заявления на обработку;
— собственно процесс выпуска карты (ее эмбоссирование и получение конверта с пин-кодом);
— приходование эмбоссированной карты в кассовое хранилище, а конвертов с пин-кодами — под отчет ответственным сотрудникам с последующей выдачей их клиенту.
На первой из перечисленных стадий следует учесть, что существуют обязательные требования платежных систем к оформлению заявлений на выпуск карт, и эти требования должны исполняться неукоснительно, особенно в части заполнения предусмотренных граф; вместе с тем на практике при проверках выявляются многочисленные неточности и ошибки при оформлении заявлений, что связано как с человеческим фактором, так и с особенностями клиентского обслуживания.
В связи с этим банку следует предусмотреть следующие процедуры, минимизирующие ошибки и неточности при оформлении заявлений:
— наличие утвержденной типовой формы заявления, соответствующей требованиям платежной системы, во внутренних документах и ее своевременную актуализацию;
— регулярное ознакомление операционных работников с внутренними документами по обслуживанию операций с пластиковыми картами, в том числе с типовыми формами используемых документов; эта процедура должна предусматривать как ознакомление вновь принятых на работу сотрудников, так и регулярные аттестации, так как во внутренние и внешние инструкции часто вносятся изменения;
— текущий контроль полноты и правильности оформления заявлений; наиболее целесообразной представляется их ежедневная проверка руководителем операционного подразделения в конце операционного дня. Это имеет значение еще и потому, что чаще всего одновременно с заявлением клиент заполняет анкету в соответствии с требованиями законодательства по противодействию легализации доходов, полученных преступным путем, и финансированию терроризма, и следует сличить оба документа, а также оценить представленную в них информацию на предмет выявления сомнительных операций;
— последующий контроль полноты и правильности оформления заявлений; если банк не имеет возможности проверять заявления ежедневно, следует предусмотреть проведение им регулярных последующих проверок (еженедельно, ежемесячно), выполняемых силами отдела, в котором находятся заявления. Здесь стоит обратить внимание, что из фронт-офиса заявления для обработки передаются в бэк-офис для осуществления собственно процессинга. Контроль полноты и правильности оформления заявлений может выполняться либо фронт-офисом (ежедневно, перед передачей их в бэк-офис), либо непосредственно бэк-офисом;
— обеспечение требований к сохранности заявлений и сохранению банковской тайны по содержащимся в них сведениям; эти процедуры могут значительно варьироваться в зависимости от системы защиты помещений бэк-офиса, наличия сейфов для хранения заявлений и т.п.
Собственно процесс персонализации карты включает в себя ряд рискоообразующих процедур, проводить которые следует с учетом того, что:
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
— заготовки (бланки) пластиковых карт до их эмбоссирования должны храниться с обеспечением правил ответственного хранения;
— оборудование для эмбоссирования должно соответствовать требованиям, установленным платежными системами;
— генерация паролей, пин-кодов и эмбоссирование карт должны выполняться на компьютере, изолированном от основной банковской сети с целью исключения несанкционированного доступа, с применением автоматических комплексов и программных средств, соответствующих требованиям платежной системы;
— эмбоссирование карт должно осуществляться по разработанному для данного вида карт логотипу;
— после персонализации карта должна быть в тот же день оприходована в кассовое хранилище, соответствующее установленным к кассовым хранилищам требованиям по обеспечению сохранности находящихся в нем ценностей, по установленной внутренними нормативными документами процедуре; конверт с пин-кодом должен храниться в соответствии с рекомендациями платежных систем и внутренними правилами, например в сейфе у ответственных сотрудников под запись в журнале учета пин-кодов, и выдаваться клиенту также под роспись его в получении одновременно с получением им карты через кассу банка. Данный порядок раздельного хранения пин-кода и банковской карты является одним из требований платежных систем, но на практике не всегда выполняется, поэтому на него следует обратить особое внимание.
В настоящей статье мы сознательно не детализируем вопросы, связанные с процессами хранения, учета и выдачи персонализированных карт в хранилище ценностей. Как правило, они лежат в компетенции кассовых подразделений, и возникающие риски по большей части минимизируются многочисленными процедурами, детально регламентированными Положением ЦБ РФ № 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации», Положением ЦБ РФ № 302-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации» и иными нормативными документами.
Отметим, однако, несколько специфических моментов: при получении клиентом банковской карты кассовый/операционный работник должен удостовериться, что клиент расписался на банковской карте. Это, по некоторым утверждениям, не является стандартной обязанностью кассового работника (кассовые работники обязаны удостоверить факт получения клиентом карты и его росписи на мемориальном внебалансовом ордере), однако позволяет в дальнейшем быть уверенным, что данная подпись существует и будет позднее сличаться при обслуживании карты. Таким образом, по нашему мнению, эту процедуру следует ввести во внутренние нормативные документы как обязательную (в зависимости от распределения функциональных обязанностей ее следует вменить в обязанности либо кассовому работнику, либо операционному работнику, выдающему клиенту конверт с пин-кодом под роспись в журнале учета пин-кодов).
Следует предусмотреть штраф за невозврат истекшей карты при ее перевыпуске/закрытии и процедуру утилизации истекших банковских карт, исключающую их дальнейшее несанкционированное использование.
Во второй крупный блок вопросов следует включить вопросы, связанные с обслуживанием банковских карт. Управление рисками обслуживания банковских карт можно подразделить по видам выполняемых операций, так как каждый вид деятельности имеет свои особенности и зачастую выполняется различными структурными подразделениями.
В настоящей статье мы рассмотрим:
— операции с кредитными картами;
— операции с дебетовыми картами физических лиц;
— операции по эквайрингу (включая эквайринг в банкоматах и торгово-сервисных предприятиях (далее — ТСП));
— зарплатные проекты;
— корпоративные карты.
По операциям с кредитными картами базовым банковским риском является кредитный риск, и процедуры по его минимизации, так же как и по кассовым операциям, детально регламентируются Положением ЦБ РФ № 254-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности», а потому мы на них также останавливаться не будем. Однако ряд моментов все же отметим, поскольку они лежат вне круга вопросов, регламентированных указанным Положением.
Во-первых, следует обратить внимание на взимание комиссии за выпуск карты. Существует практика взимания этих комиссий автоматически при открытии карточного счета, в счет образующейся задолженности. Такая практика приводит к тому, что, если клиент по каким-либо причинам не воспользуется кредитной картой, эта задолженность будет классифицироваться и обрабатываться в автоматическом режиме как кредитная (с начислением процентов, пеней и т.п.), при этом клиент будет полагать, что не обязан уплачивать проценты и пени за нее. Суммы задолженности, как правило, настолько незначительны, что предъявление к каждому клиенту исковых требований представляется нецелесообразным, однако трудозатраты на классификацию, ведение досье, создание резерва и учет этой задолженности при наличии массовой практики достаточно велики, что приводит к повышению уровня операционных и надзорных рисков по ней. Кроме того, общая сумма такой задолженности может оказаться весомой. В данном случае способствовать минимизации этого риска может уплата комиссии клиентом отдельно.
Следующий вопрос касается мелких сумм непогашенных овердрафтов и связан с теми же самыми рисками. В данном случае в рамках системы управления рисками банку следует определить как предельно допустимую величину общей задолженности по кредитным картам, так и предельно допустимый размер непогашенной задолженности по каждому клиенту, затраты по которой банк готов понести без обращения в судебные инстанции ввиду их нерентабельности.
В целях минимизации рисков банку следует предусмотреть разработку ступенчатой системы мер воздействия (рассылка писем, вызов в банк, лишение льгот по прочим услугам банка и т.п.) и действий самого банка (усиление контроля, ограничение операций и т.п.) по предотвращению указанных рисков. Желательно также выделение сотрудников, ответственных за работу с проблемной задолженностью по картам, и установление показателей работы с проблемной задолженностью (статистические отчеты по уменьшению/увеличению проблемной задолженности), а также разработка порядка признания задолженности безнадежной и процедур ее списания.
Довольно часто возникают проблемы также и с неразрешенными овердрафтами по кредитным картам. Так, например, стандартным условием при выдаче овердрафта является право банка снизить лимит по карте при выявлении факторов, свидетельствующих об ухудшении качества задолженности. Однако при этом зачастую существует временной лаг от принятия такого решения до введения соответствующих изменений в настройки АБС, что приводит к возникновению неразрешенного овердрафта. Кроме того, существует ряд платежей, игнорирующих эти настройки (бронирование гостиниц за рубежом, оплата бензозаправок в некоторых странах, иные виды платежей). Помимо вышеперечисленных процедур по минимизации риска в данном случае следует разработать процедуру незамедлительного уведомления клиента об уменьшении лимита (по телефону, путем отправки SMS и т.п.). Также в договорах следует предусмотреть санкции к клиенту за образование сверхлимитной задолженности и первоочередной порядок ее погашения.
Общими для дебетовых и кредитных карт являются и спорные вопросы, связанные с отказами от совершенных операций (проведением по картам не санкционированных клиентом операций). Во всех случаях отказа клиента от операций банку следует проводить служебное расследование с целью установления его причин.
Минимизировать данный риск возможно с помощью:
— четкого определения порядка рассмотрения данных споров в договоре;
— процедуры инструктажа клиента по вопросам пользования картой и пин-кодом и порядку блокировки карт в случае утери, кражи карты или сомнения в характере проводимых по ней операций. Письмо ЦБ РФ № 120-Т «О памятке “О мерах безопасного использования банковских карт”» рекомендует размещение памятки о правилах пользования картой в местах общего доступа (на стендах, в операционных залах).
Следует предусмотреть во внутренних документах графы подписи клиента в ознакомлении с правилами пользования картой:
— отлаженных процедур немедленной блокировки карт, закрепленных во внутренней нормативной базе;
— отлаженных процедур реагирования в случае несанкционированного использования карты и мошенничества;
— сбора информации и своевременного уведомления операционных и кассовых подразделений о выявляемых в других банках и иных сферах деятельности случаях мошенничества с использованием банковских карт и, по возможности, анализа причин произошедшего с целью исключения из практики банка аналогичных процедур, а также контроля за подозрительными клиентами;
— определения критериев сомнительных операций и осуществления их регулярного мониторинга.
В последнее время участились случаи мошенничества по картам с использованием банкоматов, в том числе с наложением на панель банкомата специальных «считывающих» устройств. Оптимальным способом минимизации рисков является установка видеонаблюдения. Немаловажен также выбор места для установки банкомата в непосредственной близости от пунктов охраны, однако это не всегда возможно. Во всех случаях, когда установка видеонаблюдения невозможна, следует ввести процедуру обязательного ежедневного контроля лицевой панели банкомата силами инкассаторов, осуществляющих загрузку, и/или силами сотрудников торговых залов и иных помещений, в которых установлен банкомат.
С целью минимизации рисков мошенничества при работе с банкоматами и ТСП в число подозрительных должны попадать все операции, по которым пин-код вводится более чем два раза. Сведения об указанных операциях должны передаваться ответственному сотруднику, который в течение установленного времени (чаще всего 2–3-х дней) осуществляет дальнейший контроль за операциями, проходящими по подозрительной карте.
Операции по эквайрингу в ТСП, помимо рисков, в целом присущих картам физических лиц, несут дополнительные риски, которые можно подразделить:
— на технические (неисправное или неверно эксплуатируемое оборудование, сбои в каналах связи);
— недобросовестного партнерства (мошенничества, халатности и/или недостаточной квалификации со стороны персонала эквайринговой точки).
Первый из перечисленных рисков минимизируется установлением правомочных правовых отношений с ТСП, установкой лицензированного оборудования, инструктажем по его обслуживанию и регулярной проверкой его технической исправности, а также соблюдением требований по защите каналов связи от несанкционированного доступа и прочих требований по защите информации при обмене данными.
Второй вид рисков можно минимизировать, во-первых, соблюдением принципа «Знай своего клиента», а во-вторых, обязательным контролем за совершением операций в ТСП. Очень частыми являются такие нарушения, как проведение операторами операций по картам без предъявления документов, удостоверяющих личность клиента, и недостаточная внимательность при сличении подписей клиента на банковской карте и на слипе ПОС-терминала. Это же является одним из самых распространенных способов «обналичить» утерянную или украденную карту, поэтому данному риску должно уделяться достаточное внимание. Оптимальным является установление видеонаблюдения за операторами ТСП, однако это довольно дорого, особенно при наличии обширной эквайринговой сети. В таком случае необходимо предусмотреть в соглашениях обмен информацией с камер, устанавливаемых в торговых залах; возможно также проведение сотрудниками банка контрольных закупок.
Риски по зарплатным проектам и корпоративным картам, помимо базовых, в основном проявляются в небрежности при передаче данных на выдачу и перевыпуск карт, нарушениях процедур передачи и учета конвертов с пин-кодами, порядка росписи клиентов на банковских картах, выдачи памяток (инструктажа) и т.п. Здесь применимы те же минимизирующие риски процедуры, применяемые в банке при оформлении заявлений и выдаче карт. Кроме этого, клиенту, которому оформляется зарплатный проект (корпоративная карта), должно уделяться повышенное внимание в части соблюдения принципа «Знай своего клиента».
По каждому из вышеперечисленных направлений ответственные подразделения должны вести статистический учет проблемной задолженности и возникающих убытков (при этом важно отграничить проблемные операции, по которым проводится работа, от безнадежных, признаваемых операционными убытками), объединяемых в базы проблемной задолженности и операционных убытков.
В свою очередь подразделения анализируют данные, содержащиеся в базах, для оценки своей деятельности.
Конечно, проведенный анализ рисков, возникающих при работе с пластиковыми картами, не является исчерпывающим. Однако изложенные в статье основные процедуры по минимизации рисков в целом могут с успехом применяться и к иным возникающим в процессе работы банковским рискам. В заключение стоит отметить, что построение системы управления рисками в операционных подразделениях в первую очередь зависит от принципов, закрепленных в соответствующих политиках по управлению рисками, и может в значительной степени различаться в зависимости от масштабов деятельности конкретного банка, его стратегических задач и его структуры.