Научная статья на тему 'Электронный банкинг: риск взаимодействия с провайдерами'

Электронный банкинг: риск взаимодействия с провайдерами Текст научной статьи по специальности «Экономика и бизнес»

CC BY
528
80
i Надоели баннеры? Вы всегда можете отключить рекламу.
Журнал
Финансы и кредит
ВАК
Область наук
Ключевые слова
ЭЛЕКТРОННЫЙ БАНКИНГ / РИСКИ / ВЗАИМОДЕЙСТВИЕ С ПРОВАЙДЕРАМИ / СЛУЖБА ВНУТРЕННЕГО КОНТРОЛЯ

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Ревенков П.В.

В статье рассмотрены преимущества электронного банкинга и причины появления новых источников банковских рисков, связанных с его внедрением в кредитной организации. Рассмотрены источники рисков, связанных с взаимодействием с провайдерами, при внедрении в кредитных организациях систем электронного банкинга и порядок выявления, оценки и анализа банковских рисков службой внутреннего контроля.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Электронный банкинг: риск взаимодействия с провайдерами»

Банковские технологии

Удк 336.71

электронный БАнкинг: риск взаимодействия с провайдерами

п. в. ревенков,

кандидат экономических наук, доцент кафедры экономики и финансов E-mail: rpv@mail.cbr.ru одинцовский гуманитарный институт

«Если слепой, споткнувшись о камень, упадет на дорогу, всегда ругают камень, хотя виною его слепота»

Генрик Сенкевич, польский писатель

В статье рассмотрены преимущества электронного банкинга и причины появления новых источников банковских рисков, связанных с его внедрением в кредитной организации. Рассмотрены источники рисков, связанных с взаимодействием с провайдерами, при внедрении в кредитных организациях систем электронного банкинга и порядок выявления, оценки и анализа банковских рисков службой внутреннего контроля.

Ключевые слова: электронный банкинг, риски, взаимодействие с провайдерами, служба внутреннего контроля.

Электронный банкинг (ЭБ) можно по праву назвать одним из самых динамично развивающихся видов дистанционного банковского обслуживания (ДБО). Основными составляющими ЭБ являются интернет-банкинг (управление банковскими счетами и картами через Интернет и Web-браузер в режиме он-лайн) и мобильный банкинг (управление банковскими счетами и картами с КПК, коммуникаторов и смартфонов).

Получив широкое распространение в Америке, и особенно в Европе, ЭБ завоевывает и российский рынок. К его основным достоинствам можно отнести существенную экономию времени за счет

исключения необходимости посещать банк лично и возможность 24 часа в сутки контролировать собственные счета, а также оперативно реагировать на изменения ситуации на финансовых рынках.

Согласно опросу, проведенному в 2006 г. в США, применение электронных способов оплаты за товары характерно, в основном, для молодых респондентов в возрасте от 25 до 49 лет. 21 % опрошенных с месячной регулярностью пользуются интернет-банкингом. Было выявлено, что основным препятствием для проникновения интернет-банкинга в сферу розничных расчетов является защита персональных данных и поддержание безопасности1.

Швеция является одним из мировых лидеров в развитии электронных банковских технологий. Шведские банки одними из первых начали предлагать свои услуги через Интернет. В 2006 г. 60 % домашних хозяйств пользовалось глобальной сетью. В настоящее время, согласно данным Шведской ассоциации банков, в этой стране услугами интернет-банкинга пользуются более 7,7 млн чел., что составляет 96 % населения. Для сравнения, в Фин-

1 AARP. Consumer Payment Study. 2007. P. 33.

ляндии этот показатель составляет 66 %, в Италии — 12 %, а в Болгарии — всего 2 %2.

На развитие мобильной телефонии оказывает влияние быстрое распространение систем сотовой связи.

Платежи могут осуществляться в трех вариантах:

1) в режиме голосового доступа;

2) посредством текстовых сообщений — SMS (англ. Short Message Service — служба коротких сообщений);

3) с использованием WAP3-теле-фонии (с применением протоколов приложений беспроводной связи).

SMS-сообщения чаще всего используются для предоставления информации о состоянии счета, о валютных курсах, о котировках на фондовом рынке и т. д. Эти операции не приносят банкам прибыли, но они важны в стратегическом плане, так как приобщают массовую клиентуру к банковскому бизнесу.

WAP-телефония позволяет передавать информацию из Интернета на дисплей мобильного телефона. Телефон оснащен WAP-браузером для просмотра сайтов коммерческого банка.

Количество телефонов в мировом масштабе превышает число открытых банковских счетов примерно в 2 раза4. Однако согласно опросу, проведенному в 14 развитых странах в марте 2008 г., только 9 % опрошенных регулярно используют мобильные телефоны для проведения платежей. При этом в Германии их доля составила 21 %, а в Великобритании — лишь 1 %5.

Доля платежей с использованием мобильных телефонов в совокупном объеме безналичных платежей в России не превышает 0,5 %6.

Технологии ЭБ внесли принципиально новый способ взаимодействия клиента с банком, который основывается на взаимной анонимности (клиент работает с банком виртуально). Еще одна особен-

Рис. 1. Новый информационный контур банковской деятельности

ность использования систем ЭБ заключается в привлечении коммерческими банками сторонних организаций — провайдеров7 (рис. 1).

Появление в информационном контуре банковской деятельности новых участников (провайдеров) повлекло за собой заметное расширение источников типичных банковских рисков8. Это потребовало значительного изменения в методическом обеспечении всех риск-подразделений и службы внутреннего контроля (СВК) кредитной организации (КО). При организации ДБО (включая системы ЭБ) проявляется значительная зависимость от бесперебойной работы аппаратно-программного обеспечения (АПО) и безошибочных действий обслуживающего персонала. И как следствие из этого — возникновение дополнительных источников операционного риска (ОР).

Отдельно следует остановиться на значимости оценки операционного риска. Причиной повышенного внимания к операционному риску стало внедрение в коммерческих банках соглашения Ба-зельского комитета по банковскому надзору «Меж-

2 Internet banking makes steady progress in Europe // Electronic Payments International. May 2008. P. 1-9.

3 WAP — Wireless Application Protocol.

4 Tacchi S. Mobile payments challenges and opportunities in retail banking. Journal of Payment Strategy and Systems. 2008. Vol. 2. №. 2. P. 159—166.

5 Mobile banking forecasts diverge. Electronic Payments International. June 2008. P. 11—12.

6 Платежная система России в 2008 г. Платежные и расчетные

системы. Анализ и статистика / Банк России. 2010. Вып. 20.

С. 101.

7 В письме Банка России от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем Интернет-банкинга» (далее — письмо Банка России № 36-Т) провайдер определен как организация, предоставляющая кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающая доступ к информационно-телекоммуникационным сетям.

8 Полный перечень типичных банковских рисков приведен в письме Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».

дународная конвергенция изменения капитала и стандартов капитала: новые подходы» (Basel II)9.

В качестве одних из возможных проявлений операционного риска можно назвать внешние воздействия (наводнения, пожары, аварии и т. п.), ошибки персонала, сбои в реализации бизнес-процессов и обслуживании клиентов, нарушение процессов обработки и хранения данных и др.

По мнению многих зарубежных экспертов, операционный риск по степени значимости для банка находится на втором месте после кредитного риска. При построении систем ЭБ с использованием сторонних организаций (провайдеров) кредитные организации сталкиваются с проблемой расширения источников операционного риска. Однако операционный риск является далеко не единственным риском, на который оказывает влияние взаимодействие кредитных организаций с различными провайдерами.

Помимо операционного риска технологии ДБО (включая системы ЭБ) оказывают влияние на правовой, репутационный и стратегический риски, а также на риск ликвидности.

Далее рассмотрим более подробно источники операционного риска, которые возникают в кредитных организациях при их взаимодействии с провайдерами для осуществления ДБО (включая ЭБ).

Источниками операционного риска могут быть:

— сбои в работе АПО (как на стороне банка, так и на стороне провайдера), которые могут повлечь за собой нарушения функционирования (прерывания взаимодействия между клиентом и кредитной организацией в процессе ДБО, искажения передаваемых данных) информационных систем и информационно-телекоммуникационных сетей провайдеров кредитной организации, используемых для осуществления ДБО;

— недостатки в обеспечении информационной безопасности данных о клиентских операциях (суммы сделок, номера счетов, наименование контрагентов и т. д.) на стороне провайдеров, а также неправомерный доступ к конфиденциальной информации с применением сетевых информационных технологий;

— недостаточная производительность информационных систем и пропускная способность информационно-телекоммуникационных сетей

9 Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий. В соответствии с Basel II структура операционного риска включает в себя три составляющие: минимальный размер капитала, процедуры надзора и рыночную дисциплину (раскрытие) информации.

провайдеров, задействованных в информационном контуре ДБО10;

— отсутствие надежной защиты информационных систем провайдеров от воздействия сетевых атак;

— нарушение своих обязательств поставщиками услуг (исполнителями работ) договорных обязательств перед провайдерами.

Источниками правового риска могут быть:

— нарушения провайдерами требований законодательства Российской Федерации и нормативных актов Банка России (включая недостатки в функционировании их АПО);

— несовершенство законодательства Российской Федерации, что может проявиться при определении ответственности сторон в случаях трансграничного оказания банковских услуг с помощью ДБО (провайдеры, входящие в информационный контур ДБО, могут находиться под юрисдикцией разных государств);

— искажение и/или удаление компьютерными злоумышленниками конфиденциальной информации в случаях неправомерного доступа к ней во время ее обработки, передачи и/или хранения провайдерами кредитной организации;

— низкое качество договоров (контрактов) с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации;

— нахождение филиалов кредитной организации, ее клиентов, пользующихся ДБО, и провайдеров под юрисдикцией других государств.

Источниками стратегического риска могут быть:

— ошибочные решения высших органов управления кредитной организации в отношении применения, внедрения и эксплуатации технологий ДБО (включая системы ЭБ);

— отсутствие или недостатки стратегического плана кредитной организации при внедрении и дальнейшем развитии технологий ДБО (включая системы ЭБ);

— отсутствие у кредитной организации необходимых ресурсов (финансовых, материально-технических, людских) для достижения стратегических целей в части ДБО, и систем, с помощью которых оно осуществляется, включая информационные системы и информационно-телекоммуникационные сети провайдеров;

10 В письме Банка России № 36-Т информационный контур ДБО определен как совокупность АПО и технических средств

(включая средства связи) кредитной организации и ее провайдеров, обеспечивающих удаленное (вне места нахождения кредитной организации и ее подразделений) информационное взаимодействие кредитной организации и ее клиентов.

— ошибки в выборе систем ЭБ (технических решений при реализации данного вида ДБО);

— непредвиденные затраты на внедрение и дальнейшее сопровождение систем ЭБ.

Источниками репутационного риска могут быть:

— уничтожение, искажение или хищение конфиденциальной клиентской информации в связи с сетевыми атаками в информационном контуре, сложившимися при использовании системы ЭБ11;

— недоступность для клиентов банка, использующих для проведения своих операций системы ЭБ, требуемых сервисов системы ЭБ, или нарушение непрерывности функционирования АПО системы ЭБ (включая технические средства, используемые провайдерами);

— появление и распространение негативной информации о качестве предоставляемых кредитной организацией услуг с использованием технологии ДБО (включая системы ЭБ) по причинам, связанным с невыполнением провайдерами кредитной организации своих договорных (контрактных) обязательств.

Источниками риска ликвидности могут быть:

— отказы и сбои в функционировании АПО провайдеров, повлекшие временную остановку в обслуживании клиентов (т. е. на какое-то время кредитная организация оказалась неплатежеспособной);

— аварии и отказы в информационно-телекоммуникационных сетях, предоставляемых провайдерами.

Если в кредитной организации одновременно используются несколько систем ЭБ, то необходимо учитывать возможное взаимное влияние компонентов банковских рисков. Например, сбой в работе АПО является причиной возникновения операционного риска, что, в свою очередь, может привести к появлению и распространению в средствах массовой информации негативной оценки данного вида ДБО (репутационный риск).

Одним из основных инструментов контроля за выполнением мероприятий по управлению банковскими рисками в кредитной организации является

11 В письме Банка России от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания» сетевая атака определена как воздействие на аппаратно-программное обеспечение кредитной организации и ее клиентов с применением сетевых информационных технологий с целью изменения его функционирования, воздействия на выполнение банковских операций или получения несанкционированного доступа к массивам данных, хранящихся в информационных системах кредитной организации.

служба внутреннего контроля (СВК). Основополагающим нормативным актом, устанавливающим порядок осуществления внутреннего контроля в кредитных организациях и банковских группах на территории Российской Федерации, а также документом, определяющим порядок осуществления Банком России надзора за соблюдением указанных правил, является разработанное Банком России в соответствии с Федеральным законом от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и Федеральным законом от 02.12.1990 № 395-1 «О банках и банковской деятельности» положение Банка России от 16.01.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — положение Банка России № 242-П).

В соответствии с положением Банка России № 242-П одной из основных функций СВК является обеспечение эффективности управления банковскими рисками. Под управлением банковскими рисками понимается:

— выявление, измерение и определение приемлемого уровня банковских рисков, присущих банковской деятельности;

— учет возможных потерь кредитной организации и (или) ухудшение ликвидности вследствие наступления связанных с внутренними и (или) внешними факторами деятельности кредитной организации неблагоприятных событий;

— постоянное наблюдение за банковскими рисками;

— принятие мер по поддержанию необходимого уровня банковских рисков, не угрожающего финансовой устойчивости кредитной организации и интересам ее кредиторов и вкладчиков.

В связи с заметным увеличением источников типичных банковских рисков (при использовании кредитными организациями систем ЭБ, в том числе с участием компаний-провайдеров) к специалистам, входящим в службы внутреннего контроля, должны предъявляться более высокие требования (касательно их профессиональной подготовки). Их подготовка должна позволять разбираться в особенностях функционирования систем ДБО (включая системы ЭБ)12. В арсенале СВК должны быть адаптированные к конкретным внутрибанковским авторизированным системам методики

12 В идеальном случае специалисты СВК, в чьи обязанности входит контроль за качеством управления операционными рисками, должны иметь как экономическое, так и техническое образование для того, чтобы хорошо представлять, каким образом проявляются источники данного риска, имеющие прямое отношение к функционированию систем ЭБ.

Вид угрозы для банка А

/ /

Источник банковского риска / \

Возможное влияние риска

Возможная сумма потерь

7 Оценка значимости потерь

, /

V Возможные последствия риска

рис. 2. Логика для выявления, оценивания и анализа рисков

проведения проверок функционирования систем ЭБ на соответствие всем внутренним распорядительным документам (включая проверки поддержания на приемлемом уровне банковских рисков). С внедрением в кредитной организации технологий ДБО методики СВК по проведению проверок качества управления банковскими рисками должны быть дополнены соответствующими положениями о порядке выявления и анализа новых источников банковских рисков (включая источники рисков взаимодействия с провайдерами). Исходя из этого к функциям СВК необходимо добавить:

— контроль за состоянием средств связи с компаниями-провайдерами;

— контроль за выполнением условий контрактов на обслуживание систем ЭБ;

— контроль за надежностью и защищенностью предоставляемых услуг;

— контроль за целостностью данных;

— контроль за наличием у компаний-провайдеров средств контроля за операциями и рисками.

Порядок анализа последствий проявления источников банковских рисков, связанных с использованием в

В компании-провайдера произошла утечка информации о проведенных банковских операциях

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

кредитных организациях систем ЭБ, в том числе с привлечением сторонних организаций (компаний-провайдеров), имеет в своей основе единую причинно-следственную цепь. Логика для выявления, оценивания и анализа банковских рисков представлена на рис. 2.

Данная схема (см. рис. 2) может использоваться как в прямом, так и в обратном направлении (в зависимости от целей анализа рисков). В первом случае ее можно применить как структурную основу для подготовки рекомендаций по организации контроля за рисками, во втором случае — для разработки методики выявления, оценивания и анализа рисков в ходе работы СВК в коммерческих банках.

В качестве примера можно привести порядок анализа источников типичных банковских рисков, связанных с недостатками в обеспечении информационной безопасности в компании-провайдера (рис. 3).

В некоторых странах Европы и в США принято ежегодно выпускать сборники о наиболее распространенных случаях сбоев в работе банковских автоматизированных систем и различных видах мошенничества. В России пока таких регулярных изданий нет, но пожелания от различных компаний и от кредитных организаций уже поступали.

Минимизировать риски (в том числе и риски, связанные с взаимодействием с провайдерами) можно с помощью различных стратегий:

У банка возникли предпосылки основных банковских рисков

I

Правовой риск

Операционный риск

Репутационный риск

Стратегический риск

I

Часть клиентов

банка обратилась в

суд за возмещением

ущерба от разглашения их коммерческой тайны

Информация о факте

утечки стала

достоянием средств

массовой

информации

У банка ухудшились

отношения с

деловыми

партнерами

I

Клиенты банка

стали отказываться от услуг ЭБ

рис. 3. Анализ источников рисков при использовании банком компании-провайдера

— принятие риска (отказ от превентивных мероприятий, воздействие на источники риска, самострахование (в том числе через кэптивные страховые компании), диверсификация активов и т. д.);

— полная или частичная передача риска (страхование, хеджирование, синдицирование и т. п.);

— избежание риска (отказ от применения данной системы, профилактика — как устранение источников риска и пр.).

В заключение хотелось бы обратить внимание еще на одну проблему, связанную с ЭБ и, как следствие, с провайдерами услуг.

В конце октября 2010 г. в Париже состоялись встречи экспертных и рабочих групп, а также пленарное заседание Группы разработки финансовых мер по борьбе с отмыванием денег (ФАТФ) 13, в которых приняла участие российская межведомственная делегация.

В ходе этих встреч дорабатывались 40 (основных) и 9 (специальных) рекомендаций ФАТФ,

13 Международная организация Financial Action Task Force (FATF) была создана в 1989 г. странами «большой семерки». Сейчас в ФАТФ входят 35 государств. Российская Федерация является членом ФАТФ с июня 2003 г.

являющихся мировыми стандартами в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Завершить эту работу планируется к октябрю 2011 г.

Пересмотр рекомендаций направлен на повышение эффективности системы противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в связи с появлением новых угроз и рисков. Так, в частности, предполагается уточнить требования к мониторингу операций с применением новых электронных технологий, включая платежи с помощью Интернет.

Список литературы

1. Ревенков П. В., Дудка А. Б., Сычев А. М, Пеле-ницын А. М. Электронный банкинг. М.: Издательский дом «Регламент». 2009. 248 с.

2. Скиба В. Ю, Курбатов В. А. Руководство от внутренних угроз информационной безопасности. СПб.: Питер. 2008. 320 с.

i Надоели баннеры? Вы всегда можете отключить рекламу.