Какие изменения разработало АРРФР для казахстанских банков

Агентством по регулированию и развитию финансового рынка (АРРФР) разработан проект постановления Правления агентства "О внесении изменений в некоторые нормативные правовые акты Республики Казахстан по вопросам регулирования банковской деятельности". Документ размещен на портале "Открытые НПА". Проект разработан во исполнение поручения руководителя Администрации президента Казахстана.  Какие изменения разработало АРРФР для казахстанских банков, в материале Cronos.Asia.

Изменения касающиеся банковских операций

В Постановление правления Национального Банка РК от 28 июля 2017 года № 136 "Об утверждении Правил предоставления банковских услуг и рассмотрения банками, организациями, осуществляющими отдельные виды банковских операций, обращений клиентов, возникающих в процессе предоставления банковских услуг" в пункт 8-4 вносится дополнение:

"Банк до заключения договора банковского займа посредством Интернет вносит данные об абонентском номере устройства сотовой связи клиента, направляет на указанный номер одноразовый пароль и проводит биометрическую идентификацию клиента посредством использования услуг Центра обмена идентификационными данными или с использованием биометрических данных".

Претерпел изменения и пункт 29, дополненный подпунктом 29-1:

"Обращения клиентов, поступающие через мобильное приложение для дистанционного оказания услуг банка, регистрируются в порядке, предусмотренном внутренними документами банка. Для этих целей на главной странице мобильного приложения предусматривается однозначно идентифицируемый клиентом функционал для подачи жалобы на мошеннические действия в отношении клиента".

Управление рисками

В Постановление правления Национального Банка РК от 12 ноября 2019 года № 188 "Об утверждении Правил формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан" вносятся уточняющие определения:

– центр обмена данными по платежным транзакциям с признаками мошенничества – юридическое лицо Национального Банка Республики Казахстан, которое осуществляет меры, направленные на предотвращение платежных транзакций с признаками мошенничества (далее - антифрод-центр НБРК);
– антифрод-система банка – комплекс технических и аналитических мер, разработанных и направленных для предотвращения и обнаружения мошенничества при использовании банковских услуг;
– уполномоченный коллегиальный орган банка – совет директоров, комитет при совете директоров, правление, комитет при правлении;
– дропперы – физические или юридические лица, пособники мошенников, которые создают условия для вывода денежных средств, украденные мошенниками с банковских счетов третьих лиц. Дропперы предоставляют мошенникам свои персональные данные и информацию и выводят украденные денежные средства за вознаграждение;

– база данных инцидентов – база подозрительных операций и мошенничества, которая ведется в электронном виде.

Управление рисками мошенничества

Добавлена Глава 15 "Управление рисками мошенничества", где предлагаются поправки, обеспечивающие общую практику управления рисками мошенничества среди банков.

В частности статья 120 предусматривает следующее:

Совет директоров банка обеспечивает наличие эффективной системы управления рисками мошенничества, которая соответствует рыночной ситуации, стратегии, объему активов, уровню сложности операций банка и обеспечивает эффективное выявление, измерение, мониторинг и контроль с целью противодействия мошенничеству при использовании банковских услуг, и включает, но не ограничиваясь, следующие компоненты:

1) политику и процедуры по борьбе с мошенничеством;
2) систему управленческой отчетности;
3) информационные технологии, в том числе антифрод-систему банка.

Статья 121. В функции антифрод подразделения, входит как минимум, но не ограничиваясь:

1) разработка плана мероприятий по реализации стратегии банка по противодействию мошенничества, который раскрывает, но, не ограничиваясь, следующее:

–  определение потребностей в ресурсах, в том числе определение бюджета, связанного с процессами противодействия мошенничеству;
описание требуемых мероприятий по противодействию мошенничеству с указанием сроков и ответственных за их реализацию.

2) внедрение превентивных способов, моделей, технологий и процессов противодействия мошенничеству в отношении клиентов банка на внешних каналах обслуживания и совершенного работниками банка;

3) внедрение, функционирование и непрерывное улучшение процессов противодействия мошенничеству и цифровых каналов предоставления финансовых продуктов и (или) услуг;

4) проведение мероприятий по противодействию заключению договоров потребительского займа, переводов денег и (или) снятия наличных денег с признаками мошенничества, осуществляемых банком в рамках системы управления рисками мошенничества;

5) оценка бизнес-процессов и внедряемых финансовых продуктов и или/услуг на предмет рисков мошенничества;

6) обеспечение соответствия регуляторным требованиям в сфере противодействия мошенничеству при предоставлении финансовых продуктов и/или услуг, разработка и последующая методологическая поддержка при установлении контрольных процедур во внутренних документах банка;

7) выявление и аналитика внешних и внутренних данных, а также предупреждение новых схем мошенничества;

8) разработка типологии подозрительных операций с признаками мошенничества;

9) формирование списков подозреваемых в мошенничестве и списка мошенников;

10) осуществление мониторинга подозрительных операций, подозрительного поведения клиентов, работников и третьих лиц;

11) ведение и непрерывное обновление базы данных инцидентов;

12) передача данных о подозрительных операциях с признаками мошенничества в антифрод-центр НБРК в круглосуточном режиме и непрерывное обогащение новой информацией по мере появления;

13) обмен информацией с другими участниками финансового рынка и уполномоченными органами;

14) обеспечение взаимодействия с антифрод-центром НБРК в соответствии с постановлением Правления Национального Банка Республики Казахстан от 16 июля 2024 года № 43 "Об утверждении Требований к порядку осуществления деятельности центра обмена данными по платежным транзакциям с признаками мошенничества и его взаимодействия с лицами, участвующими в его деятельности", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 34772;

15) обеспечение повышения осведомленности клиентов банка, работников банка и третьих сторон в области противодействия мошенничеству;

16) выявление, фиксация и расследование фактов внутреннего и внешнего мошенничества;

17) участие во внутренних расследованиях, выработка корректирующих мер и рекомендаций по результатам расследований, контроль их реализации и составление заключений по результатам расследований;

18) подготовка предложений для принятия коллегиальным органом решений по вопросам противодействия мошенничеству;

19) подготовка и предоставление управленческой отчетности о реализации рисков мошенничества, а также об устранении их последствий в соответствии с внутренними документами.

Статья 122. Подразделение по управлению рисками разрабатывает внутренний документ, определяющий порядок управления рисками мошенничества, который включает, но, не ограничиваясь, следующие процедуры:

1) идентификации рисков мошенничества и определение индикаторов раннего обнаружения подверженности рискам мошенничества;

2) оценки вероятности и последствий всех выявленных рисков мошенничества, применяя качественные и (или) количественные методы оценки, в том числе на основании данных об их реализации;

3) сбора и хранения сведений о реализации существенных рисков мошенничества;

4) формирования реестра рисков, включающего риски мошенничества;

5) разработки мер обработки рисков мошенничества;

6) мониторинга исполнения мер по обработке рисков мошенничества.

Статья 123. Антифрод-система банка отвечает следующим требованиям:

1) обеспечивает техническую интеграцию с антифрод-центром НБРК;

2) обеспечивает полноту отражения информации о подозрительных операциях и мошенничестве в базе данных инцидентов и непрерывную передачу данных в антифрод-центр НБРК в круглосуточном режиме;

3) использует заранее заданные пороговые значения для различных параметров (сумма перевода, частота операций с одного аккаунта и другие), для выявления подозрительной активности;

4) обеспечивает ведение списков подозреваемых в мошенничестве и мошенников банка и автоматическую сверку с внутренними списками банка для всех транзакций, включая списки антифрод-центра НБРК;

5) предусмотрена возможность приостановить и возобновить или отклонить транзакцию;

6) обеспечивает хранение данных в соответствии с постановлением Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48 "Об утверждении Требований к обеспечению информационной безопасности банков, филиалов банков-нерезидентов Республики Казахстан и организаций, осуществляющих отдельные виды банковских операций, Правил и сроков предоставления информации об инцидентах информационной безопасности, включая сведения о нарушениях, сбоях в информационных системах", зарегистрированным в Реестре государственной регистрации нормативных правовых актов под № 16772;

7) обеспечивает аналитическую отчетность по инцидентам мошенничества для предоставления в уполномоченный орган;

8) обеспечивает гибкость для анализа и настройки параметров для выявления подозрительных операций и мошенничества в соответствии с внутренними документами банка, регламентирующими процесс выявления подозрительных операций, тестирования и внесения изменений в антифрод-систему банка.

Статья 124. Совет директоров утверждает стратегию противодействия мошенничеству, которая отвечает следующим требованиям как минимум, но, не ограничиваясь:

1) целями стратегии является: предотвращение, обнаружение и расследование, принятие соответствующих мер;

2) учитывает текущее состояние финансового сектора, включая наиболее существенные проблемы, связанные с мошенничеством;

3) учитывает изменения в сфере мошенничества, изменения в продуктах, в регулировании

4) обновление стратегии противодействия мошенничеству на периодической основе или всякий раз, когда происходят существенные изменения

Статья 125. Политики и процедуры управления рисками мошенничества, включают, но не ограничиваясь, следующее:

1) стандарты оценки риска мошенничества, связанного с сотрудниками, клиентами и третьими лицами, которые позволяют предотвратить установление отношений, не отвечающих требованиям;

2) перечень операций, подлежащих рассмотрению;

3) критерии подозрительных операций и мошенничества, устанавливаемые в том числе уполномоченным органом;

4) порядок приостановления дистанционного оказания услуг банка дропперам сроком не менее одного календарного года, включая мобильное приложение и онлайн-банк, критерии возобновления дистанционного оказания услуг, а также информирование в порядке, установленном договором;

5) критерии включения и исключения в список подозреваемых в мошенничестве и список мошенников;

6) способы, методы и модели оценки рисков мошенничества отвечают следующим требованиям:

– качественные и количественные методы оценки;
– способы, методы и модели должны быть адаптированы к новым методам мошенничества и уровню сложности операций банка, а также изменениям в процессах банка и в законодательстве;
– системы обнаружения мошенничества для выявления аномалий в транзакционных и нетранзакционных данных, а также поведения клиентов и сотрудников, которые могут свидетельствовать о подозрительных операциях и мошенничестве обеспечивают проверку в автоматическом режиме

7) порядок взаимодействия подразделений банка и передача данных в соответствии с правилами антифрод-центра НБРК;

8) триггеры и перекрестная проверка при осуществлении подозрительных операций между банками через антифрод-центр НБРК;

9) порядок проведения периодического обучения и аттестации сотрудников по вопросам противодействия мошенничеству;

10) процедуры повышения финансовой грамотности населения по вопросам противодействия мошенничеству, которые включают как минимум, но не ограничиваясь:

– программы и материалы для обучения клиентов;
– мероприятия для клиентов по распознаванию мошенничества и управлению личными данными;

11) стандарты аутентификации, которые включают, но не ограничиваясь:

– проверку подлинности учетных данных клиентов, сотрудников и третьих лиц;
– инструкции по обеспечению защиты информационного актива и предотвращению несанкционированного доступа или действий;

12) стандарты предотвращения, учитывающие как внутренние, так и внешние риски мошенничества, влияющие на банк;

13) стандарты обнаружения, которые включают, но не ограничиваясь:

– источники данных, используемые для выявления подозрительных действий и мошенничества;
– системы и технологии контроля, внедренные для выявления потенциального мошенничества, оповещения о важных событиях или транзакциях, в том числе руководящих работников, подразделений банка;
– роли и обязанности подразделений и сотрудников при обнаружении подозрительных операций и мошенничества;

14) план реагирования на фактический или предполагаемый инцидент с мошенничеством, который включает, но не ограничиваясь:

– режим работы сотрудников, обеспечивающий непрерывность реагирования;
– перечень случаев приостановления и возобновления или отклонения транзакции;
– принятие решения о необходимости проведения внутреннего расследования.

15) стандарты расследования, которые включают, но не ограничиваясь:

– порядок взаимодействия подразделений банка;
– оценка срочности, существенности, сбор и анализ информации;
– документирование предпринятых следственных действий;
– оценка факта мошенничества и дата завершения расследования;
– принятые меры, в том числе по возмещению ущерба клиенту, если применимо;

16) оценку эффективности системы управления рисками мошенничества, в том числе службой внутреннего аудита банка.

Статья 126. Управленческая информация содержит, но не ограничиваясь, следующее:

1) результаты оценки рисков мошенничества, показатели склонности к рискам мошенничества и соответствие пороговым значениям и лимитам;

2) количественный и качественных анализ фактов мошенничества в разрезе продуктов банка и типа платежа (если применимо) с указанием типологии мошенничества;

3) принятые меры по фактам мошенничества;

4) операционные убытки банка и размер возмещения убытков потребителям;

5) объем обращений о мошенничестве в разрезе продуктов банка и типа платежа (если применимо).

---

Статьи к теме:

АРРФР готовит проект по вопросам совершенствования страховой деятельности

АРРФР вновь дает должникам отсрочку по кредитам

АРРФР утвердило Правила лицензирования микрофинансовой деятельности в Казахстане

---