CC BY
76
Банковские технологии
Удк 336.71
электронный БАнкинг: риск взаимодействия с провайдерами
п. в. ревенков,
кандидат экономических наук, доцент кафедры экономики и финансов E-mail: [email protected] одинцовский гуманитарный институт
«Если слепой, споткнувшись о камень, упадет на дорогу, всегда ругают камень, хотя виною его слепота»
Генрик Сенкевич, польский писатель
В статье рассмотрены преимущества электронного банкинга и причины появления новых источников банковских рисков, связанных с его внедрением в кредитной организации. Рассмотрены источники рисков, связанных с взаимодействием с провайдерами, при внедрении в кредитных организациях систем электронного банкинга и порядок выявления, оценки и анализа банковских рисков службой внутреннего контроля.
Ключевые слова: электронный банкинг, риски, взаимодействие с провайдерами, служба внутреннего контроля.
Электронный банкинг (ЭБ) можно по праву назвать одним из самых динамично развивающихся видов дистанционного банковского обслуживания (ДБО). Основными составляющими ЭБ являются интернет-банкинг (управление банковскими счетами и картами через Интернет и Web-браузер в режиме он-лайн) и мобильный банкинг (управление банковскими счетами и картами с КПК, коммуникаторов и смартфонов).
Получив широкое распространение в Америке, и особенно в Европе, ЭБ завоевывает и российский рынок. К его основным достоинствам можно отнести существенную экономию времени за счет
исключения необходимости посещать банк лично и возможность 24 часа в сутки контролировать собственные счета, а также оперативно реагировать на изменения ситуации на финансовых рынках.
Согласно опросу, проведенному в 2006 г. в США, применение электронных способов оплаты за товары характерно, в основном, для молодых респондентов в возрасте от 25 до 49 лет. 21 % опрошенных с месячной регулярностью пользуются интернет-банкингом. Было выявлено, что основным препятствием для проникновения интернет-банкинга в сферу розничных расчетов является защита персональных данных и поддержание безопасности1.
Швеция является одним из мировых лидеров в развитии электронных банковских технологий. Шведские банки одними из первых начали предлагать свои услуги через Интернет. В 2006 г. 60 % домашних хозяйств пользовалось глобальной сетью. В настоящее время, согласно данным Шведской ассоциации банков, в этой стране услугами интернет-банкинга пользуются более 7,7 млн чел., что составляет 96 % населения. Для сравнения, в Фин-
1 AARP. Consumer Payment Study. 2007. P. 33.
ляндии этот показатель составляет 66 %, в Италии — 12 %, а в Болгарии — всего 2 %2.
На развитие мобильной телефонии оказывает влияние быстрое распространение систем сотовой связи.
Платежи могут осуществляться в трех вариантах:
1) в режиме голосового доступа;
2) посредством текстовых сообщений — SMS (англ. Short Message Service — служба коротких сообщений);
3) с использованием WAP3-теле-фонии (с применением протоколов приложений беспроводной связи).
SMS-сообщения чаще всего используются для предоставления информации о состоянии счета, о валютных курсах, о котировках на фондовом рынке и т. д. Эти операции не приносят банкам прибыли, но они важны в стратегическом плане, так как приобщают массовую клиентуру к банковскому бизнесу.
WAP-телефония позволяет передавать информацию из Интернета на дисплей мобильного телефона. Телефон оснащен WAP-браузером для просмотра сайтов коммерческого банка.
Количество телефонов в мировом масштабе превышает число открытых банковских счетов примерно в 2 раза4. Однако согласно опросу, проведенному в 14 развитых странах в марте 2008 г., только 9 % опрошенных регулярно используют мобильные телефоны для проведения платежей. При этом в Германии их доля составила 21 %, а в Великобритании — лишь 1 %5.
Доля платежей с использованием мобильных телефонов в совокупном объеме безналичных платежей в России не превышает 0,5 %6.
Технологии ЭБ внесли принципиально новый способ взаимодействия клиента с банком, который основывается на взаимной анонимности (клиент работает с банком виртуально). Еще одна особен-
Рис. 1. Новый информационный контур банковской деятельности
ность использования систем ЭБ заключается в привлечении коммерческими банками сторонних организаций — провайдеров7 (рис. 1).
Появление в информационном контуре банковской деятельности новых участников (провайдеров) повлекло за собой заметное расширение источников типичных банковских рисков8. Это потребовало значительного изменения в методическом обеспечении всех риск-подразделений и службы внутреннего контроля (СВК) кредитной организации (КО). При организации ДБО (включая системы ЭБ) проявляется значительная зависимость от бесперебойной работы аппаратно-программного обеспечения (АПО) и безошибочных действий обслуживающего персонала. И как следствие из этого — возникновение дополнительных источников операционного риска (ОР).
Отдельно следует остановиться на значимости оценки операционного риска. Причиной повышенного внимания к операционному риску стало внедрение в коммерческих банках соглашения Ба-зельского комитета по банковскому надзору «Меж-
2 Internet banking makes steady progress in Europe // Electronic Payments International. May 2008. P. 1-9.
3 WAP — Wireless Application Protocol.
4 Tacchi S. Mobile payments challenges and opportunities in retail banking. Journal of Payment Strategy and Systems. 2008. Vol. 2. №. 2. P. 159—166.
5 Mobile banking forecasts diverge. Electronic Payments International. June 2008. P. 11—12.
6 Платежная система России в 2008 г. Платежные и расчетные
системы. Анализ и статистика / Банк России. 2010. Вып. 20.
С. 101.
7 В письме Банка России от 31.03.2008 № 36-Т «О Рекомендациях по организации управления рисками, возникающими при осуществлении кредитными организациями операций с применением систем Интернет-банкинга» (далее — письмо Банка России № 36-Т) провайдер определен как организация, предоставляющая кредитным организациям услуги по выполнению функций обработки, передачи, хранения банковской и другой информации, а также обеспечивающая доступ к информационно-телекоммуникационным сетям.
8 Полный перечень типичных банковских рисков приведен в письме Банка России от 23.06.2004 № 70-Т «О типичных банковских рисках».
дународная конвергенция изменения капитала и стандартов капитала: новые подходы» (Basel II)9.
В качестве одних из возможных проявлений операционного риска можно назвать внешние воздействия (наводнения, пожары, аварии и т. п.), ошибки персонала, сбои в реализации бизнес-процессов и обслуживании клиентов, нарушение процессов обработки и хранения данных и др.
По мнению многих зарубежных экспертов, операционный риск по степени значимости для банка находится на втором месте после кредитного риска. При построении систем ЭБ с использованием сторонних организаций (провайдеров) кредитные организации сталкиваются с проблемой расширения источников операционного риска. Однако операционный риск является далеко не единственным риском, на который оказывает влияние взаимодействие кредитных организаций с различными провайдерами.
Помимо операционного риска технологии ДБО (включая системы ЭБ) оказывают влияние на правовой, репутационный и стратегический риски, а также на риск ликвидности.
Далее рассмотрим более подробно источники операционного риска, которые возникают в кредитных организациях при их взаимодействии с провайдерами для осуществления ДБО (включая ЭБ).
Источниками операционного риска могут быть:
— сбои в работе АПО (как на стороне банка, так и на стороне провайдера), которые могут повлечь за собой нарушения функционирования (прерывания взаимодействия между клиентом и кредитной организацией в процессе ДБО, искажения передаваемых данных) информационных систем и информационно-телекоммуникационных сетей провайдеров кредитной организации, используемых для осуществления ДБО;
— недостатки в обеспечении информационной безопасности данных о клиентских операциях (суммы сделок, номера счетов, наименование контрагентов и т. д.) на стороне провайдеров, а также неправомерный доступ к конфиденциальной информации с применением сетевых информационных технологий;
— недостаточная производительность информационных систем и пропускная способность информационно-телекоммуникационных сетей
9 Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий. В соответствии с Basel II структура операционного риска включает в себя три составляющие: минимальный размер капитала, процедуры надзора и рыночную дисциплину (раскрытие) информации.
провайдеров, задействованных в информационном контуре ДБО10;
— отсутствие надежной защиты информационных систем провайдеров от воздействия сетевых атак;
— нарушение своих обязательств поставщиками услуг (исполнителями работ) договорных обязательств перед провайдерами.
Источниками правового риска могут быть:
— нарушения провайдерами требований законодательства Российской Федерации и нормативных актов Банка России (включая недостатки в функционировании их АПО);
— несовершенство законодательства Российской Федерации, что может проявиться при определении ответственности сторон в случаях трансграничного оказания банковских услуг с помощью ДБО (провайдеры, входящие в информационный контур ДБО, могут находиться под юрисдикцией разных государств);
— искажение и/или удаление компьютерными злоумышленниками конфиденциальной информации в случаях неправомерного доступа к ней во время ее обработки, передачи и/или хранения провайдерами кредитной организации;
— низкое качество договоров (контрактов) с провайдерами на оказание услуг по выполнению функций обработки, передачи, хранения банковской и другой информации;
— нахождение филиалов кредитной организации, ее клиентов, пользующихся ДБО, и провайдеров под юрисдикцией других государств.
Источниками стратегического риска могут быть:
— ошибочные решения высших органов управления кредитной организации в отношении применения, внедрения и эксплуатации технологий ДБО (включая системы ЭБ);
— отсутствие или недостатки стратегического плана кредитной организации при внедрении и дальнейшем развитии технологий ДБО (включая системы ЭБ);
— отсутствие у кредитной организации необходимых ресурсов (финансовых, материально-технических, людских) для достижения стратегических целей в части ДБО, и систем, с помощью которых оно осуществляется, включая информационные системы и информационно-телекоммуникационные сети провайдеров;
10 В письме Банка России № 36-Т информационный контур ДБО определен как совокупность АПО и технических средств
(включая средства связи) кредитной организации и ее провайдеров, обеспечивающих удаленное (вне места нахождения кредитной организации и ее подразделений) информационное взаимодействие кредитной организации и ее клиентов.
— ошибки в выборе систем ЭБ (технических решений при реализации данного вида ДБО);
— непредвиденные затраты на внедрение и дальнейшее сопровождение систем ЭБ.
Источниками репутационного риска могут быть:
— уничтожение, искажение или хищение конфиденциальной клиентской информации в связи с сетевыми атаками в информационном контуре, сложившимися при использовании системы ЭБ11;
— недоступность для клиентов банка, использующих для проведения своих операций системы ЭБ, требуемых сервисов системы ЭБ, или нарушение непрерывности функционирования АПО системы ЭБ (включая технические средства, используемые провайдерами);
— появление и распространение негативной информации о качестве предоставляемых кредитной организацией услуг с использованием технологии ДБО (включая системы ЭБ) по причинам, связанным с невыполнением провайдерами кредитной организации своих договорных (контрактных) обязательств.
Источниками риска ликвидности могут быть:
— отказы и сбои в функционировании АПО провайдеров, повлекшие временную остановку в обслуживании клиентов (т. е. на какое-то время кредитная организация оказалась неплатежеспособной);
— аварии и отказы в информационно-телекоммуникационных сетях, предоставляемых провайдерами.
Если в кредитной организации одновременно используются несколько систем ЭБ, то необходимо учитывать возможное взаимное влияние компонентов банковских рисков. Например, сбой в работе АПО является причиной возникновения операционного риска, что, в свою очередь, может привести к появлению и распространению в средствах массовой информации негативной оценки данного вида ДБО (репутационный риск).
Одним из основных инструментов контроля за выполнением мероприятий по управлению банковскими рисками в кредитной организации является
11 В письме Банка России от 26.10.2010 № 141-Т «О Рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания» сетевая атака определена как воздействие на аппаратно-программное обеспечение кредитной организации и ее клиентов с применением сетевых информационных технологий с целью изменения его функционирования, воздействия на выполнение банковских операций или получения несанкционированного доступа к массивам данных, хранящихся в информационных системах кредитной организации.
служба внутреннего контроля (СВК). Основополагающим нормативным актом, устанавливающим порядок осуществления внутреннего контроля в кредитных организациях и банковских группах на территории Российской Федерации, а также документом, определяющим порядок осуществления Банком России надзора за соблюдением указанных правил, является разработанное Банком России в соответствии с Федеральным законом от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» и Федеральным законом от 02.12.1990 № 395-1 «О банках и банковской деятельности» положение Банка России от 16.01.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — положение Банка России № 242-П).
В соответствии с положением Банка России № 242-П одной из основных функций СВК является обеспечение эффективности управления банковскими рисками. Под управлением банковскими рисками понимается:
— выявление, измерение и определение приемлемого уровня банковских рисков, присущих банковской деятельности;
— учет возможных потерь кредитной организации и (или) ухудшение ликвидности вследствие наступления связанных с внутренними и (или) внешними факторами деятельности кредитной организации неблагоприятных событий;
— постоянное наблюдение за банковскими рисками;
— принятие мер по поддержанию необходимого уровня банковских рисков, не угрожающего финансовой устойчивости кредитной организации и интересам ее кредиторов и вкладчиков.
В связи с заметным увеличением источников типичных банковских рисков (при использовании кредитными организациями систем ЭБ, в том числе с участием компаний-провайдеров) к специалистам, входящим в службы внутреннего контроля, должны предъявляться более высокие требования (касательно их профессиональной подготовки). Их подготовка должна позволять разбираться в особенностях функционирования систем ДБО (включая системы ЭБ)12. В арсенале СВК должны быть адаптированные к конкретным внутрибанковским авторизированным системам методики
12 В идеальном случае специалисты СВК, в чьи обязанности входит контроль за качеством управления операционными рисками, должны иметь как экономическое, так и техническое образование для того, чтобы хорошо представлять, каким образом проявляются источники данного риска, имеющие прямое отношение к функционированию систем ЭБ.
Вид угрозы для банка А
/ /
Источник банковского риска / \
Возможное влияние риска
Возможная сумма потерь
7 Оценка значимости потерь
, /
V Возможные последствия риска
рис. 2. Логика для выявления, оценивания и анализа рисков
проведения проверок функционирования систем ЭБ на соответствие всем внутренним распорядительным документам (включая проверки поддержания на приемлемом уровне банковских рисков). С внедрением в кредитной организации технологий ДБО методики СВК по проведению проверок качества управления банковскими рисками должны быть дополнены соответствующими положениями о порядке выявления и анализа новых источников банковских рисков (включая источники рисков взаимодействия с провайдерами). Исходя из этого к функциям СВК необходимо добавить:
— контроль за состоянием средств связи с компаниями-провайдерами;
— контроль за выполнением условий контрактов на обслуживание систем ЭБ;
— контроль за надежностью и защищенностью предоставляемых услуг;
— контроль за целостностью данных;
— контроль за наличием у компаний-провайдеров средств контроля за операциями и рисками.
Порядок анализа последствий проявления источников банковских рисков, связанных с использованием в
В компании-провайдера произошла утечка информации о проведенных банковских операциях
кредитных организациях систем ЭБ, в том числе с привлечением сторонних организаций (компаний-провайдеров), имеет в своей основе единую причинно-следственную цепь. Логика для выявления, оценивания и анализа банковских рисков представлена на рис. 2.
Данная схема (см. рис. 2) может использоваться как в прямом, так и в обратном направлении (в зависимости от целей анализа рисков). В первом случае ее можно применить как структурную основу для подготовки рекомендаций по организации контроля за рисками, во втором случае — для разработки методики выявления, оценивания и анализа рисков в ходе работы СВК в коммерческих банках.
В качестве примера можно привести порядок анализа источников типичных банковских рисков, связанных с недостатками в обеспечении информационной безопасности в компании-провайдера (рис. 3).
В некоторых странах Европы и в США принято ежегодно выпускать сборники о наиболее распространенных случаях сбоев в работе банковских автоматизированных систем и различных видах мошенничества. В России пока таких регулярных изданий нет, но пожелания от различных компаний и от кредитных организаций уже поступали.
Минимизировать риски (в том числе и риски, связанные с взаимодействием с провайдерами) можно с помощью различных стратегий:
У банка возникли предпосылки основных банковских рисков
I
Правовой риск
Операционный риск
Репутационный риск
Стратегический риск
I
Часть клиентов
банка обратилась в
суд за возмещением
ущерба от разглашения их коммерческой тайны
Информация о факте
утечки стала
достоянием средств
массовой
информации
У банка ухудшились
отношения с
деловыми
партнерами
I
Клиенты банка
стали отказываться от услуг ЭБ
рис. 3. Анализ источников рисков при использовании банком компании-провайдера
— принятие риска (отказ от превентивных мероприятий, воздействие на источники риска, самострахование (в том числе через кэптивные страховые компании), диверсификация активов и т. д.);
— полная или частичная передача риска (страхование, хеджирование, синдицирование и т. п.);
— избежание риска (отказ от применения данной системы, профилактика — как устранение источников риска и пр.).
В заключение хотелось бы обратить внимание еще на одну проблему, связанную с ЭБ и, как следствие, с провайдерами услуг.
В конце октября 2010 г. в Париже состоялись встречи экспертных и рабочих групп, а также пленарное заседание Группы разработки финансовых мер по борьбе с отмыванием денег (ФАТФ) 13, в которых приняла участие российская межведомственная делегация.
В ходе этих встреч дорабатывались 40 (основных) и 9 (специальных) рекомендаций ФАТФ,
13 Международная организация Financial Action Task Force (FATF) была создана в 1989 г. странами «большой семерки». Сейчас в ФАТФ входят 35 государств. Российская Федерация является членом ФАТФ с июня 2003 г.
являющихся мировыми стандартами в области противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Завершить эту работу планируется к октябрю 2011 г.
Пересмотр рекомендаций направлен на повышение эффективности системы противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма в связи с появлением новых угроз и рисков. Так, в частности, предполагается уточнить требования к мониторингу операций с применением новых электронных технологий, включая платежи с помощью Интернет.
Список литературы
1. Ревенков П. В., Дудка А. Б., Сычев А. М, Пеле-ницын А. М. Электронный банкинг. М.: Издательский дом «Регламент». 2009. 248 с.
2. Скиба В. Ю, Курбатов В. А. Руководство от внутренних угроз информационной безопасности. СПб.: Питер. 2008. 320 с.
