Применение технологий электронного банкинга: риск-ориентированный подход

Л. В. Лямин, 2011

Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга. В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге риск-ориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора. Книга может быть полезна представителям высшего руководства и менеджерам среднего звена кредитных организаций, а также студентам и аспирантам, интересующимся современными подходами к управлению банковскими рисками в условиях электронного банкинга.

Глава 1

Понятие и специфика технологий электронного банкинга

Любая достаточно развитая технология неотличима от магии.

Артур Кларк

Независимо от того, какого рода система дистанционного банковского обслуживания (ДБО) внедряется кредитной организацией, такая система фактически становится для нее своеобразными «виртуальными воротами», которые открывают доступ из «киберпространства» локального, зонального или глобального сетевого взаимодействия к информационно-процессинговым ресурсам и информационным а по сути, — к финансовым активам этой организации. Надежность банковской деятельности, которая осуществляется через такое пространство, непосредственно зависит от того, насколько организация способна управлять происходящими в нем и значимыми для нее (и ее клиентов) процессами и контролировать их течение. Очевидно, что специфика такой деятельности изначально находится в противоречии между обеспечением доступа к упомянутым ресурсам только и исключительно для легитимных пользователей (официально зарегистрированных клиентов, операторов, операционистов и т.п.), действующих в пределах точно установленных для них прав и полномочий, и технологиями, предполагающими реализацию принципов открытых систем и универсальных протоколов сетевого взаимодействия, составляющих базис большинства вариантов ДБО. Если руководство кредитной организации, внедряющей систему электронного банкинга (СЭБ), недостаточно полно представляет себе особенности проблематики ДБО с точки зрения вариативности состава компонентов типичных банковских рисков, принимаемых на себя кредитной организацией, то уровни этих рисков будут заведомо (и неоправданно) повышаться, а сами эти компоненты — реализоваться, что всегда приводит к финансовым потерям.

До настоящего времени в российском банковском секторе внедрение и применение банковских информационных технологий в целом не считается чем-то значимым с точки зрения изменения характера банковской деятельности. В подавляющем большинстве кредитных организаций этот процесс не предваряется и не сопровождается адекватным анализом состава сопутствующих таким технологиям компонентов банковских рисков. Из-за этого как сами кредитные организации, так и их клиенты оказываются подвержены новым специфическим угрозам надежности банковской деятельности. С этими угрозами кредитные организации далеко не всегда справляются, о чем свидетельствует, к сожалению, уже достаточно обширная статистика финансовых потерь этих организаций и их клиентов. При этом собственно технологический аспект оказывается в значительной степени «вторичным»: к примеру, не столь важно, каким именно путем похищаются финансовые средства — с помощью банкоматного мошенничества, через систему интернет-банкинга, за счет применения какого-то варианта фишинга, фарминга или вишинга и т.п., — важно то, что деньги исчезают именно в информационном контуре ДБО по причинам недостаточно полного учета новых факторов источников типичных банковских рисков и управления ими в кредитной организации.

Вследствие этого рассматриваемая ниже классификация технологий или вариантов ДБО может варьироваться без ущерба для общности рассмотрения этой предметной области. Она введена в основном для того, чтобы можно было выделить те особенности каналов и сред информационного взаимодействия между кредитными организациями и их клиентами, которые желательно учитывать в случаях комплексного внедрения соответствующих систем ДБО. В настоящее время компании, разрабатывающие системы такого рода, или кредитные организации, осуществляющие их самостоятельные разработки, все больше стремятся к многоканальности предоставления банковских услуг, объединяющей его варианты. Вместе с тем это, как правило, не приводит к организации комплексного анализа всей совокупности источников банковских рисков, сопутствующих каждому из каналов ДБО, а следовательно, новые источники рисков остаются «скрытыми» для кредитной организации, так что воздействие на них (т.е. собственно управление рисками) начинается нередко лишь тогда, когда они реализуются в виде финансового ущерба.

1.1. Классификация технологий электронного банкинга

На сегодняшний день единой, устоявшейся классификации технологий электронного банкинга еще не существует. Поскольку любые технологии такого рода используются для обеспечения удаленного информационного взаимодействия между кредитными организациями и их клиентами, с наиболее общей точки зрения можно полагать, что все они в совокупности охватываются одним общим понятием систем типа (или класса) «Банк — Клиент». В то же время исторически сложившиеся этапы развития способов и средств этого взаимодействия привели к тому, что под системами «Банк — Клиент» до настоящего времени понимаются преимущественно такие программно-технические комплексы, для функционирования которых на стороне клиента необходимо создание специализированного автоматизированного рабочего места (АРМ) на базе персонального компьютера, установка на нем специализированного программно-информационного обеспечения ДБО, задействование тех или иных выделенных каналов связи (на основе кабельных или релейных линий), а также введение на стороне кредитной организации шлюзов для передачи потоков данных (модемных пулов, маршрутизаторов, коммутаторов и т.п.).

Такие достаточно «тяжеловесные» и дорогостоящие системы получили условное название систем «с толстым клиентом»^[9]. Эти системы характеризуются достаточно обширными функциональными возможностями в части ограничения прав доступа к информационно-процессинговым ресурсам клиента и кредитной организации, использования служебных баз данных и баз нормативно-справочной информации, криптозащиты сетевого трафика, а также сохранения так называемой «сеансовой информации», сопровождающей двусторонний информационный обмен (что принципиально важно для обеспечения юридической силы так называемых «электронных документов», парирования случаев «отказа от операций», разрешения спорных ситуаций и т.п.). За все эти возможности приходится, естественно, немало платить, что могут себе позволить в основном юридические лица.

В отличие от этих систем для обслуживания физических лиц гораздо удобнее и дешевле системы с так называемым «тонким клиентом», использование которых не связано с необходимостью установки на АРМ клиента специального программно-информационного обеспечения, да и само стационарное АРМ на его стороне зачастую не требуется. В наиболее «тонком» случае могут использоваться обычный браузер или система меню, что типично для технологий мобильного и интернет-банкинга. Однако в этих случаях осложняется решение всех перечисленных выше вопросов с точки зрения функциональных возможностей той или иной технологии электронного банкинга (ТЭБ) и реализующей эту технологию СЭБ. Эта книга преимущественно посвящена тому, чем приходится «платить» кредитным организациям и их клиентам за удобства оперативного доступа к информационно-процессинговым ресурсам, обеспечивающим банковскую деятельность.

Вместе с тем каждый из способов ДБО и каждая используемая для его реализации банковская автоматизированная система (БАС) могут иметь ряд принципиальных отличий (прежде всего в части каналов связи и среды взаимодействия), равно как и множество особенностей, из-за чего объединение их в один класс существенно затрудняет анализ состава компонентов банковских рисков, угроз банковской деятельности, лежащих в их основе, и причин возникновения этих угроз. Для такого анализа наиболее удобна простая классификационная схема, используемая специалистами Департамента банковского надзора Банка Германии (рис. 1.1)^[10]:

Рис. 1.1. Укрупненная классификация вариантов электронного банкинга

На этой схеме отсутствует деление отдельных «ветвей», учитывающее специфические детали, свойственные различным технологиям электронного банкинга, поскольку для последующего изложения это не принципиально, к тому же такие варианты ДБО, как использование, скажем, систем Wi-Fi, в отечественной банковской практике еще не стали распространенными. Кроме того, не имеет принципиального значения и конкретный вариант ДБО, выбираемый кредитной организацией: важно лишь то, что «если компания не следует тенденциям изменяющихся рыночных, финансовых и технологических условий, то она недолго останется в бизнесе»^[11]. В современном банковском бизнесе кредитные организации, если они не хотят потерять конкурентные преимущества, по существу, «вынуждены» переходить к дистанционному предоставлению банковских услуг, а следовательно, «радикально перестраивать» организацию своей банковской деятельности. В этой ситуации принципиально важным становится то, что речь идет именно о деятельности кредитной организации в целом, а не только о выполнении «банковских операций» и «других сделок».

Необходимо отметить также, что адекватного понимания содержания электронного банкинга до настоящего времени тоже еще не сложилось. Об этом свидетельствуют многие документы, разработанные зарубежными органами банковского регулирования и надзора, в которых приводятся определения содержания этого явления и формируется рабочий понятийный аппарат. Если попробовать сформулировать своего рода «базовое» определение электронного банкинга по таким материалам^[12], то оно будет выглядеть следующим образом: «обеспечение возможностей для клиентов кредитных организаций получать удаленный доступ к своим банковским счетам через информационно-телекоммуникационные системы и, как минимум, осуществлять переводы финансовых средств между ними».

В этом определении можно увидеть своего рода «операционный» акцент, появление которого объясняется исторически сформировавшимся «примитивным» подходом к интерпретации содержания банковской деятельности и который существенно сужает подмножество факторов, обусловливающих возникновение новых источников компонентов банковских рисков, подлежащих учету и анализу в кредитной организации при переходе ее к ДБО. На самом деле при выборе той или иной ТЭБ руководству, исполнительным органам и специалистам кредитной организации всегда следовало бы анализировать особенности этой технологии с целью выявления и описания сопутствующих ей факторов риска, а также оценивать свои возможности в части управления конкретной ТЭБ и контроля ее использования с учетом специфики формируемого ею так называемого «информационного контура банковской деятельности» — нового явления в сфере банковской деятельности.

Функционирование современной кредитной организации отличается в первую очередь тем, что традиционный подход к анализу содержания банковской деятельности оказывается принципиально непригодным: он приводит к тому, что большое количество новых, нетипичных для традиционной банковской деятельности источников компонентов банковских рисков упускается из вида со всеми вытекающими отсюда негативными последствиями для кредитных организаций и их клиентов. Те и другие в такой ситуации оказываются незащищенными от новых угроз, которые вполне можно парировать при пруденциальной^[13] организации этой деятельности в новых технологических условиях. Помимо этого, конкурентные условия могут способствовать и тому, что окажутся внедренными недостаточно надежные, проверенные и «отработанные» технологии электронного банкинга и реализующие их банковские автоматизированные системы из-за того, что сложность таких систем не согласуется с интервалом времени, выделяемым на их освоение и запуск в эксплуатацию. Что уж говорить о том, что дополнительной и непростой особенностью организации применения практически любой ТЭБ оказывается необходимость учета недостаточной квалификации клиентов кредитной организации в областях компьютерных и телекоммуникационных технологий.

В итоге руководству кредитной организации, принимая решение о переходе к ДБО, необходимо заранее определить круг потенциальных проблем, с которыми может быть связано такое обслуживание, и новых вопросов, которые придется решать в целях обеспечения и поддержания надежности банковской деятельности (в широком смысле имея в виду выполнение всей совокупности принимаемых на себя этой организацией обязательств как перед клиентами, так и перед теми или иными контролирующими органами). Поэтому целесообразно добиваться наиболее полного охвата предметной и одновременно проблемной области новых способов и условий осуществления банковской деятельности. Прежде всего логично достичь полного осознания модификации ролевой функции кредитной организации, внедряющей ТЭБ, предложив, к примеру, такое определение электронного банкинга: «совокупность всех организационно-технических мероприятий, реализуемых кредитной организацией с помощью технологий дистанционного банковского обслуживания для обслуживания своих клиентов (реальных и потенциальных) при выполнении этой организацией функций дистанционного финансового посредника».

В этом случае речь не идет о создании исчерпывающего понятийного аппарата высокотехнологичной банковской деятельности, тем более что в наше время «технический прогресс» продолжает видоизменять банковскую деятельность. Просто необходимо подчеркнуть, что собственно появление «дистанционности» действительно радикально меняет характер банковской деятельности. До сих пор руководство многих кредитных организаций не осознает этих изменений, так что принятие мер по приведению организации внутрибанковских процессов и составляющих их процедур (вплоть до отдельных функций) в соответствие с новыми способами и условиями банковской деятельности, формируемыми такими технологиями, начинается только после того, как новые, нетипичные (и неосознававшиеся до последнего времени) угрозы ее надежности реализуются, а сами эти организации и их клиенты потеряют немалые денежные средства.

В то же время адекватный превентивный анализ состава компонентов типичных банковских рисков, действующих в условиях применения технологий и систем электронного банкинга, гарантировано позволяет избежать неприятностей такого рода за счет заблаговременного внесения изменений во внутрибанковские процессы и процедуры, с ориентацией их на выявление, учет (мониторинг, анализ) и парирование потенциальных угроз надежности банковской деятельности. Но для этого в высокотехнологичной кредитной организации неизбежно должны произойти изменения в содержании корпоративного управления, причем каждая процедура в составе этого процесса оказывается «привязана» к особенностям вновь образуемых зон концентрации источников компонентов банковских рисков и одновременно зон ответственности кредитной организации. Эти понятия также не являются новыми, однако в условиях применения технологий электронного банкинга они приобретают новую актуальность и содержательно заметно усложняются.

1.2. Информационный контур банковской деятельности и новые факторы банковских рисков

Внедрение технологий ДБО привело к образованию принципиально нового явления в банковской деятельности, которое можно определить понятием «информационный контур банковской деятельности» (ИКБД)^[14]. В общем случае если бы о возникновении, специфике функционирования и особенностях проявления этого контура заблаговременно задумывались в каждой кредитной организации, переходящей к ДБО, то тематика анализа банковских рисков, сопутствующих внедрению новых технологий такого рода, быстро себя исчерпала бы. Как раз этого и не происходит прежде всего в силу новизны технологий как таковых и неразвитости законодательной базы банковской деятельности. Впрочем, если все, что связано в кредитной организации с ДБО, делать правильно, то ничего страшного или неприятного, связанного с новыми банковскими технологиями, для нее не происходит

Несколько упрощенная, но тем не менее достаточная для предварительного анализа схема ИКБД, предназначенная для обоснования концептуальных положений описываемого ниже подхода, приведена на рис. 1.2. На ней условно показаны две кредитные организации в «киберпространстве».

Прежде всего целесообразно обратить внимание на основные, своего рода «системные» факторы, обусловливающие возникновение новых источников компонентов банковских рисков, — таковых можно выделить как минимум три (о других, хотя и не новых, но также принципиально важных факторах риска, сопутствующих электронным банковским технологиям как таковым, будет сказано в следующей главе). Эти факторы в первую очередь логично учитывать при организации управления рисками.

Рис. 1.2. Информационный контур банковской деятельности и новые факторы банковских рисков

Первый фактор заключается в возникновении для кредитной организации клиентов нового типа, которые зачастую фактически сами играют роли операционистов или близкие к ним. Очевидно, что вместе с переходом кредитной организации к ДБО, т.е. к такому варианту предоставления банковских услуг, когда в течение сеанса информационного взаимодействия клиент ей «не виден» и работает с ней «из-за горизонта», эта организация теряет своего рода «линию обороны» от клиента. Если в условиях традиционной организации банковской деятельности клиент должен взаимодействовать с операционным сотрудником, который не позволяет ему совершать ошибки при оформлении своих операций, создавать инциденты информационной безопасности, осуществлять противоправную деятельность и т.п., то в новых условиях предоставления банковских услуг клиенту ничто не может помешать этим заниматься. Столь же очевидно, что чем бо$льшую свободу действий кредитная организация предоставит клиенту в рамках ДБО и чем менее жесткие условия обслуживания для него создаст, тем больше проблем такой клиент создаст самой кредитной организации, существенно усложнив для нее сначала создание доказательной базы электронного банкинга, а затем и претензионную работу, и разбор конфликтных ситуаций. Поэтому в содержании договоров с клиентами относительно ДБО (или дополнительных соглашений к договорам банковского счета) кредитной организации необходимо учитывать те особенности удаленного взаимодействия, которые при неблагоприятном стечении обстоятельств могут негативно сказаться на выполнении ею принимаемых на себя обязательств, но не по ее вине, а по вине клиента (который, кстати, далеко не всегда это осознает).

Справедливости ради надо отметить, что и сами клиенты, взаимодействующие с кредитными организациями с помощью различных систем электронного банкинга, также не защищены от воздействия рассматриваемого фактора риска — на этом эффекте основан целый ряд мошеннических технологий, упомянутых в начале этой главы, и вариантов их реализации. Результативность атак такого рода в последнее время привела к тому, что Банком России была начата разработка специальных тематических рекомендаций для кредитных организаций, которые ориентируют их на обеспечение дополнительной защиты интересов клиентов^[15]. Имеется в виду, что в условиях применения этими организациями так называемых «высоких технологий» целесообразно вместе с внедрением той или иной ТЭБ формировать специальные процедуры, ориентированные на защиту интересов клиентов ДБО и учитывающие особенности конкретной технологии и реализующей ее СЭБ (прежде всего в плане отличия от уже освоенных банковских информационных технологий). Такие процедуры разрабатываются исходя из полного понимания высшим менеджментом кредитной организации специфики ТЭБ и соответствующих средств, применяемых для обеспечения ДБО, и архитектуры ее банковских автоматизированных систем.

Эти соображения становятся основанием для пересмотра формирования политики установления взаимоотношений кредитных организаций с клиентами по предоставлению им вариантов ДБО. При этом затрагивается достаточно много аспектов, начиная с содержания договоров на конкретный вид обслуживания и заканчивая пересмотром подходов к осуществлению финансового мониторинга (ФМ), имея в виду в первую очередь мероприятия, необходимые для парирования эффектов взаимной анонимности. В частности, в содержании договоров на ДБО становится необходимо предусматривать специальные соглашения и условия относительно использования средств так называемых аналогов собственноручной подписи, применение которых допускается Гражданским кодексом Российской Федерации (ГК РФ)^[16], систем ДБО или, как иногда говорят иначе, — «электронного документооборота» и обеспечения юридической силы электронных документов, расследования спорных (конфликтных) ситуаций, включая создание тех или иных согласительных и технических комиссий, и т.п.

Что касается процесса ФМ, то Банк России со своей стороны уже неоднократно обращал внимание кредитных организаций на наличие таких эффектов и необходимость принятия специальных мер по учету их в процедурах, составляющих внутрибанковский процесс^[17]. Сложность ситуации с разработкой документов такого рода обусловлена в первую очередь тем, что каждая кредитная организация, внедряющая какую-либо ТЭБ, даже если эта технология хорошо известна и апробирована в банковском секторе, уникальна в смысле архитектуры своих распределенных компьютерных систем, локальных или зональных вычислительных сетей (охватывающих ее филиалы или дополнительные офисы), квалификации персонала, состава провайдеров и т.д. Поэтому формирование детальных рекомендаций по организации и содержанию процесса ФМ в условиях ДБО (как, впрочем, и многих других внутрибанковских процессов) просто невозможно, а поэтому кредитные организации по существу оказываются вынуждены самостоятельно приспосабливать этот процесс (равно как и составляющие его процедуры) к своим информационным технологиям, специфическим (зачастую уникальным) архитектурам сетевых структур и каждого ИКБД в целом, особенностям построения их банковских автоматизированных систем и т.п., на что целесообразно обращать внимание их руководству.

Вместе с тем осознание необходимости пересмотра организации и содержания процесса ФМ становится в последние годы все более актуальным в связи с теми возможностями, которые высокие технологии, включая технологии электронного банкинга, могут предоставлять для разного рода противоправной деятельности: легализации доходов, полученных преступным путем (так называемого «отмывания денег»), финансирования терроризма, хищений денежных средств, мошенничеств и т.п. При этом необходимо иметь в виду, что незаметное вовлечение кредитной организации в противоправную деятельность может привести к лишению ее лицензии на выполнение банковских операций и судебному преследованию в соответствии с законом. Поэтому руководству кредитной организации целесообразно четко осознавать возможные направления смещения уровней банковских рисков в условиях ДБО, поскольку в случае реализации компонентов правового риска такого рода оценки принимаемого ею кредитного, рыночного и других рисков теряют значение. Очевидно, что любая кредитная организация, дистанционно предоставляющая банковские услуги, может оказаться заподозренной в участии в ускользнувшей от внимания ее сотрудников противоправной деятельности лишь из-за того, что ее высший менеджмент неадекватно представляет себе профиль риска, сопутствующий использованию новых банковских информационных технологий. Это в свою очередь вызывается тем, что условия для осуществления ДБО, которые само руководство и должно подготовить, оказываются неподходящими, почему важно помнить о необходимости создания специальных условий пруденциальной банковской деятельности в условиях ДБО, а специфика эта определяется применяемыми технологиями.

В то же время для клиента, пользующегося СЭБ для получения банковских услуг, особенно операционного характера, принципиально значимым системным фактором риска становится то, что в условиях ДБО он не имеет возможности непосредственного контроля над получением и выполнением кредитной организацией ордеров, отправляемых им через ИКБД^[18]. Эта ситуация радикально отличается от непосредственного «физического» взаимодействия клиента с операционистом или кассовым работником кредитной организации — первым для него служит интерфейс с СЭБ или в более общем смысле системой типа «Банк — Клиент», вторым, в случае получения наличных денег, — банкомат, в случае платежа — POS-терминал или его аналог. При этом необходимо подчеркнуть, что никаких теоретических разработок относительно клиентских рисков до настоящего времени не существует, мало того, во всех публикациях по рассматриваемой тематике речь практически всегда идет только о рисках банковской деятельности, хотя сами эти риски зачастую непосредственно зависят от условий, в которые кредитная организация ставит клиента ДБО. Как будет показано ниже, условия эти должны быть максимально жесткими в смысле ограничения количества «степеней свободы», которыми может воспользоваться клиент ДБО во время сеанса связи.

По существу во время сеанса ДБО клиент полностью зависим от кредитной организации (функционирования ее автоматизированных систем) и от провайдеров, которые выполняют свои функции в ИКБД между ним и кредитной организацией. К сожалению, общая «культура» банковской деятельности в российском банковском секторе до последнего времени такова, что клиент ДБО в соответствии с договором, заключаемым им с кредитной организацией, и в силу недостаточной технической квалификации и отсутствия юридической подготовки не обладает почти никакими правами, тогда как обязанностей на него налагается немало (при этом многие клиенты вообще не читают тексты договоров на ДБО). В оптимальном варианте организации договорных отношений такого рода кредитным организациям следовало бы детально знакомить своих клиентов, использующих такое обслуживание, с угрозами, которым «подвергаются» их интересы во время сеансов информационного взаимодействия с ней, причем не «по доброте душевной», а имея в виду снижение для самой себя уровней потенциально возникающих компонентов банковских рисков, о чем уже говорилось, но это, по-видимому, дело будущего (если обратиться к материалам судебных исков последних лет).

Второй фактор системного характера состоит в том, что в процесс современной банковской деятельности в условиях ДБО оказываются вовлечены третьи стороны, которые ранее к ней отношения преимущественно не имели. К их числу относятся провайдеры кредитных организаций, обеспечивающие формирование и поддерживающие функционирование ИКБД в каждом отдельном случае. Конкретные виды, состав и функции провайдеров кредитной организации определяются тем, какая именно ТЭБ и в каких целях внедряется ею, какая СЭБ реализует эту технологию, а также какие среды передачи данных и каналы (линии) связи при этом задействуются (включая интернет-провайдеров, операторов мобильной связи, платежные системы и т.п.). Очевидно, что если в процессе удаленного информационного взаимодействия сеанс ДБО окажется прерван или подвергнется другому негативному воздействию не по причинам, возникшим в кредитной организации, а из-за проблем, имевших место на территории провайдера, то клиент этой организации, интересы которого пострадали вследствие такого прерывания, обратится с претензиями именно к ней, а не к неведомому ему провайдеру, тем более что в общем случае и сам клиент может находиться в произвольном месте земного шара, где доступно использование какого-либо средства компьютерной связи. Дальнейшие последствия для кредитной организации будут зависеть от того, какой конкретно ущерб был нанесен интересам клиента ДБО, особенно в тех ситуациях, когда речь идет о невыполнении им своих финансовых обязательств перед другими сторонами.

От содержания и организации аутсорсинга такого рода^[19] прямо зависят и те варианты зависимости надежности банковской деятельности кредитной организации от провайдеров, в которые неизбежно попадает эта организация вместе со своими клиентами ДБО. Вариантов здесь достаточно много — начиная с обеспечения физической связи со средой информационного взаимодействия и заканчивая обеспечением резервных маршрутов (или каналов) такого взаимодействия при возникновении аварийных ситуаций. Эта множественность вынуждает руководство и специалистов кредитной организации внимательно относиться к содержанию контрактов на аутсорсинг, тщательно анализировать варианты распределения обязанностей и ответственности за уровень обслуживания, возникающие в виртуальном пространстве, включая уровень банковского обслуживания (что, как правило, в таких контрактах просто не учитывается). Независимо от выбранной ТЭБ и состава поддерживающих ее использование провайдеров руководству кредитной организации целесообразно предусмотреть однозначные семантические связи между содержанием контрактов на аутсорсинг и договоров с клиентами на ДБО в части обязанностей и ответственности сторон.

Это может оказаться не такой простой задачей, как нередко считается в отечественных кредитных организациях, причем сложность ее обратно пропорциональна качеству решений, принимаемых в части совершенствования управления банковскими рисками в условиях ДБО. Ничего принципиально невозможного в учете источников компонентов банковских рисков, вновь возникающих из-за действия рассматриваемого фактора риска, нет — проблема заключается в полноте анализа состава ИКБД и ролевых функций составляющих его элементов (что требует понимания сути ТЭБ). Однако ситуация существенно осложняется тем, что результаты «выяснения» правовых отношений, возникающих между агентами удаленного информационного взаимодействия, почти полностью зависят от высоких технологий, а специалисты в сфере таких технологий и в области правового обеспечения банковской деятельности до сих пор говорят, как известно, «на разных языках».

Третий фактор связан с возникающей в условиях открытых систем и универсальных протоколов сетевого взаимодействия потенциальной доступностью банковских автоматизированных систем и других информационно-процессинговых ресурсов кредитных организаций, а также устройств, используемых их клиентами при ДБО, для несанкционированного доступа и сетевых атак. Угрозы такого рода появились вместе с возникновением банковских автоматизированных систем. Постоянной остается проблема возможных злонамеренных действий со стороны инсайдеров кредитной организации (в широком смысле). Технологии электронного банкинга наряду с выгодами для кредитных организаций и удобствами для их клиентов существенно расширили спектр потенциальных угроз, которые могут быть реализованы извне этих организаций и при этом настолько «дистанционно», что локализовать источник этих угроз оказывается очень непросто (в том числе ввиду слабой регламентации функционирования провайдеров кредитных организаций и контроля над ними). Вследствие появления ДБО БАС кредитной организации перестает быть «вещью в себе» и при наличии недостатков в сетевой защите и «дыр» в периметре безопасности кредитной организации оказывается доступна для вирусных, хакерских, крэкерских и прочих атак, «достижение целей» которых означает реализацию всех банковских рисков, связанных с этим вариантом банковской деятельности.

Широкое распространение интернет-технологий наряду с интенсивным использованием для банковской деятельности сети Интернет и предоставляемых в связи с этим сетевых ресурсов породило новое направление исследований, относящееся к компонентам банковских рисков, возникающими из-за так называемых web-отношений^[20]. Их анализу будет посвящен специальный раздел настоящей книги. Эти отношения возникают при внедрении кредитной организацией такого варианта ДБО, как интернет-банкинг, и требуют в общем случае существенного дополнения процесса управления банковскими рисками новыми процедурами (которые при развитии этой ТЭБ практически составляют новый внутрибанковский процесс, в котором целесообразно согласованное участие нескольких структурных подразделений кредитной организации).

Из дальнейшего изложения можно будет выделить еще несколько менее существенных факторов возникновения источников рисков, образующих соответствующие подмножества для каждого из рассматриваемых типичных банковских рисков, однако все три перечисленных основных фактора системного плана как минимум не должны ускользать от внимания руководства кредитной организации, переходящей к ДБО. Такое понимание значимости кратко рассмотренных выше факторов в современных условиях может стать одной из наиболее важных характеристик качества корпоративного управления в высокотехнологичной кредитной организации. Необходимо отметить, что при этом изменения происходят не только в технологическом и техническом обеспечении банковской деятельности, они в оптимальном варианте должны были бы происходить и в ряде основных бизнес-процессов кредитных организаций (или в подлежащих реализации). В книге рассматриваются возможные подходы к оптимизации способов и условий банковской деятельности при внедрении и применении кредитными организациями новых технологий электронного банкинга, их совершенствовании и комплексном развитии.

Следует специально подчеркнуть, что все процессы информационного взаимодействия в киберпространстве принципиально характеризуются анонимностью агентов этого взаимодействия и установить, кто именно в конкретный момент времени «держал палец на кнопке», с полной уверенностью невозможно. В каждом случае передачи и обработки данных, которые так или иначе связаны с какими-либо активами кредитной организации (являясь либо собственно записями о них или командами на изменения их значений), любой такой процесс существует только в отдельные кванты времени в электронных устройствах или каналах связи. По завершении такого управляющего процесса от него может не оставаться никаких следов, кроме изменения значений полей в записях баз данных, почему и становятся принципиально важными файлы так называемых «компьютерных журналов», фиксирующих события, происходящие в банковских автоматизированных системах (в зависимости от назначения и содержащихся в них данных их часто называют «системными логами» и «аудиторскими трейлами»). Это в свою очередь означает, что традиционные процессы управления банковской деятельностью и контроля над ней в высокотехнологичных кредитных организациях заведомо не могут считаться эффективными — эти процессы целесообразно адаптировать к применяемым банковским информационным технологиям и системам на основе риск-ориентированного анализа, который тоже следует адаптировать к специфике таких технологий.

Указанный анализ также целесообразно строить на изучении состава и структуры ИКБД, образуемого ТЭБ, внедряемой кредитной организацией. Даже если такая организация использует две-три однородные системы разного целевого назначения (по функциям, группам клиентуры и т.п.), схожесть процессов информационного взаимодействия в них не должна вводить в заблуждение. В этом случае лучше потратить дополнительное время и силы на аналогичный анализ, но с уверенностью избежать неожиданного негативного проявления какого-либо изначально незамеченного «мелкого» источника риска. Такой подход требует, естественно, подготовки соответствующих руководящих решений и распорядительных документов, что целесообразно предусмотреть заранее, до практического начала ДБО клиентов^[21], особенно физических лиц, поскольку, как показывает практика, принципиальное отсутствие корпоративной культуры создает почву для возникновения новых инцидентов информационной безопасности и неправильного использования компьютерных и телекоммуникационных технологий.

Предваряя последующее изложение, можно сделать еще несколько замечаний. Прежде всего любой вновь внедряемой технологии предоставления банковских услуг и осуществления банковской деятельности в целом сопутствует увеличение числа внутрибанковских процессов или хотя бы процедур, составляющих такие процессы. Если этого не происходит, то, как свидетельствует практика, негативные события в жизни кредитной организации и ее клиентов неизбежны из-за непредвиденных ситуаций, которые вполне можно было бы прогнозировать и зачастую просто исключить их возникновение.

Далее приходится также пересматривать уже существующие в кредитной организации процессы с точки зрения их адаптации к новым способам и условиям банковской деятельности в рамках ДБО. Как говорится в уже цитировавшемся источнике, «мы слишком часто обнаруживаем себя ограниченными ментальными барьерами, создаваемыми нами самими. Методы, хорошо работавшие в прошлом, внедрились в наше мышление… если полагаться только на прошлый опыт, то следствием будут попытки применить привычные решения к непривычным проблемам либо не будут найдены новые эффективные подходы к старым проблемам»^[22]. Стереотипы руководящего мышления в новых условиях банковской деятельности, формируемых применением технологий электронного банкинга, могут оказаться серьезным дополнительным источником для компонентов всех типов банковских рисков просто потому, что содержание таких технологий сложно для понимания, а из-за этого в свою очередь руководством кредитных организаций не модернизируются своевременно внутрибанковские процессы управления и контроля, в первую очередь процесс управления банковскими рисками. Для этого процесса ресурсная база, существовавшая в кредитной организации до внедрения ТЭБ, оказывается заведомо недостаточной (также в первую очередь), однако это не замечается или замечается слишком поздно для парирования уже реализовавшихся банковских рисков.

Еще одним принципиальным аспектом внутрибанковского управления и контроля в условиях лавинной компьютеризации банковской деятельности становится увеличение опасности возникновения разрывов в этих процессах, особенно если кредитная организация использует разные варианты ДБО, каждому из которых сопутствуют уникальные подмножества источников риска. Поэтому изменения в содержании внутрибанковских процессов и входящих в их состав процедур целесообразно синхронизировать с каждым решением о развитии банковской деятельности в рамках ДБО и каждым фактом внедрения новой технологии электронного банкинга. Этому вопросу будет уделено особое внимание, поскольку речь пойдет о подходе к согласованной модернизации тех внутрибанковских процессов, от которых непосредственно зависит надежность такой банковской деятельности. Говорить об этом нужно потому, что качество корпоративного управления определяется в современных кредитных организациях и новых условиях ДБО тем, насколько реально управляемыми и контролируемыми являются банковские автоматизированные системы.

Наконец, в ходе дальнейшего развития ДБО, без чего конкурентоспособным кредитным организациям, по-видимому, не обойтись, придется вносить существенные адаптационные изменения в свои бизнес-модели. Такие изменения обычно затрагивают стратегическое планирование и работу многих структурных подразделений кредитной организации, распространяясь по ее иерархии после внедрения первой же ТЭБ и соответствующей СЭБ. В дальнейшем этот процесс неизбежно станет повторяющимся при каждом следующем «витке» спирали технического прогресса в отечественном банковском секторе. Поэтому руководителям высокотехнологичных кредитных организаций логично привыкать к «новому мышлению» в связи с применением ДБО, которое будет служить оптимизации корпоративного управления, сохранению надежности и устойчивости этих организаций, равно как и выполнению ими обязательств перед своими клиентами и контролирующими органами.

Примечания

9

Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальности и т.п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.

10

По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.

11

Coderre D. Internal Audit. Efficiency through automation. John Wiley & Sons Inc., Hoboken, NJ, USA, 2009.

12

См., например, Risk Management Principles for Electronic Banking. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, July 2003; Internet-Banking. Comptroller's Handbook. I — IB. Office of the Comptroller of the Currency, Washington, DC, USA, October 1999; E-Banking. Federal Financial Institutions Examination Council, Washington, DC, USA, August 2003.

13

Пруденциальный (англ. prudential от лат. prudens) — разумный, осторожный, отказывающийся от риска.

14

Лямин Л.В. Анализ факторов риска, связанных с интернет-банкингом // Расчеты и операционная работа в коммерческом банке. 2006. № 5. С. 52 — 63; № 6. С. 43 — 54; № 7 — 8, С. 37-54.

15

Письма Банка России от 7 декабря 2007 г. № 197-Т «О рисках при дистанционном банковском обслуживании»; от 30 января 2009 г. № 11-Т «О рекомендациях для кредитных организаций по дополнительным мерам информационной безопасности при использовании систем интернет-банкинга» и др.

16

Статья 160 ГК РФ.

17

См., например, такие документы, как Положение Банка России от 19 августа 2004 г. № 262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; письма Банка России от 13 июля 2005 г. № 99-Т «О Методических рекомендациях по разработке кредитными организациями правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; от 30 августа 2006 г. № 115-Т «Об исполнении Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем…» в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 5 апреля 2007 г. № 44-Т «О проверке осуществления кредитными организациями идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»; от 27 апреля 2007 г. № 60-Т «Об особенностях обслуживания кредитными организациями клиентов с использованием технологии дистанционного доступа к банковскому счету клиента (включая интернет-банкинг)».

18

Понятие «ордер клиента» введено и определено в Письме Банка России от 31 марта 2008 г. № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем интернет-банкинга».

19

В этой книге понятие аутсорсинга интерпретируется в наиболее широком смысле, а не в традиционном понимании, как передача кредитной организацией сторонней организации выполнения каких-либо функций, которые она могла бы выполнять сама, но ей самой невыгодно это делать по соображениям, например, финансового плана. Тем самым, по мнению автора, обеспечивается наиболее полный охват вариантов зависимости банковской деятельности от сторонних организаций, которые подлежат учету в управлении рисками банковской деятельности.

20

WEBLINKING: Identifying Risks and Risk Management Techniques. Interagency Guidance. Federal Deposit Insurance Corporation, National Credit Union Administration, Office of Thrift Supervision, Office of the Comptroller of the Currency, Washington, DC, April 23, 2003.

21

Internet-Banking. Comptroller's Handbook. I — IB.

22

Coderre D. Internal Audit. Efficiency through automation.