Информационные риски в банкинге Текст научной статьи по специальности «Экономика и бизнес»

В.К. Спильниченко

ИНФОРМАЦИОННЫЕ РИСКИ В БАНКИНГЕ

В XXI в. мировая банковская система претерпевает существенные изменения:

1. Качественно меняется место и роль национальных регуляторов банковской системы.

2. В банковскую практику активно внедряются принципиально новые продукты и услуги, основанные на современных информационных технологиях.

3. Активно дискутируется вопрос о кардинальном изменении функций и места в банковском бизнесе инвестиционного банкинга.

4. Радикальной трансформации подвергаются банковский риск-менеджмент, бухгалтерский учет и аудит.

5. Существенному пересмотру подлежит система рейтинговой оценки надежности банков.

6. Происходит значительное перераспределение сил в рамках мирового банковского сообщества.

7. Мировое лидерство постепенно переходит от традиционных финансовых центров (банков США, Японии и Западной Европы) к новым центрам банковского бизнеса (Индии и Китаю).

Все эти изменения - ответ мировой банковской системы на вызовы, с которыми она столкнулась на рубеже XX-XXI вв. Речь идет о столь существенных переменах, что многие исследователи банковского дела в мире высказывают предположение о переходе банковской отрасли на новую ступень своего развития.

Современный банкинг1 - это новая модель банковского бизнеса на этапе вступления человечества в эпоху информационной экономики. В условиях дематериализации финансовых отношений и формирования цифрового рынка операции коммерческих банков также приобретают виртуальный характер: от информационных банковских систем, обеспечивающих учет и проведение банковских транзакций, до систем дистанционного банковского обслуживания и автоматизированных банковских терминалов. (Мы согласны с Крисом Скиннером, который пишет, что в XXI в. «банкинг - это цифровой рынок, основанный на виртуальных финансовых отношениях, оформленных электронными транзакциями»)2.

В этих условиях одной из важнейших составляющих успешного развития коммерческого банка становится защищенность его информационных ресурсов. Информация в современном обществе является одним из ключевых элементов бизнеса. Она становится предметом купли-продажи, обладающим стоимостными характеристиками. Любые процессы в финансово-промышленной, политической или социальной

84

сфере сегодня напрямую связаны с информационными ресурсами и использованием информационных технологий.

Современные информационные технологии предлагают неограниченные возможности для развития банковского бизнеса, предоставляя необходимую для принятия решений информацию нужного качества и в нужное время. Информация, критичная для банков, должна быть доступной, целостной и конфиденциальной. В связи с возрастающей сложностью информационных систем и используемых в них информационных технологий возрастает количество потенциальных угроз этим системам.

Очевидно, что вопросы безопасности информационных активов сегодня актуальны не только для правительственных, но и для коммерческих структур. В связи с этим защита банковских информационных ресурсов, анализ информационных рисков и управление ими приобретают особую актуальность. Вместе с тем проведенный анализ свидетельствует о том, что в научной литературе до сих пор не сложилась единая точка зрения на экономическое содержание категории «информационные риски» и на их место в системе рисков банкинга.

В экономической литературе существуют различные подходы к пониманию сущности экономического риска. Так, по мнению Л. Тэпма-на, риск - это возможность возникновения неблагоприятных ситуаций в ходе реализации планов и исполнения бюджетов предприятия3. Ю. Мас-ленчиков считает, что риск - это вероятность возникновения убытков или неполучения доходов по сравнению с прогнозируемым вариантом4. Однако приведенные определения не предусматривают возможность успеха, получения прибыли и т.п., что несколько сужает понятие риска.

По мнению Е. Серегина, риск - это деятельность субъектов хозяйственной жизни, связанная с преодолением неопределенности в ситуации неизбежного выбора, в процессе которой имеется возможность оценить вероятность достижения желаемого результата, неудачи, отклонения от цели, содержащиеся в выбираемых альтернативах5. Это определение, на наш взгляд, более точно отражает сущность данного понятия, так как использует более широкую трактовку риска.

Принятие рисков - основа банковского дела. Банки имеют успех тогда, когда принимаемые ими риски разумны, контролируемы и находятся в пределах их финансовых возможностей и компетенции. Банки, как правило, стремятся получить наибольшую прибыль. Но это стремление ограничивается возможностью понести убытки. Риск банковской деятельности в общем плане означает вероятность того, что фактическая прибыль банка окажется меньше запланированной.

Банковский риск - это ситуативная характеристика деятельности банка, отображающая неопределенность ее исхода и характеризующая вероятность негативного отклонения действительности от ожидаемого. В этом определении должное внимание уделяется всем ключевым понятиям,

85

необходимым для осмысления банковских рисков, прежде всего таким как неопределенность ситуации принятия решения и вероятность негативного отклонения результата от планируемого6.

Сегодня особое место среди банковских рисков занимают играть информационные риски. Пока еще не сложилось общепринятого толкования этой категории. Информационный риск - это возможное событие, в результате которого несанкционированно удаляется, искажается информация, нарушается ее конфиденциальность или доступность. Понятие информационного риска используется как синоним понятия «угроза безопасности информации». Управление такими информационными рисками сводится к защите информации в основном от злоумышленных действий.

Некоторые специалисты еще в большей степени сужают понятие информационного риска, рассматривая его как угрозу безопасности информации только в компьютерных системах. Сторонниками таких подходов к пониманию категории «информационные риски» являются, как правило, специалисты в области защиты информации, рассматривающие только технические средства информационных технологий, исключая такой ключевой элемент информационных систем, как специалист7.

По нашему мнению, информационные риски следует рассматривать как экономическую категорию, то есть возможность возникновения убытков, неполучение прибыли и другие негативные последствия для банка в результате применения информационных технологий. Иными словами, информационные риски связаны с созданием, передачей, хранением и использованием информации с помощью электронных носителей и иных средств связи8.

Итак, информационные риски - это:

- утрата или несанкционированный доступ к конфиденциальной информации;

- выход из строя банковских информационных систем;

- распространение вредоносного программного кода (как в банковских информационных системах, так и в информационных системах третьих лиц - клиентов банка);

- несанкционированное использование информационных ресурсов

банка;

- хищение / несанкционированное раскрытие или ущерб, нанесенный информации третьих лиц по вине банка.

Таким образом, реализация информационных рисков может привести к нарушению конфиденциальности, целостности и доступности банковской информации или к утрате (частичной или полной) информационных активов банка и / или третьих лиц - клиентов банка.

Статистика инцидентов, связанных с реализацией информационных рисков в коммерческих банках, крайне ограничена. По нашему мнению, это прежде всего связано с опасением банков за свою репутацию и

86

изначальным нежеланием раскрывать такого рода сведения, что обусловлено отсутствием в нормативно-правовых актах Российской Федерации требований по обязательной публикации информации об инцидентах, связанных с реализацией информационных рисков. Однако количество раскрытой информации об указанных инцидентах постепенно растет. Так, за 2011 г. в российских компаниях, в том числе коммерческих банках, зафиксировано более 850 инцидентов, связанных с реализацией информационных рисков и повлекших материальный или репутационный ущерб9. Вот некоторые из них:

1. Банковская база 47 тыс. клиентов в Уфе использовалась для шантажа банка со стороны работников общественной организации - 24.08.2011.

2. В Сбербанке из-за технического сбоя 6.07.2012 было приостановлено обслуживание всех карт. Из-за выхода из строя базы данных процессинга услуги не предоставлялись в течение 3 часов10.

Информационные риски присущи и зарубежным банкам. В соответствии с информацией, размещенной на сайте американской некоммерческой организации Privacy Rights Clearinghouse, утечка информации, взлом информационных систем и непреднамеренное разглашение информации являются основными причинами информационных рисков, присущих чувствительной или конфиденциальной информации.

Вот примеры реализации информационных рисков в зарубежных банках:

1. 30 октября 2012 г. работник Нью-Йоркского отделения HSBC Bank ушел в отставку, забрав «на память о долгих годах работы» информацию, содержащую имена, номера и типы банковских счетов, номера телефонов клиентов банка.

2. Ноутбук работника BMO Harris Bank (Milwaukee) был украден вместе с персональными данными клиентов (именами, адресами и датами их рождения).

3.23 августа 2011 г. произошел инцидент в Berkshire Bank (Pittsfield, Massachusetts). На внешней стороне конвертов, разосланных клиентам банка, над именем получателя были напечатаны номера кредитных счетов клиентов банка11.

Приведенные факты свидетельствуют о том, что информационные риски представляют угрозу для коммерческих банков не только теоретическую, но и вполне реальную. Когда мы говорим об информационных рисках в коммерческих банках, то имеем в виду угрозы банковским информационным системам, нематериальным информационным активам, обрабатываемым в банковских информационных системах, а также последствия выхода из строя банковских информационных систем. Кроме того, в литературе нет определенной позиции по поводу того, к какой группе относить информационные риски. Банковские риски подразделяют на финансовые, прочие и функциональные.

87

Финансовые риски занимают особое место в системе банковских рисков. Такие риски могут повлиять на объем, структуру активов и пассивов, на конечные результаты деятельности банка - рентабельность, ликвидность и размер капитала, платежеспособность банка. К финансовым относятся следующие виды рисков: кредитный, валютный, процентный, риск ликвидности, рыночный, риск инфляции и риск неплатежеспособности.

Кредитный риск возникает вследствие неисполнения, несвоевременного либо неполного исполнения должником финансовых обязательств перед кредитной организацией в соответствии с условиями договора. Концентрация кредитного риска проявляется в предоставлении крупных кредитов отдельным заемщикам.

Валютный риск связан с созданием транснациональных предприятий и банковских учреждений и представляет возможность денежных потерь в результате колебания валютных курсов. Этот вид рисков может быть обусловлен неуплатой заемщиком основного долга и процентов в установленный кредитным договором срок. Кроме того, валютный риск возникает вследствие недостаточного учета отраслевых особенностей деятельности клиента, гарантий по ссудам, надежности гарантов.

Процентный риск - это подверженность финансового положения банка неблагоприятным изменениям процентных ставок. Риск влияет на доходы банка, стоимость активов, обязательств. Причины возникновения процентного риска - неправильный выбор разновидностей процентных ставок, изменения в процентной политике Банка России, ошибки в установлении цен на депозиты и кредиты.

Риск ликвидности связан с неспособностью кредитной организации исполнять свои обязательства в полном объеме. Риск ликвидности возникает в результате несбалансированности финансовых активов и финансовых обязательств кредитной организацией, в том числе вследствие несвоевременного исполнения финансовых обязательств одним или несколькими контрагентами.

Рыночный риск возникает из-за неблагоприятного для банка изменения рыночных цен.

Риск инфляции оказывает неоднозначное воздействие на банк. Наиболее очевидным является отрицательное влияние инфляции, проявляющееся в обесценении банковских активов, большую часть которых составляют денежные средства и финансовые вложения. Рост инфляции может в значительной степени повышать доходность банковских операций при стремительном росте объема денежной массы.

Риск неплатежеспособности является производным от других рисков и связан с опасностью того, что банк не может выполнять свои обязательства, потому что объемы накопленных убытков и потерь превышают его собственный капитал. Однако риск неплатежеспособности может проявиться в менее серьезном случае, когда банковского капитала

88

оказывается недостаточно, чтобы банк мог продолжать наращивать объем своих активных или пассивных операций.

К прочим видам рисков относятся нефинансовые риски, которые являются внешними по отношению к банку. Их влияние на работу банка исключительно велико, а управлять ими весьма трудно.

Правовой риск возникает у кредитной организации вследствие несоблюдения кредитной организацией требований нормативных правовых актов и заключенных договоров, а также правовых ошибок при осуществлении банковской деятельности.

Риск потери деловой репутации кредитной организации (репутационный риск) возникает в результате уменьшения числа клиентов (контрагентов) вследствие формирования в обществе негативного представления о финансовой устойчивости кредитной организации, качестве оказываемых ею услуг или о характере деятельности в целом.

По нашему мнению, информационные риски следует относить к группе функциональных рисков. Функциональные риски возникают при несвоевременном и неполном контроле за финансово-хозяйственной деятельностью, невозможности собирать и анализировать соответствующую информацию. К таким рискам относятся операционный, информационный и стратегический риски. Функциональные риски не менее опасны для деятельности банка, чем финансовые риски, но их труднее определить количественно. Функциональные риски также приводят к финансовым потерям.

Риск операционных расходов (операционный риск) возникает в результате несоответствия характера и масштаба деятельности кредитной организации требованиям действующего законодательства, внутренним порядкам и процедурам проведения банковских операций и других сделок.

Стратегический риск возникает в результате ошибок, допущенных при принятии решений, определяющих долгосрочную деятельность кредитной организации.

В эту же группу, по нашему мнению, входят информационные риски. Последствиями информационных рисков могут стать убытки как банка, так и третьих лиц, перед которыми у банка есть договорные или финансовые обязательства. Об этом свидетельствуют факторы, обусловленные действиями субъекта и техническими средствами.

Первая группа наиболее обширна и представляет наибольший интерес с точки зрения управления информационными рисками, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. В качестве антропогенного фактора возникновения информационных рисков можно рассматривать субъекта, имеющего доступ (санкционированный или несанкционированный) к банковским информационным системам. Субъекты, действия которых могут привести к реализации информационных рисков, могут быть внешними и внут ренними.

89

Внешние факторы могут быть случайными или преднамеренными и иметь разный уровень квалификации.

Внутренние субъекты, как правило, представляют квалифицированных специалистов в области разработки и эксплуатации программного обеспечения и технических средств, знакомых со спецификой решаемых задач, структурой и основными функциями и принципами работы банка, имеющих возможность использовать штатное оборудование и технические средства.

Факторы второй группы менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данный класс факторов возникновения информационных рисков особенно актуален в современных условиях. Эксперты ожидают резкого роста числа техногенных катастроф, вызванных физическим и моральным устареванием технического парка используемого оборудования в банках, а также недостаточным вниманием к его своевременному обновлению.

Таким образом, под информационным риском в коммерческих банках мы понимаем угрозу банковским информационным системам, нематериальным информационным активам, обрабатываемым в банковских информационных системах, а также последствия выхода из строя последних. Результатом реализации информационных рисков может стать неполное получение прибыли / убытки как банка, так и третьих лиц, перед которыми у банка есть договорные или финансовые обязательства. Эти риски входят в группу функциональных рисков, оказывают существенное влияние на финансовые результаты банковской деятельности, следовательно, являются предметом особого внимания руководства банков.

Примечания

1 Банкинг в информационной экономике // В.С. Аксенов, Ю.Н. Нестеренко, А.В. Осиповская и др. М.: Экономика, 2012. С. 6.

Banking in the information economy // V.S. Aksenov, Y.N. Nesterenko, A.V. Osipovs-kaa et al. M.: Economics, 2012. P. 6.

2 Скиннер К. Будущее банкинга: мировые тенденции и новые технологии в отрасли. Минск: ГревцовПаблишер, 2009. С. 18.

Skinner K. To the future of banking: global trends and new technologies in the industry/ Chris Skinner-Minsk: GrevcovPablisher, 2009. P. 18.

3 Риски в экономике / Л.М. Тэпман, В.А. Швандар. М.: ЮНИТИ-ДАНА. 2002. С. 8. Risks in the economy / L.M. Tepman, V.A. Shvandar. M: UNITY-DANA. 2002. P. 8.

4 Масленников Ю. С., Тронин Ю.Н. Системное и ситуационное управление банковской деятельностью // Бизнес и банки. № 3. 1998. С. 2.

Мaslenchikov U.S., TroninU.N. System and situational management banking // Business and banks. № 3. 1998. P. 2.

90

5 Серегин Е.В. Предпринимательские риски. М.: Финансовая академия, 1998. С. 4. Seregin E.V Business risks. M: Finance Academy, 1998. P. 4.

6 Марьин С. Управление банковскими рисками // Экономика и жизнь. 2009. № 23. С.125.

Marin S. Risk Management in the banks // Economics and life. 2009. № 23. P.125.

7 Завгородний В.И. Парадигма информационных рисков. http://www.fakit.ru/main_ dsp.php?top_id=591

Zavgorodny VI. Paradigm of information risks.

8 Мишель М. Управление информационными рисками // Финансовый директор. 2003. № 9.

Michelle M. Risk Management // The Financial Director. 2003. № 9.

9 Портал учета инцидентов информационной безопасности. http://incidents.su/raz-vitie-foruma/1007-otchet-po-ib-incidentam-za-2011-god.html

Portal accounting information security incidents.

10 CNEW. Новостной портал. http://banks.cnews.ru/top/2012/07/06/masshtabnyy_ sboy_porazil_itsistemu_sberbanka_495657

CNEW.News portal. http://banks.cnews.ru/top/2012/07/06/masshtabnyy_sboy_pora-zil_itsistemu_sberbanka_495657

11 Privacy Rights Clearinghouse. http://www.privacyrights.org/data-breach/new

91