скачать книгу бесплатно
Применение технологий электронного банкинга: риск-ориентированный подход
Леонид Витальевич Лямин
Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга.
В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге риск-ориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора.
Книга может быть полезна представителям высшего руководства и менеджерам среднего звена кредитных организаций, а также студентам и аспирантам, интересующимся современными подходами к управлению банковскими рисками в условиях электронного банкинга.
Л.В. Лямин
Применение технологий электронного банкинга: риск-ориентированный подход
Мнение автора является экспертной точкой зрения и может не совпадать с официальной позицией Банка России
Принятые сокращения
DFD (Data Flow Diagram) – диаграмма потоков данных
DMZ (DeMilitarized Zone) – демилитаризованная зона
FFIEC – Федеральный совет по проверкам финансовых учреждений США ОСС Управление контролера денежного обращения США SLA (Service Level Agreement) соглашение об уровне обслуживания VPN (Virtual Private Network) виртуальная частная сеть
АПО – аппаратно-программное обеспечение
АРМ – автоматизированное рабочее место
АС – автоматизированная система
АСП – аналог собственноручной подписи
БАС – банковская автоматизированная система
БКБН – Базельский комитет по банковскому надзору
ВА – внутренний аудит
ВК – внутренний контроль
ГК РФ – Гражданский кодекс Российской Федерации
ДБО – дистанционное банковское обслуживание
ЖЦ – жизненный цикл
ЗВС – зональная вычислительная сеть
ЗСК – знай своего клиента
ИБ – интернет-банкинг
ИСУ – информационная система управления
ИТ – информационные технологии
ЛВС – локальная вычислительная сеть
НСД – несанкционированный доступ
ОИБ – обеспечение информационной безопасности
ОЭСР Организация экономического сотрудничества и развития ПИО программно-информационное обеспечение
ПОД/ФТ – противодействие отмыванию денег и финансированию терроризма
ППР – поддержка принятия решений
ПСИ – приемо-сдаточные испытания
РМВ – реальный масштаб времени
СБ – служба безопасности
СБР – системный банковский риск
СВК – служба внутреннего контроля
СОР – система оценивания рисков
СЭБ – система электронного банкинга
ТБР – типичный банковский риск
ТЭБ – технология электронного банкинга
ТЭО – технико-экономическое обоснование
УБР – управление банковскими рисками
УРСИТ – универсальная рейтинговая система для информационных технологий
ФМ – финансовый мониторинг
ЭБР – элементарный банковский риск
Введение
Актуальность и проблематика электронного банкинга
Если вы не знаете как это делать, не делайте этого.
Б. К. С. Айенгар
Во всем мире кредитные организации сталкиваются с двумя принципиальными проблемами, которые им приходится решать при разработке и реализации своих стратегических и бизнес-планов, а именно:
– снижение себестоимости банковской деятельности;
– занятие лидирующих позиций на финансовых рынках.
Поскольку набор финансовых услуг, предоставляемых кредитными организациями, всегда строго регламентируется национальным банковским законодательством, а операционные нововведения быстро становятся общедоступными, получить конкурентные преимущества за счет варьирования состава, расширения или модернизации банковских услуг оказывается затруднительным. В публикациях, относящихся к вопросам современного финансового обслуживания, часто отмечается, например, что «компании, которые хотят выжить в современном мире, должны стремиться к использованию новых технологий для достижения конкурентных преимуществ»[1 - Coderre D. Internal Audit. Efficiency through automation. John Wiley&Sons Inc., Hoboken, NJ, USA, 2009.]. К тому же в условиях российского банковского законодательства, которое до сих пор остается в стадии становления, такие нововведения могут неожиданно выйти за границы так называемого «правового поля», а это чревато финансовыми потерями не только из-за их возможной нерентабельности (население в большинстве своем либо насторожено относится к нововведениям, либо не обладает необходимой компьютерной грамотностью), но также из-за возрастания уровня правового риска (непосредственного и опосредованного – через другие банковские риски). Поэтому в настоящее время кредитные организации в конкурентной борьбе на рынках предоставления финансовых услуг фактически вынуждены внедрять все новые банковские компьютерные (информационные) технологии, что в условиях функционирования российского банковского сектора практически всегда означает внедрение новых технологий дистанционного банковского обслуживания, или, иначе говоря, технологий «электронного банкинга», – этот англоязычный термин стал общепринятым. В итоге к концу первого десятилетия XXI в. это направление банковской деятельности включило уже около двух десятков вариантов такого предоставления банковских услуг, о чем свидетельствуют результаты первого сплошного анкетирования в этой области, проведенного Банком России[2 - Сводная информация приведена в пресс-релизе Банка России, размещенном на его официальном web-сайте по адресу http://www.cbr.ra/press/Archive_get_blob.asp?doc_id=090313 1311401.htm.]. Также к этому времени не осталось сомнений в том, что основной функцией кредитных организаций постепенно становится преимущественно дистанционное финансовое посредничество.
Следует сразу отметить то, что в собственно банковскую деятельность кредитных организаций в ее операционном понимании электронный банкинг изначально ничего нового не внес. Однако в том, что касается способов и условий осуществления этой деятельности, особенно в части организации реализующих и обеспечивающих ее технологических процессов (внутрибанковских и внешних), их аппаратно-программного обеспечения (как самих кредитных организаций, так и их контрагентов), состава факторов и источников банковских рисков, а следовательно, содержания управления этими рисками, произошли радикальные изменения. Изучению этих изменений и подходам к их учету руководства кредитных организаций при определении им содержания и реализации внутрибанковских процессов (прежде всего управления банковскими рисками), составляющих их процедур и функций, а также взаимосвязей между ними в условиях применения электронного банкинга, посвящена эта книга.
Одно из главных отличий применения кредитными организациями технологий рассматриваемого типа от традиционных подходов к организации банковского обслуживания клиентов заключается в том, что клиенты, которые переходят к использованию таких технологий, после заключения ими договора банковского счета с кредитной организацией, дополнительного соглашения к этому договору о дистанционном банковском обслуживании и получения средств удаленного доступа к ее информационно-процессинговым ресурсам могут уже не являться в ее головной или дополнительный офисы (филиалы) для того, чтобы получить какую-либо банковскую информацию, или за выполнением требуемых им банковских операций, а работать
в условиях, так сказать, «домашнего банка». По сути, удаленно взаимодействующие с кредитной организацией клиенты «превращаются» в своего рода разновидности банковских операционистов. Такие возможности для них создают новые банковские автоматизированные системы, реализующие технологии электронного банкинга, предлагая реальным и потенциальным клиентам кредитных организаций нетрадиционные варианты и возможности их внеофисного обслуживания или предоставления банковских услуг.
Обеспечиваемые при этом пользователям систем электронного банкинга удобства и гибкость получения ими банковских услуг привели к широкому распространению во всем мире таких технологий, как мобильные платежи и мобильный банкинг[3 - См., например, исследование: Boyd C, Jacob К. Mobile Financial Services and the Underbanked: Opportunities and Challenges for M-banking and M-payments. The Center for Financial Services Innovation, Chicago, Il, April 2007.], и, естественно, российский банковский сектор не является исключением. Напротив, за последние несколько лет наблюдается «бум» внедрения технологий такого рода отечественными кредитными организациями, причем развитие их непосредственно следует за достижениями в области технологий компьютерной связи, – так появились, к примеру, системы Wi-Fi-банкинга. Фактически ни одно из подобных технологических и технических достижений современности не остается без внимания банковского сообщества, что не удивительно, учитывая обострение борьбы за клиентуру и рынки сбыта финансовых продуктов. Вместе с тем следует отметить, что большинство кредитных организаций не ограничивается лишь одним каналом дистанционного банковского обслуживания, наращивая «технологические мышцы» и вводя в эксплуатацию одну систему такого рода за другой.
Типичными примерами, судя по результатам анкетирования Банка России, уже стали кредитные организации, предлагающие по 3 – 4 варианта этих систем для юридических и физических лиц, для клиентов, предпочитающих мобильный банкинг или предоставление банковских услуг через Интернет (так называемый «интернет-банкинг»), для пользователей «наладонных» компьютеров, коммуникаторов или PDA[4 - PDA = Personal Digital Assistant – тип сверхлегкого миниатюрного персонального компьютера.] (для которых организуются также специальные web-сайты) и т.п. Использование разнообразных телекоммуникационных сетей и систем вызвало к жизни управляемые через сеть Интернет (далее – Сеть) банкоматы, разнообразные системы мобильного (WAP-, SMS-, GSM-, GPRS-) и Wi-Fi-банкинга, POS-терминалы[5 - WAP = Wireless Application Protocol – протокол беспроводного взаимодействия, служит для обеспечения беспроводного доступа к сервисам Интернет с помощью мобильного телефона. SMS = Short Message Service – служба коротких сообщений, позволяющая пользователям мобильных телефонов осуществлять двусторонний обмен текстовыми сообщениями между собой, а также с информационными системами разного назначения. GSM = Global System for Mobile communications – глобальная система мобильной связи. GPRS = General Packet data Radio Service – общая служба радиопередачи пакетированных данных, предназначенная для осуществления экономичного обмена данными с помощью мобильного телефона, включая обеспечение WAP-доступа к Интернету. Wi-Fi = Wireless Fidelity – обозначение некоторых типов беспроводных локальных вычислительных сетей (Wireless Local Area Network – WLAN), в которых используются спецификации протокола семейства 802.11. POS = Point-Of-Sale – пункт продаж, место продавца (кассира). POS-терминал – устройство, предназначенное для дистанционного проведения расчетов за покупки в торговых предприятиях с использованием банковских пластиковых карт.], и процесс этот, судя по всему, не прекратится до тех пор, пока существуют кредитные организации, конкуренция в банковской сфере, да и так называемый «научно-технический прогресс».
В то же время на мощной волне использования в банковской деятельности достижений в областях компьютерных и телекоммуникационных технологий существенно меняются способы и условия осуществления банковской деятельности. Речь, конечно, не идет о том, что применение таких технологий изменяет сущность банковской деятельности: в конце концов под электронным банкингом понимается не более чем некий новый «транспорт», обеспечивающий доступ клиента к вполне традиционным банковским продуктам и услугам, однако особенности этого транспорта таковы, что меняется характер банковского обслуживания, а отчасти и его содержание. То и другое в свою очередь существенно изменяет состав факторов и источников рисков, связанных с банковской деятельностью, из-за чего происходит смещение профилей риска кредитных организаций.
Необходимо отметить, что как отечественные, так и некоторые зарубежные кредитные организации, даже крупные, нередко демонстрируют недостаточное осознание этих изменений, придерживаясь своего рода «традиционных подходов» к пониманию содержания банковской деятельности, не замечая при этом, что времена уже наступили другие, а вместе с ними изменилось и само содержание. Этому, по-видимому, способствует и достаточно консервативный характер банковского сообщества в целом, в котором традиционно считается, что для высшего руководства кредитных организаций квалификация в области информационных технологий является лишь факультативной. Кстати сказать, во многих случаях отсутствие или неполнота осознания «нового времени» фактически закреплены в законодательстве, регламентирующем банковскую деятельность, и российское банковское (и в широком смысле финансовое) законодательство в этом смысле также не является исключением.
В российских условиях наиболее близким примером является, естественно, Федеральный закон от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности». В его содержании отсутствует то, о чем сказано в его названии, а именно – в нем нет определения банковской деятельности как таковой. Вместо этого в ст. 5 перечислены «банковские операции и другие сделки», к которым фактически сведено понятие «деятельности», т.е. изначально неясно, что именно следует понимать под банковской деятельностью. Можно заметить, что с содержательной точки зрения все кредитные организации (или хотя бы те, которые определяются как универсальные) выполняют примерно одни и те же операции и предоставляют сходные банковские услуги, однако способы осуществления и результаты их банковской деятельности могут оказаться принципиально различными (вплоть до отзыва лицензии на это осуществление). Таким образом, дело заключается не столько в операциях, сколько в способах и условиях их совершения, которые определяет руководство кредитной организации, и применение технологий электронного банкинга это подчеркивает (в основном именно за счет смещения профилей риска кредитных организаций).
Указанное недоразумение, на первый взгляд не очень важное, на практике приводило и приводит к возникновению немалого количества новых источников банковских рисков, которые традиционно с этой деятельностью не связывались, – в сфере технологий электронного банкинга это проявляется наиболее наглядно. Внедрение систем электронного банкинга всегда приводит к такому не всегда заметному смещению профилей рисков кредитных организаций, к чему многие из них на практике оказываются не готовы. Ситуация усугубляется еще и тем, что зачастую банковская деятельность (в широком смысле, как будет показано ниже) оказывается зависимой от сторонних компаний – провайдеров, о компьютерных и телекоммуникационных системах которых специалисты кредитных организаций могут не иметь необходимых для их надежного функционирования сведений. Следствием этого становятся крупные потери кредитных организаций и их клиентов из-за компьютерных мошенничеств и хищений, сетевых и вирусных атак, ошибок и инцидентов информационной безопасности, нарушений законодательства и других негативных явлений. Кроме того, коль скоро банковская деятельность во многом уходит в «виртуальное киберпространство», могут обостриться и все аналогичные проблемы с инсайдерами кредитной организации, которые лучше всех информированы об особенностях функционирования ее автоматизированных систем. Поэтому разработка подходов к обеспечению надежной банковской деятельности в условиях применения кредитными организациями технологий электронного банкинга стала весьма актуальной, о чем также говорит эта книга.
Фактически системы электронного банкинга появились в российском банковском секторе довольно давно, еще в начале 90-х гг. прошлого века, только назывались они тогда системами «Банк – Клиент» и не имели разновидностей[6 - Любые технологии электронного банкинга реализуются распределенными автоматизированными компьютерными системами, относящимися к системам «Банк – Клиент»; тем не менее для удобства классификации в главе 1 будет рассмотрена соответствующая обобщенная схема деления этих технологий, используемая в интересах банковского надзора, в частности, Банком Германии («Дойчебундесбанком»).]. Практически во всех случаях это были системы с так называемым «толстым клиентом», под которым понималось некое автоматизированное рабочее место с установленным на нем специализированным программным обеспечением для доступа к информационно-процессинговым ресурсам кредитной организации, служебными базами данных, средствами криптозащиты трафика, ограничения физического и логического доступа и т.д. Вопросы относительно банковских рисков, связанных с такими системами, как правило, не поднимались, поскольку все рисковые компоненты оставались на стороне клиента (естественно, юридического лица), и вообще в то время эти темы не обсуждались, потому что случаев несанкционированного доступа к упомянутым ресурсам было довольно мало.
За почти два прошедших десятилетия ситуация изменилась кардинальным образом и прежде всего потому, что акценты в финансовом обслуживании стали смещаться в сторону клиентов – физических лиц. Вследствие этого актуальны стали уже системы дистанционного банковского обслуживания с так называемым «тонким клиентом» – в предельном варианте, в случае банковского обслуживания через Интернет, – это обычный интернет-браузер типа Microsoft Explorer, Netscape Navigator, Mozilla, Opera и пр., через который можно получить доступ к диалоговым средствам интерфейса с процессингом кредитной организации. Одновременно возникли факторы риска, связанные с трафиком через не только локальные, но также зональные и глобальные сетевые структуры. Однако их наличие не остановило кредитные организации, стремящиеся за счет увеличения масштабов и количества вариантов дистанционного предоставления банковских услуг охватить как можно большее число клиентов, ценящих оперативность и удобство банковского обслуживания.
Как показывает изучение предложений компаний – разработчиков банковского программного обеспечения, в настоящее время в области удаленного автоматизированного (компьютеризованного) банковского обслуживания наблюдаются следующие четыре тенденции:
1) агрегация требований клиентуры кредитных организаций, их самих и корпоративных структур;
2) сочетание возможностей корпоративного и розничного банковского обслуживания;
3) создание корпоративных систем и модульная технология «Plug-and-Play»;
4) комбинация в системах дистанционного банковского обслуживания возможностей «толстого» и «тонкого» клиента.
Вместе с тем предлагаются варианты централизованного, распределенного и комбинированного построения систем дистанционного банковского обслуживания на основе локальных и зональных вычислительных сетей.
Можно отметить, что уже несколько лет российский банковский сектор основной акцент делает на внедрении и развитии многоканального дистанционного банковского обслуживания с интеграцией разнородных информационных технологий, при этом стараясь повысить эффективность способов и средств выполнения банковских операций и сделок, а также снизить уровни банковских рисков. Последнее, к сожалению, удается далеко не всегда, поскольку встречается немало примеров внедрения кредитными организациями недостаточно апробированных и защищенных компьютерных технологий (в широком смысле), несоответствия условий, в которых применяются технологии электронного банкинга, принципам обеспечения надежной банковской деятельности. Разного рода «деклассированные элементы» отечественного социума также быстро обучаются использованию систем электронного банкинга в противоправных целях, из-за чего достаточно серьезные финансовые потери несут и сами кредитные организации, и их клиенты. За последние три года число таких случаев выросло в несколько раз, так что суммарные финансовые потери российских кредитных организаций (и их клиентов) оцениваются уже десятками и сотнями миллионов рублей.
Такие потери свидетельствуют как о недопустимо высоких уровнях банковских рисков, принимаемых на себя кредитными организациями в процессе развития и увеличения масштабов дистанционного банковского обслуживания, так и об «эффективной» реализации источников этих рисков в отсутствие пруденциальных условий применения новых банковских информационных технологий. Это в свою очередь обусловлено наличием значительного количества недостатков в организации их применения в целом и использования конкретных систем электронного банкинга, причем как самими кредитными организациями, так и их клиентами. Ответственность за это лежит на руководстве и персонале кредитных организаций (а не на клиентах, как часто считается), поскольку и банковские автоматизированные системы, и клиенты, и контрагенты относятся к их так называемым «зонам ответственности». На самом деле ничего сверхъестественного в смысле организации надежных условий использования любых технологий дистанционного банковского обслуживания нет. Дело вовсе не в технологиях как таковых, или в банковских автоматизированных системах, или их локальных либо зональных вычислительных сетях и т.п., а в том, в каких целях и как именно все эти системы применяются. Определение же условий применения этих средств является прерогативой в первую очередь руководства высокотехнологичных кредитных организации, их исполнительных органов и менеджмента на разных уровнях внутрибанковской иерархии, вследствие чего в подавляющем большинстве случаев проблемы, возникающие у кредитных организаций в рассматриваемой предметной области, непосредственно увязываются с такими недостатками в их корпоративном управлении, что оно и корпоративным-то может считаться только с серьезной натяжкой.
Происходит это потому, что специфика новых банковских информационных технологий и их значимость для современной кредитной организации и ее клиентов недостаточно оцениваются и осознаются ее руководителями (исполнительными органами). При этом специфика применения соответствующих банковских автоматизированных систем должна в оптимальном варианте прямо отражаться в специальных условиях, в которых они применяются и которые организуются исходя из требований снижения влияния сопутствующих их особенностям угроз надежной банковской деятельности, т.е. уровней рисков. По многочисленным наблюдениям и публикациям в средствах массовой информации управление банковскими рисками в отечественных кредитных организациях оставляло и до сих пор оставляет желать лучшего, и особенно это относится к управлению такими рисками, уровни которых непосредственно зависят от, так сказать, «степени пруденциальности» условий применения новых банковских информационных технологий. Как ни странно, многочисленные случаи реализации этих рисков именно по технологическим и техническим причинам редко приводят к улучшению корпоративного управления.
Очевидно, что традиционная интерпретация банковской деятельности как только лишь совершения банковских операций не только устарела, но принципиально неприемлема, т.е. вместе с внедрением кредитными организациями новых банковских информационных технологий, видов и способов предоставления банковских услуг требуется «новое мышление» их руководства и осознание влияния изменения способов и условий банковской деятельности на ее содержание и характеристики. Специфическими особенностями современного банковского обслуживания стали именно способы дистанционного информационного взаимодействия между кредитными организациями и их клиентами в информационном контуре банковской деятельности, который создается новыми технологиями. Это новое явление и новое понятие, вошедшие в банковскую деятельность, и одним из важнейших следствий этого стала необходимость изменения подходов к корпоративному управлению в кредитных организациях, а именно адаптации его к тем технологиям и системам электронного банкинга, которые внедряют эти организации, – тоже как следствие корпоративных решений о переходе к дистанционному банковскому обслуживанию. Вместе с тем принципиально важной становится и оценка обеспеченности кредитной организации ресурсами, необходимыми для надежного банковского обслуживания в этом контуре: оборудованием, персоналом, квалификацией и т.д.
В первую очередь важно осознание высшими руководителями и менеджерами, входящими в исполнительные органы кредитных организаций, того, что реализация всех технологий электронного банкинга базируется на распределенных компьютерных системах. Это в свою очередь приводит к тому, что зоны ответственности кредитной организации существенно расширяются и даже такие традиционные из них, как клиентская или внутрисистемная, радикально видоизменяются (в плане содержания указанной ответственности). Современные универсальные протоколы сетевого взаимодействия и организация телекоммуникационных сетей по так называемому «принципу открытых систем» приводят к возникновению новых факторов, обусловливающих возникновение нетипичных (и непривычных) источников компонентов банковских рисков. В настоящее время нет необходимости в пропагандировании мультикомпонентности, комплексного характерa типичных банковских рисков[7 - Использована формулировка из Указания оперативного характера Банка России от 23 апреля 2004 г. № 70-Т «О типичных банковских рисках».], однако в отечественных кредитных организациях традиционно принято уделять содержанию процесса управления банковскими рисками лишь формальное внимание, что в условиях применения технологий электронного банкинга означает гарантированное наличие непредвиденных и некомпенсируемых рисковых компонентов.
Поэтому, исходя из значимости новых факторов и источников банковских рисков, возникающих в указанных условиях, основная часть этой книги начинается именно с рассмотрения явления информационного контура банковской деятельности при электронном банкинге и обусловленных этим факторов риска системного характера, наличие которых целесообразно учитывать в интересах обеспечения надежности этой деятельности. Изложение ведется во многом с использованием материалов Базельского комитета по банковскому надзору и органов банковского регулирования и надзора США, поскольку они наиболее полно характеризуют рисковую обстановку в условиях применения технологий электронного банкинга. С учетом условий российского банковского сектора, в котором действует ряд специфических ограничений, выделяются и анализируются с аналогичных позиций лишь несколько типичных банковских рисков. Главный проблемный вопрос для кредитных организаций при принятии решений относительно применения тех или иных технологий заключается в убеждении, что получаемые от этого выгоды заведомо будут больше, чем возможные потери из-за затрат на внедрение и эксплуатацию банковских автоматизированных систем, реализующих такие технологии, и на компенсацию реализации компонентов банковских рисков, связанных с ведением бизнеса в «киберпространстве».
Речь не случайно идет об использовании риск-ориентированного подхода при анализе проблем, сопутствующих внедрению технологий электронного банкинга. Необходимо подчеркнуть, что в современных российских условиях с почти полным отсутствием законодательных и других нормативных актов, относящихся к области так называемых «электронных финансов» или, как иногда говорят, «предоставления финансовых услуг в электронной форме», пустота этого сегмента правового поля оказывает крайне негативное влияние на обеспечение надежности банковской деятельности, практически полностью зависящей от функционирования банковских автоматизированных систем и условий их использования прежде всего из-за отсутствия соответствующих точно определенных и установленных ориентиров. Из-за этого и наибольшая часть практических решений оказывается прерогативой вовсе не высшего руководства кредитных организаций, а менеджмента среднего звена, а то и просто персонала исполнительского уровня (что будет показано при рассмотрении процессного подхода). В рамках же риск-ориентированного подхода акцент делается на выявлении и устранении или, как минимум, ослаблении потенциального влияния источников компонентов банковских рисков (или хотя бы его хеджировании), а значит, и повышении этой надежности в корпоративном плане.
Риск-ориентированный подход весьма эффективен именно в приложении к анализу информационного контура банковской деятельности и вообще автоматизации внутрибанковских процессов в силу своей универсальности: он служит защите кредитных организаций и их клиентов от любых угроз их интересам или негативных явлений независимо от степени развития законодательной базы банковской деятельности. Очевидно, что все нюансы технологического и технического обеспечения этой деятельности никакими нормативными правовыми актами предусмотреть невозможно в силу того, что оно изначально не может регламентироваться в соответствии с действующим банковским законодательством. Из-за этого оказывается невозможно зафиксировать упомянутые ориентиры ни на федеральном, ни на отраслевом или ведомственном уровне. Впрочем, зарубежный опыт банковского регулирования и надзора показывает, что в этом нет необходимости (если, конечно, имеется развитая законодательная база, содержащая описания как порядка, так и характеристик банковской деятельности). Но тогда единственным вариантом содействия обеспечению надежности высокотехнологичных кредитных организаций остается разработка рекомендаций, основанных на здравом смысле, с указанием тех недостатков (не нарушений!), о которых лучше знать заранее и которые целесообразно устранять (лучше же – не допускать их появления), чтобы надежность банковской деятельности не снижалась независимо от того, какие именно автоматизированные системы внедряет кредитная организация. Здесь имеется в виду, что риск-ориентированный подход вполне был бы пригоден даже в условиях полного отсутствия (если можно такое представить) регламентации банковской деятельности со стороны государства (из состава банковских рисков исчез бы лишь правовой риск) для выработки рекомендаций по повышению ее технологической надежности.
Далее акцент делается на уже достаточно широко известном у нас так называемом процессном подходе, использование которого оказывается весьма желательным именно при переходе кредитной организации к дистанционному банковскому обслуживанию и его дальнейшем развитии. Как правило, такие организации, внедрившие и апробировавшие один из вариантов электронного банкинга, на достигнутом не останавливаются (к этому их подталкивает и конкуренция) и продолжают развивать это направление банковской деятельности, расширяя спектр предоставляемых клиентам сервисов и внедряя новые банковские информационные технологии и автоматизированные системы. Вследствие этого, помимо жизненного цикла таких систем, оказывается целесообразным говорить и о жизненном цикле внутрибанковских процессов. К сожалению, как свидетельствует опыт изучения деятельности российских кредитных организаций, такой подход все еще остается делом будущего (хотя автор обоснованно является его убежденным сторонником).
В свою очередь реализация такого подхода в новых условиях банковской деятельности, сущность которых определяется теми информационными технологиями, которые внедряет кредитная организация, невозможна без пересмотра организации и содержания прежде всего общих внутрибанковских процессов управления и контроля, которые в таких организациях приобретают заметную специфику. Особенности корпоративного управления в условиях применения технологий электронного банкинга заключаются в его четкой ориентации, во-первых, на учет особенностей самих технологий такого рода, реализующих их автоматизированных систем и информационного контура банковской деятельности, во-вторых, на обеспечение соответствия их применения принципам или стандартам «пруденциальной» банковской деятельности (хотя в российском банковском секторе подобная терминология пока не является общепринятой) и, в-третьих, на своевременную и адекватную адаптацию внутрибанковских процессов при внедрении и развитии дистанционного банковского обслуживания. Принципиально важным здесь является то, что, какими бы ни были технологические нововведения в обеспечении банковской деятельности, они не должны негативно влиять на выполнение кредитными организациями своих обязательств перед клиентами (имея в виду защиту их интересов) и контролирующими банковскую деятельность государственными органами. Кроме того, в современных условиях повышается важность обеспечения предоставления последним полной, своевременной и адекватной информации о банковской деятельности в целом и об операциях, совершаемых кредитными организациями по ордерам удаленных клиентов.
Отдельная глава посвящена специфической проблематике управления web-отношениями кредитной организации – актуальная тема в условиях использования представительств в Сети подавляющим большинством отечественных кредитных организаций. Несмотря на то что, к примеру, технология интернет-банкинга используется в российском банковском секторе уже достаточно давно (с 1997 – 1998 гг.), вопросам риск-ориентированного анализа отношений, возникающих в Сети между разными агентами сетевого и информационного взаимодействия, внимания в литературе до последнего времени не уделялось. Однако исследования, проводимые зарубежными органами банковского регулирования и надзора, свидетельствуют о наличии ряда достаточно «тонких» аспектов такого взаимодействия, за которыми в отсутствие их учета также скрываются источники компонентов банковских рисков, так как само наличие web-отношений оказывается своеобразным фактором риска как для кредитной организации, так и для ее клиентов. Обусловлено это преимущественно спецификой проявления виртуальных эффектов Сети как открытой информационной системы.
Главное же заключается в осознании необходимости модернизации ряда действующих внутрибанковских процессов, имеющих непосредственное отношение к дистанционному банковскому обслуживанию с учетом особенностей упоминавшихся новых условий банковской деятельности, а также формирования новых процессов (например, управления отношениями с провайдерами, web-отношениями и т.п.). Такое осознание логично связывается с разработкой своего рода новой идеологии управления и контроля, которая инициируется советом директоров кредитной организации, а затем реализуется ее исполнительными органами и менеджерами разных уровней. В связи с этим в изложении введено понятие внутрибанковского «мета-процесса», управляющего циклической адаптацией отдельных процессов, которая сама определяется темпом нововведений по направлениям применения компьютерных информационных технологий. Отсутствие соответствующего «руководящего подхода» к внедрению новых средств компьютеризации банковской деятельности вместо ожидаемых выгод может стать причиной непредсказуемого возникновения и реализации источников компонентов банковских рисков. В ситуации, когда банковская деятельность сама стала во многом информационной дисциплиной, такие компоненты могут оказаться весьма существенными и для кредитной организации, и для ее клиентов. Поэтому наиболее важным аспектом адаптации оказывается обеспечение сохранения управляемости и контролируемости банковской деятельности, переходящей при электронном банкинге в виртуальное пространство.
Содержание этой книги опирается на материалы зарубежных и международных органов банковского регулирования и надзора (в том числе представленных на ряде международных семинаров по тематике электронного банкинга), мнения зарубежных специалистов по вопросам обеспечения надежности высокотехнологичной банковской деятельности, опыт изучения организации применения технологий электронного банкинга отечественными кредитными организациями и зарубежными коммерческими банками, а также их дочерними банками, работающими на территории России. Несмотря на то что кредитных организаций, полностью свободных от недостатков, пока не выявлено (это не означает, что их не существует, – просто любой человеческий опыт имеет вполне понятные ограничения!), что и неудивительно, учитывая сложность и относительную новизну рассматриваемой тематики, все-таки результаты изучения зарубежного опыта свидетельствуют о желательности следования ему в отечественном банковском секторе, поскольку даже в отсутствие должным образом развитого финансового и, в частности, банковского законодательства использование так называемой «лучшей практики»[8 - Общепринятый термин в материалах зарубежных органов банковского регулирования и надзора.] способно существенно снизить уровень ряда типичных банковских рисков (имея в виду те риски, уровни которых прямо зависят от банковских информационных технологий и реализующих их внутрибанковских процессов, процедур и автоматизированных систем).
Базельский комитет по банковскому надзору уделяет в ряде своих публикаций серьезное внимание вопросам управления рисками в условиях применения технологий электронного банкинга и корпоративному управлению в кредитных организациях. Следование его рекомендациям позволяет повысить надежность банковской деятельности в целом за счет снижения уровней рисков, которым подвергаются кредитные организации и их клиенты, а значит, обеспечить лучшую защиту их интересов.
Глава 1
Понятие и специфика технологий электронного банкинга
Любая достаточно развитая технология неотличима от магии.
Артур Кларк
Независимо от того, какого рода система дистанционного банковского обслуживания (ДБО) внедряется кредитной организацией, такая система фактически становится для нее своеобразными «виртуальными воротами», которые открывают доступ из «киберпространства» локального, зонального или глобального сетевого взаимодействия к информационно-процессинговым ресурсам и информационным а по сути, – к финансовым активам этой организации. Надежность банковской деятельности, которая осуществляется через такое пространство, непосредственно зависит от того, насколько организация способна управлять происходящими в нем и значимыми для нее (и ее клиентов) процессами и контролировать их течение. Очевидно, что специфика такой деятельности изначально находится в противоречии между обеспечением доступа к упомянутым ресурсам только и исключительно для легитимных пользователей (официально зарегистрированных клиентов, операторов, операционистов и т.п.), действующих в пределах точно установленных для них прав и полномочий, и технологиями, предполагающими реализацию принципов открытых систем и универсальных протоколов сетевого взаимодействия, составляющих базис большинства вариантов ДБО. Если руководство кредитной организации, внедряющей систему электронного банкинга (СЭБ), недостаточно полно представляет себе особенности проблематики ДБО с точки зрения вариативности состава компонентов типичных банковских рисков, принимаемых на себя кредитной организацией, то уровни этих рисков будут заведомо (и неоправданно) повышаться, а сами эти компоненты – реализоваться, что всегда приводит к финансовым потерям.
До настоящего времени в российском банковском секторе внедрение и применение банковских информационных технологий в целом не считается чем-то значимым с точки зрения изменения характера банковской деятельности. В подавляющем большинстве кредитных организаций этот процесс не предваряется и не сопровождается адекватным анализом состава сопутствующих таким технологиям компонентов банковских рисков. Из-за этого как сами кредитные организации, так и их клиенты оказываются подвержены новым специфическим угрозам надежности банковской деятельности. С этими угрозами кредитные организации далеко не всегда справляются, о чем свидетельствует, к сожалению, уже достаточно обширная статистика финансовых потерь этих организаций и их клиентов. При этом собственно технологический аспект оказывается в значительной степени «вторичным»: к примеру, не столь важно, каким именно путем похищаются финансовые средства – с помощью банкоматного мошенничества, через систему интернет-банкинга, за счет применения какого-то варианта фишинга, фарминга или вишинга и т.п., – важно то, что деньги исчезают именно в информационном контуре ДБО по причинам недостаточно полного учета новых факторов источников типичных банковских рисков и управления ими в кредитной организации.
Вследствие этого рассматриваемая ниже классификация технологий или вариантов ДБО может варьироваться без ущерба для общности рассмотрения этой предметной области. Она введена в основном для того, чтобы можно было выделить те особенности каналов и сред информационного взаимодействия между кредитными организациями и их клиентами, которые желательно учитывать в случаях комплексного внедрения соответствующих систем ДБО. В настоящее время компании, разрабатывающие системы такого рода, или кредитные организации, осуществляющие их самостоятельные разработки, все больше стремятся к многоканальности предоставления банковских услуг, объединяющей его варианты. Вместе с тем это, как правило, не приводит к организации комплексного анализа всей совокупности источников банковских рисков, сопутствующих каждому из каналов ДБО, а следовательно, новые источники рисков остаются «скрытыми» для кредитной организации, так что воздействие на них (т.е. собственно управление рисками) начинается нередко лишь тогда, когда они реализуются в виде финансового ущерба.
1.1. Классификация технологий электронного банкинга
На сегодняшний день единой, устоявшейся классификации технологий электронного банкинга еще не существует. Поскольку любые технологии такого рода используются для обеспечения удаленного информационного взаимодействия между кредитными организациями и их клиентами, с наиболее общей точки зрения можно полагать, что все они в совокупности охватываются одним общим понятием систем типа (или класса) «Банк – Клиент». В то же время исторически сложившиеся этапы развития способов и средств этого взаимодействия привели к тому, что под системами «Банк – Клиент» до настоящего времени понимаются преимущественно такие программно-технические комплексы, для функционирования которых на стороне клиента необходимо создание специализированного автоматизированного рабочего места (АРМ) на базе персонального компьютера, установка на нем специализированного программно-информационного обеспечения ДБО, задействование тех или иных выделенных каналов связи (на основе кабельных или релейных линий), а также введение на стороне кредитной организации шлюзов для передачи потоков данных (модемных пулов, маршрутизаторов, коммутаторов и т.п.).
Такие достаточно «тяжеловесные» и дорогостоящие системы получили условное название систем «с толстым клиентом»[9 - Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальности и т.п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.]. Эти системы характеризуются достаточно обширными функциональными возможностями в части ограничения прав доступа к информационно-процессинговым ресурсам клиента и кредитной организации, использования служебных баз данных и баз нормативно-справочной информации, криптозащиты сетевого трафика, а также сохранения так называемой «сеансовой информации», сопровождающей двусторонний информационный обмен (что принципиально важно для обеспечения юридической силы так называемых «электронных документов», парирования случаев «отказа от операций», разрешения спорных ситуаций и т.п.). За все эти возможности приходится, естественно, немало платить, что могут себе позволить в основном юридические лица.
В отличие от этих систем для обслуживания физических лиц гораздо удобнее и дешевле системы с так называемым «тонким клиентом», использование которых не связано с необходимостью установки на АРМ клиента специального программно-информационного обеспечения, да и само стационарное АРМ на его стороне зачастую не требуется. В наиболее «тонком» случае могут использоваться обычный браузер или система меню, что типично для технологий мобильного и интернет-банкинга. Однако в этих случаях осложняется решение всех перечисленных выше вопросов с точки зрения функциональных возможностей той или иной технологии электронного банкинга (ТЭБ) и реализующей эту технологию СЭБ. Эта книга преимущественно посвящена тому, чем приходится «платить» кредитным организациям и их клиентам за удобства оперативного доступа к информационно-процессинговым ресурсам, обеспечивающим банковскую деятельность.
Вместе с тем каждый из способов ДБО и каждая используемая для его реализации банковская автоматизированная система (БАС) могут иметь ряд принципиальных отличий (прежде всего в части каналов связи и среды взаимодействия), равно как и множество особенностей, из-за чего объединение их в один класс существенно затрудняет анализ состава компонентов банковских рисков, угроз банковской деятельности, лежащих в их основе, и причин возникновения этих угроз. Для такого анализа наиболее удобна простая классификационная схема, используемая специалистами Департамента банковского надзора Банка Германии (рис. 1.1)[10 - По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.]:
Рис. 1.1. Укрупненная классификация вариантов электронного банкинга
На этой схеме отсутствует деление отдельных «ветвей», учитывающее специфические детали, свойственные различным технологиям электронного банкинга, поскольку для последующего изложения это не принципиально, к тому же такие варианты ДБО, как использование, скажем, систем Wi-Fi, в отечественной банковской практике еще не стали распространенными. Кроме того, не имеет принципиального значения и конкретный вариант ДБО, выбираемый кредитной организацией: важно лишь то, что «если компания не следует тенденциям изменяющихся рыночных, финансовых и технологических условий, то она недолго останется в бизнесе»[11 - Coderre D. Internal Audit. Efficiency through automation. John Wiley & Sons Inc., Hoboken, NJ, USA, 2009.]. В современном банковском бизнесе кредитные организации, если они не хотят потерять конкурентные преимущества, по существу, «вынуждены» переходить к дистанционному предоставлению банковских услуг, а следовательно, «радикально перестраивать» организацию своей банковской деятельности. В этой ситуации принципиально важным становится то, что речь идет именно о деятельности кредитной организации в целом, а не только о выполнении «банковских операций» и «других сделок».
