СТАТЬИ >> БАНКОВСКОЕ ДЕЛО

Перспективы развития электронного банкинга

Автор: Лямин Леонид Витальевич
Каким бы подробным ни было описание,
не может быть никакой уверенности, что в уме слушателя
сложится представление, соответствующее истине.
/Ч.У. Ледбитер, «Астральный план»/

Перспективы дальнейшего развития электронного банкинга в российском банковском секторе можно считать уже определившимися, поскольку они зависят от ряда хорошо известных процессов, в числе которых:

- развитие законодательной базы «электронных финансов»,
- влияние конкурентных условий на рынках финансовых услуг,
- совершенствование банковских информационных технологий,
- ориентация технического прогресса в средствах компьютерной связи,
- демографические изменения (причем не только смена поколений);
- возникновение новых технологических и технических решений;
- глобализация финансовой и банковской деятельности.

Поэтому уже в ближайшее десятилетие в сфере банковского дела и предоставления банковских услуг могут произойти такие изменения, которые нетрудно предположить, в отличие от того, как это было, например, с внедрением, развитием и распространением интернет-технологий и технологий мобильной связи. Одно не подлежит сомнению: взаимодействие кредитных организаций со своими клиентами и наоборот безусловно будет ориентироваться на различные варианты ДБО, которое при условии обеспечения его надежности (в смысле выполнения обязательств перед клиентами и контролирующими органами) скорее всего будет быстро вытеснять многие традиционные формы предоставления банковских услуг, так что кредитные организации в большинстве направлений своей деятельности (возможно, подавляющем) станут выполнять функции преимущественно дистанционных финансовых посредников.

Этому активно способствует ряд действующих уже в настоящее время системных факторов, а именно:

- удобство и оперативность получения банковских услуг, обеспечиваемые системами электронного банкинга и предполагающие быстрое расширение клиентской базы ДБО и лавинообразный рост количества клиентских ордеров (операций) в разных его вариантах;
- ориентация кредитных организаций условиями конкуренции на продолжение развития и расширение ДБО, предложение новых видов банковских услуг и внедрение технологий и систем электронного банкинга, поддерживающих их предоставление;
- преимущественное развитие таких технологий электронного банкинга, которые позво-ляют обеспечить многоканальный и вариативный доступ клиентов ДБО к информационно-процессинговым ресурсам кредитных организаций ( с сохранением функциональности);
- предпочтение клиентами таких системам электронного банкинга, которые не ограничивают возможности получения широкого спектра банковских услуг только стационарными точками входа в сетевые структуры (без потери функциональности);
- стремление универсальных кредитных организаций охватывать вариантами ДБО как можно более широкий спектр предлагаемых ими банковские услуги (с учетом ограничений, налагаемых законодательством, регламентирующим банковскую деятельность).

Поэтому с большой вероятностью окажется справедлив следующий слоган

:

Не будет банкинга, кроме электронного банкинга, а мобильный банкинг – предел его

Окончательный выбор систем электронного банкинга, естественно, останется за клиентами кредитных организаций, которые выберут те варианты ДБО, которые окажутся для них наиболее подходящими (с учетом отдаленных районов и регионов с недостаточно развитой инфраструктурой). Предпочтительными, безусловно, окажутся те варианты, которые:

1) будут отличаться очевидными для клиентов преимуществами по сравнению с существующими способами предоставления банковских услуг;
2) заслужат доверие клиентов за счет гарантированного обеспечения целостности и безопасности их данных и проводимых ими операций.

Вместе с тем, важно отметить, что кредитным организациям, предоставляющим услуги электронного банкинга, придется, повидимому, провести переоценку традиционных и разработку новых методов контроля над банковскими рисками и управления ими с учетом новых источников и компонентов информационных контуров банковской деятельности и возникновением новых вариантов рисков, связанных с удаленным предоставлением банковских услуг. В общем случае предполагается, что потребуется внедрение интегрированного подхода к управлению рисками для всех банковских операций кредитной организации. До тех пор, пока не будут приняты стандарты надежного информационного обмена при ДБО, кредитным организациям придется самостоятельно определять и внедрять способы и средства обеспечения целостности и безопасности принимаемых и передаваемых данных. Поэтому для обеспечения эффективности УБР и управления банковской деятельностью в целом целесообразна, как минимум, разработка адекватной политики управления проектами внедрения новых банковских информационных технологий, жизненными циклами банковских автоматизированных систем и систем электронного банкинга, контроля над их эксплуатацией и модернизацией (включая ИКБД), а также обеспечением гарантий высокого качества ДБО клиентов, причем с учетом индивидуальных для каждой кредитной организации особенностей архитектур и состава ее распределенных компьютерных систем, локальных и зональных сетей связи и т.п.

Ввиду того, что новые банковские информационные технологии значительно меняют бизнесмодели и функциональные процессы кредитных организаций, от последних потребуется адаптационное изменение практических подходов к корпоративному управлению и воплощению его основных принципов в свою деятельность с учетом особенностей конкретных технологий и систем электронного банкинга. Наряду с этим потребуется также разработка и внедрение принципиально усовершенствованных процедур контроля над их применением, позволяющих «проникать» в киберпространство банковской деятельности в интересах обеспечения и сохранения ее управляемости, - это новая серьезная задача.

Влияние технологий электронного банкинга на состояние и функционирование банковского сектора несомненно, и оно будет усиливаться вплоть до, возможно, изменения конкурентных условий на рынках предоставления финансовых услуг, а следовательно, и содержания банковской деятельности, и самого банковского сектора. Не исключено, что смещение акцентов в применении технологий электронного банкинга именно в сторону мобильного ДБО, о чем косвенно свидетельствуют результаты исследований, проводимых как за рубежом, так и в России, произойдет уже в ближайшем времени. На изменения такого рода неизбежно придется обратить внимание и кредитным организациям, и законодательным органам, а значит в регулировании и условиях (в широком смысле) банковской деятельности могут произойти серьезные изменения, к которым целесообразно адаптировать внутри. В выигрыше окажутся те высокотехнологичные кредитные организации, которые смогут их предвидеть.

Поскольку в современном мире технологическое и техническое оснащение деятельности кредитных организаций стало практически непрерывным процессом, рассмотреть все его аспекты с рискориентированных позиций невозможно. Данная ситуация усложняется тем, что структура типичных банковских рисков существенно усложняется, так что очень многие технические решения требуют весьма углубленного анализа таких структур с привлечением зачастую узко специальных знаний о тех или иных особенностях и условиях, настройках и контроле функционирования средств вычислительной техники. Тем самым существенно расширяются и усложняются требования к квалификации персонала кредитных организаций, переходящих к ДБО, причем на всех уровнях управленческой и исполнительской иерархии. Как бы то ни было, автор надеется, что изложенные в настоящей книге подходы к организации внутрибанковских процессов в условиях применения технологий и систем электронного банкинга смогут в какойто мере содействовать кредитным организациям в формировании пруденциальных условий для его использования, которые гарантировали бы адекватный контроль над уровнями банковских рисков и высокую надежность банковской деятельности в целом, а значит и надежную защиту интересов клиентов ДБО.

Статья является выдержкой из книги Лямина Л.В. "Применение технологий электронного банкинга. Рискориентированный подход"

Справка:

Применение технологий электронного банкинга. Рискориентированный подход "Применение технологий электронного банкинга. Рискориентированный подход" Автор: Л.В. Лямин

Издано при участии: Центра Исследований Платежных Систем и Расчетов

Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга. В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге рискориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора.

Лямин Леонид Витальевич, более 16 лет работает в надзорном блоке Банка России, начиная с Главного управления инспектирования коммерческих банков, в настоящее время является начальником Отдела электронных банковских технологий Департамента банковского регулирования и надзора. За время работы в Банке России опубликовал несколько десятков статей вопросам содержания надзорноинспекционной деятельности, а также по тематике анализа банковских рисков, применения банковских автоматизированных систем, внутреннему контролю, обеспечению информационной безопасности, корпоративному управлению в кредитных организациях в условиях автоматизации банковской деятельности и т.п. Данная книга первая, написанная за время работы в Банке России на основе анализа организации применения информационных технологий в указанной деятельности, а также большого числа материалов зарубежных органов банковского регулирования и надзора.

Купить книгу можно в магазине Озон >>

СТАТЬИ >> БАНКОВСКОЕ ДЕЛО

Особенности риск-ориентированного подхода к внедрению электронного банкинга

Автор: Лямин Леонид Витальевич

Особенности риск-ориентированного подхода к внедрению и применению технологий электронного банкинга.

[ Продолжение статьи, начало здесь.]

Как показывает анализ изменений, происходящих в составе и содержании банковских бизнес-процессов (в оптимальном варианте подлежащих внесению кредитными организациями вместе с внедрением ими технологий электронного банкинга — независимо от их общего количества и функциональных особенностей), вслед за такими изменениями могут (а лучше бы должны) следовать и изменения в организационно-штатной структуре кредитной организации. Фактически подразумевается требование адаптации распределения функциональных ролей, ответственности, обязанностей, прав, полномочий, подконтрольности и подотчетности конкретных руководителей и исполнителей на различных уровнях иерархии управления этой организации к новым банковским технологиям. Это положение относится к целому ряду специальных служб в структуре кредитной организации.

Прежде всего к подразделениям, отвечающим за процесс УБР, применение информационных технологий (ИТ) и (или) автоматизацию, внутренний контроль и финансовый мониторинг (в настоящее время эти два процесса нередко реализует одно подразделение), обеспечение информационной безопасности, ведение претензионной работы, а также сервис-центр и некоторые другие. Вместе с тем все сопутствующие и адекватные складывающейся в кредитной организации ситуации изменения должны коснуться и документарного обеспечения деятельности перечисленных подразделений. Такие изменения инициируются, как правило, органами управления этой организации и реализуются соответствующими (достаточно специфическими по сути) внутрибанковскими процессами и процедурами.

На сегодняшний день полнота, адекватность и качество бизнеспроцессов в кредитной организации фактически стали определяться соответствием их новому, к сожалению, не получившему пока правильного осознания принципу: «Знай свои технологии» [1]. Без преувеличения можно сказать, что большинство процедур, входящих в состав внутрибанковских процессов, реализуется в современных условиях не столько персоналом кредитной организации, сколько ее банковскими автоматизированными системами. Да и сама кредитная организация, если говорить о собственно выполнении банковских операций «и других сделок», о которых сказано в ст. 5 Федерального закона от 2 декабря 1990 г. № 395-I «О банках и банковской деятельности», в значительной своей части представлена теперь не зданием с обозначающей ее вывеской, а БАС и хранилищем данных, доступ к которым во все большем числе случаев обеспечивают системы ДБО [2].

Таким образом, привычный «Банк» оказывается для клиента кредитной организацией не более чем «кирпичным интерфейсом», служащим для официального оформления и инициации доступа к той БАС, которая выполняет все банковские операции и совершает другие сделки (причем не обязательно в самой кредитной организации). В дополнение к этому клиент может в ряде случаев осуществлять доступ к бэк-офису кредитной организации через ИКБД, выступая фактически в роли «операциониста», взаимодействующего с ее БАС удаленно, что радикально меняет и характер отношений с ним кредитной организации, и состав так называемых «зон ответственности» этой организации, и ее «периметр безопасности» [3]. Приведенные наблюдения оказываются тем более справедливыми, что по состоянию на февраль 2009 г. большинство кредитных организаций применяет от двух до десяти систем ДБО разного или вариативного функционального назначения (пик соответствующей диаграммы приходится на 3–4 системы такого рода). Одновременно, как правило, задействуются и 2–4 web-сайта (по той же статистике — даже до 12!).

Внедрение любых технологий электронного банкинга не должно негативно сказываться на надежности и устойчивости высокотехнологичных кредитных организаций, т.е. уровень совокупного или агрегированного банковского риска [4] повышаться не должен. Это означает, что изменения в структурах профилей отдельных типичных банковских рисков должны происходить таким образом, чтобы профиль агрегированного риска, пусть даже меняясь, оставался контролируемым в смысле установленных для его компонентов пределов с учетом их возможного взаимного влияния. При этом подразумевается, что в кредитной организации существует описание этих компонентов в форме определений основных типичных банковских рисков, имеющих компоненты технологического и технического характера, причем в эти описания своевременно (в оптимальном варианте) вносятся коррективы, определяемые особенностями вновь внедряемой ТЭБ и реализующей ее СЭБ.

В этой книге используется иерархическая модель для профилей банковских рисков, представленная на рис. 1, которая была апробирована в процессе проводившихся в течение нескольких лет исследований организации банковской деятельности, осуществляемой технологиями электронного банкинга. В ней фигурируют три уровня: помимо уровня известных типичных банковских рисков (ТБР) рассматриваются также нижележащий уровень так называемых «элементарных» банковских рисков (ЭБР) и вышележащий уровень «системных» банковских рисков (СБР). Это в известной степени условные понятия, призванные лишь подчеркнуть различия между уровнями анализа состава компонентов агрегированного банковского риска: каждый ЭБР соответствует некоему недостатку в формировании организационнотехнической базы банковской деятельности или, иначе, «просчету» в управлении рисками банковской деятельности в смысле превентивного воздействия на потенциальные источники компонентов этих рисков. Каждый СБР характеризует возможные последствия влияния неконтролируемого изменения профиля и повышения отдельного ТБР или их совокупности, что в итоге может привести к негативным событиям системного характера [5]: отзыву лицензии на осуществление банковских операций, банкротству, ограничению выполняемых операций и т.п. На средней условной плоскости ТБР показан профиль риска в форме пентагона с указанием уровней пяти типичных банковских рисков.

Рис. 1. Пример профиля банковских рисков при использовании иерархического подхода
Пример профиля банковских рисков при использовании иерархического подхода

Чтобы удерживать уровни банковских рисков в допустимых пределах, необходимо осуществлять выявление их компонентов, анализировать причины их возникновения — источники указанных компонентов, определять меры воздействия на эти источники (осуществлять собственно УБР) и контролировать результаты такого воздействия.

В свою очередь для эффективной организации и реализации перечисленных процедур в составе процесса УБР целесообразно учитывать уже разработанные и апробированные подходы к его формированию, кратко рассматриваемые ниже.

В одном из основных материалов БКБН, посвященных проблематике УБР в новых условиях [6], отмечается: «При выборе технологии электронного банкинга руководству кредитной организации следует анализировать сопутствующие ей факторы и источники рисков, а также оценивать возможности управления данной технологией и контроля ее использования». При этом специально в отношении ДБО через Интернет, учитывая способность технологий такого рода стимулировать взаимную анонимность кредитных организаций и их клиентов (скрытых средой информационного взаимодействия), говорится, что «предоставление финансовых услуг через Интернет может существенно изменить и (или) даже увеличить традиционные банковские риски (например, стратегический, репутационный, операционный, кредитный и ликвидности)». На самом деле состав банковских рисков, на изменение профилей и уровней которых влияют технологии электронного банкинга, непосредственно зависит от особенностей банковского законодательства, действующего в той или иной стране. Поэтому перечни банковских рисков, приводимые в различных руководствах зарубежных органов банковского регулирования и надзора, отвечают условиям только конкретной страны (или так называемой «объединенной Европы»), а в широком смысле они, конечно, вариативны. Кроме того, в этом же смысле рассматриваемый риск-ориентированный подход не ограничивается только рисками, которые принимают на себя кредитные организации, а распространяется и на их клиентов, что в условиях электронного банкинга приобретает, так сказать, «особую значимость», потому что риски, которым подвергаются такие клиенты, могут непосредственно преобразоваться в компоненты типичных банковских рисков (о чем чаще всего просто забывают).

В число основных характеристик современных условий осуществления банковской деятельности (которые целесообразно учитывать при стратегическом планировании использования электронного банкинга) входят:

- активная разработка и внедрение новых вариантов банковского обслуживания и сопутствующих им новых банковских технологий;
- внесение изменений в законодательство, ориентированных на повышение надежности и транспарентности банковской деятельности [7];
- дефицит специалистов в области технологий электронного банкинга на фоне их быстрого развития и распространения;
- многообразные зависимости эффективности банковской деятельности от сторонних организаций (разного рода аутсорсинга);
- усложнение контроля над процессами, протекающими в виртуальном пространстве банковской деятельности («киберпространстве»).

При этом наблюдается принципиальное противоречие между темпами развития банковских информационных технологий и законодательной базы осуществления банковской деятельности и ее обеспечения. Эти условия никак не зависят от кредитных организаций, поэтому учитывать их целесообразно как факторы возникновения потенциальных проблем, с которыми вполне вероятно им придется столкнуться при внедрении ТЭБ.

Здесь уместно сделать краткое отступление, чтобы отметить некоторые особенности проявления таких факторов, о которых целесообразно подумать еще до начала этого внедрения при принятии решения относительно выбора конкретной технологии.

Прежде всего руководству кредитной организации уместно оценить, насколько хорошо известна, распространена и апробирована предлагаемая ТЭБ, поскольку история развития банковского дела знает немало примеров использования недостаточно хорошо освоенных технологий и систем такого рода, что всегда приводило к реализации компонентов всех имеющих отношение к делу типичных банковских рисков. «Пробелы» в законодательстве обычно приводят к несовпадениям в интерпретации правил и условий использования ДБО разными сторонами, оказывающимися в спорных ситуациях, связанных с недостатками в организации условий применения конкретной ТЭБ (в самом широком смысле), равно как в содержании обязанностей и ответственности лиц, от которых оно зависит, и определении степени ответственности сторон — участников конфликта. Здесь следует отметить и то, что российским кредитным организациям до настоящего времени приходится самим парировать недостатки отечественного финансового, и в частности банковского законодательства, что относится в значительной мере к содержанию текстов договоров с клиентами ДБО и контрактов с провайдерами, действующими в соответствующем ИКБД: положения этих документов подвергаются наиболее тщательному анализу в арбитражных судах.

В более узком смысле для того чтобы руководству кредитной организации определить состав факторов риска, способных негативно повлиять на процесс и результаты банковской деятельности, удобно разбить ИКБД на так называемые «зоны концентрации источников риска» (как минимум — известные специалистам кредитной организации и предполагаемые ими) и проанализировать особенности каждой из них.

Первой такой зоной является клиент ДБО, последней — компоненты локальной вычислительной сети (ЛВС) этой организации, между которыми располагаются зоны, относящиеся к ее провайдерам, телекоммуникационным системам и пр., включая зональные вычислительные сети (ЗВС) в распределенных или многофилиальных структурах крупных кредитных организаций. Затем, при необходимости, отдельные факторы или источники рисков можно сгруппировать по признакам их возможного проявления в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления банковскими рисками по их типам: операционный, правовой, репутационный и др. Как бы то ни было, указанные зоны подлежат описанию во внутренних документах кредитной организации, относящихся к управлению банковскими рисками, вместе с общими мерами по парированию их потенциального влияния.

В связи с этим можно определить основные подлежащие оперативному решению проблемы, связанные с новыми факторами, повышающими уровни банковских рисков при использовании технологий электронного банкинга, с чем сталкиваются соответствующие кредитные организации при создании пруденциальных условий банковской деятельности (с учетом всех зон ответственности и концентрации источников компонентов банковских рисков): для кредитных организаций:

а) возможно снижение надежности (а вслед за этим и устойчивости) банковской деятельности из-за неадекватного учета новых факторов и источников банковских рисков, обусловленных спецификой новой ТЭБ и сложностью контроля реализующих их внутрибанковских и системных процессов;
б) из-за различий в практической реализации кредитными организациями технологии электронного банкинга возникает необходимость в точном учете конкретного состава реально действующих факторов риска в каждом отдельном случае (варианте архитектуры БАС и систем электронного банкинга);

для клиентов кредитных организаций:

а) возможен ущерб их интересам из-за реализации неизвестных или малоизвестных им факторов и источников банковских рисков при отсутствии у них достаточной квалификации в части ТЭБ (включая понимание функционирования конкретного ИКБД в выбранном ими варианте ДБО);
б) освоение выбранной СЭБ может оказаться серьезно затруднено из-за несоответствия характеристик собственной личности (возраст, социальное положение, образование, сфера деятельности и т.п.), следствием чего станет повышение уровней принимаемых на себя «клиентских» рисков.

Поэтому, в частности, в ряде своих материалов БКБН отмечает необходимость разработки кредитными организациями «эффективной внутрибанковской политики и практики управления проектами, жизненным циклом систем, контроля над изменениями и гарантией обеспечения требуемого качества банковской деятельности и обслуживания клиентов» [8]. Одновременно подчеркивается, что план внесения адаптационных изменений в перечисленные компоненты банковской деятельности (и внутрибанковские процессы) высшему руководству кредитных организаций целесообразно составлять еще до перехода к практической эксплуатации систем ДБО. Причем план этот должен «эффективно доводиться» до всех менеджеров структурных подразделений кредитной организации, которые будут иметь отношение к использованию новой банковской технологии.

Наиболее значимой особенностью организации процесса УБР в условиях электронного банкинга является вариативность ИКБД, компоненты которого и их потенциальное негативное влияние необходимо учитывать. При этом приходится помнить о том, что каждая ТЭБ и реализующая ее СЭБ создают свой собственный контур такого рода, и эти информационные контуры могут не только не совпадать (даже при использовании однородных технологий электронного банкинга), но и существенно различаться подмножествами источников компонентов риска, концентрирующихся в тех или иных зонах. Сами эти зоны также могут оказаться неявно выраженными, скажем, в случаях использования кредитной организацией так называемых «виртуальных частных сетей» [9], формирующих в общедоступных сетях передачи данных защищенные «туннели» передачи информации, сетевых экранов (брандмауэров) и прокси-серверов, требующих весьма тщательной настройки своего программно-информационного обеспечения, с помощью которого организуется сетевая защита. Недостатки в организации применения информационных технологий такого рода, которые известны, как правило, только узким специалистам, могут оказаться теми «виртуальными воротами» к информационно-процессинговым ресурсам бэк-офиса кредитной организации, на которые обычно нацелены хакерские, вирусные и прочие сетевые атаки.

Очевидно, что риск-ориентированный подход требует не только составления схем ИКБД, определения и описания зон концентрации источников компонентов банковских рисков, но и комплексного анализа их потенциального влияния на указанные ресурсы. При этом важно постараться охватить процессом УБР все каналы информационного взаимодействия кредитной организации с клиентами или, при неблагоприятном стечении обстоятельств, — со злоумышленниками, имея в виду, что в условиях развитых филиальных структур необходима организация мониторинга влияния источников компонентов банковских рисков во всей структуре подразделений кредитной организации и для всех ее систем электронного банкинга (особенно в ситуациях, когда услуги электронного банкинга предоставляются филиалами), охватывая также и БАС (о чем нередко забывают).

Сноски:
[1] По аналогии с принципами «Знай своего клиента» и «Знай своего работника», которые часто фигурируют в литературе в связи с исследованиями банковских рисков.
[2] Это тем более справедливо в ситуациях территориального разнесения официально зарегистрированной кредитной организации или ее филиала и процессингового центра, а также в условиях так называемого «оффшоринга» — трансграничного аутсорсинга процессинга.
[3] Эти понятия подробно поясняются ниже.
[4] Large Bank Supervision.
[5] Имея в виду интерпретацию банковского сектора страны как некой системы, состоящей из взаимодействующих кредитных организаций, их клиентов и контрагентов, функции которых известны и унифицированы за счет регламентации, которая, впрочем, охватывает лишь часть банковской деятельности.
[6] Risk Management Principles for Electronic Banking.
[7] В качестве примера можно привести принятый еще в 1962 г. Федеральный закон США «О компаниях, обслуживающих банки», в котором речь идет о контроле над провайдерами кредитных организаций.
[8] Risk Management Principles for Electronic Banking.
[9] Virtual Private Network — VPN.

Статья является выдержкой из книги Лямина Л.В. "Применение технологий электронного банкинга. Рискориентированный подход"

Справка:

Применение технологий электронного банкинга. Рискориентированный подход "Применение технологий электронного банкинга. Рискориентированный подход" Автор: Л.В. Лямин

Издано при участии: Центра Исследований Платежных Систем и Расчетов

Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга. В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге рискориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора.

Лямин Леонид Витальевич, более 16 лет работает в надзорном блоке Банка России, начиная с Главного управления инспектирования коммерческих банков, в настоящее время является начальником Отдела электронных банковских технологий Департамента банковского регулирования и надзора. За время работы в Банке России опубликовал несколько десятков статей вопросам содержания надзорноинспекционной деятельности, а также по тематике анализа банковских рисков, применения банковских автоматизированных систем, внутреннему контролю, обеспечению информационной безопасности, корпоративному управлению в кредитных организациях в условиях автоматизации банковской деятельности и т.п. Данная книга первая, написанная за время работы в Банке России на основе анализа организации применения информационных технологий в указанной деятельности, а также большого числа материалов зарубежных органов банковского регулирования и надзора.

Купить книгу можно в магазине Озон >>

СТАТЬИ >> БАНКОВСКОЕ ДЕЛО

Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга

Автор: Лямин Леонид Витальевич
Не то важно, может что-либо произойти или не может,
— все может произойти. Важно значение происходящего.
/Суфийская мудрость/

Проблематика банковских рисков привлекает внимание органов банковского регулирования и надзора разных стран уже довольно давно, и попытки их подробного описания и анализа имели место задолго до начала эры ДБО. Значимость потенциальных угроз надежности банковской деятельности в целом осознавалась в банковском сообществе, что выражалось, к примеру, даже в таких оригинальных формулировках, как «банковское дело — это принятие на себя риска с получением компенсации за него». [1]

Однако, как это ни парадоксально, до настоящего времени в публикациях, посвященных банковскому делу и сопутствующим рискам, отсутствует единый теоретический подход к определению, интерпретации и практическому применению даже базовых понятий, связанных с этой теорией.

Внедрение в банковскую деятельность технологий и систем ДБО усугубило ситуацию в том плане, что на этой волне стали возникать как бы все новые и новые виды банковских рисков, из-за чего и без того не законченная методология, охватывающая выявление, оценивание, анализ, мониторинг банковских рисков и управление ими, стала размываться, затрудняя ее практическое использование.

Оборот «как бы» употреблен здесь не случайно. Несмотря на то что теоретические разработки в области рисков банковской деятельности ведутся уже более 20 лет (первые публикации систематического характера относительно отдельных компонентов таких рисков относятся еще ко второй половине 80-х гг. прошлого века), законченной или даже сколько-нибудь полной «теории» этих рисков до настоящего времени не создано — проработаны только отдельные направления.

В основном такие разработки были посвящены кредитному, процентному, ценовому, валютному рискам или совокупности последних, определяемых как рыночный риск, а также риску ликвидности. Мало того, практически каждый из зарубежных органов банковского регулирования и надзора [2] до последнего времени формировал свою собственную теорию, причем общее число банковских рисков варьировалось от полутора десятков до одного (операционного, поглощавшего все остальные). Одна из таких теоретических разработок Базельского комитета по банковскому надзору (БКБН) нашла отражение в упомянутом ранее Указании оперативного характера Банка России от 23 июня 2004 г. № 70-Т «О типичных банковских рисках». В этом материале фигурируют следующие 11 банковских рисков: кредитный, страновой, рыночный, фондовый, валютный, процентный, ликвидности, операционный, правовой, потери деловой репутации и стратегический. Между тем, с течением времени и развитием банковских информационных технологий этим дело не ограничилось, поскольку возникли новые компоненты банковских рисков, уже технологического характера, которые стали вносить существенные коррективы в теоретические подходы к анализу рискованности банковской деятельности.

Вследствие этого в последних по времени выпуска материалах БКБН, посвященных основным принципам управления рисками в условиях применения электронного банкинга [3], стали фигурировать еще и такие риски, как:

—— деловой;
—— безопасности;
—— хищений идентификационных данных;
—— мошеннических действий со счетами;
—— отмывания денег;
—— обезличивания индивидуальности;
—— отрицания транзакций,

несмотря на то что в этой же работе отмечалось «отсутствие возникновения принципиально новых рисков» и что «деятельность в области электронного банкинга не приводит к возникновению рисков, которые не были бы уже идентифицированы в предыдущих работах Базельского Комитета».

Вместе с тем было также указано, что фундаментальные характеристики ДБО и факторы, которые ассоциируются «с видами обслуживания в рамках электронного банкинга… увеличивают и модифицируют некоторые из традиционных рисков, связанных с банковской деятельностью, в особенности стратегический, операционный, правовой и репутационный риски, тем самым влияя на общий профиль риска в банковском деле». Мало того, в некоторых других материалах БКБН говорится еще и о так называемых рисках, «характеризующих электронную обработку данных в банках», а именно:

—— риск непредусмотренного раскрытия информации;
—— риск ошибок;
—— риск мошенничества;
—— риск прерывания операций;
—— риск неэффективного планирования;
—— риски, связанные с действиями клиентов.

В более ранних документах БКБН, посвященных типичным банковским рискам и считавшихся основополагающими в этой области, перечисленные выше разновидности рисков не упоминались и не рассматривались. Также в этих документах отсутствуют указания на совокупности «новых» банковских рисков как на компоненты типичных банковских рисков, а это, с точки зрения автора, неточность, имеющая принципиальный характер. Очевидно, что нагромождение дополнительных разновидностей банковских рисков может привести только к размыванию границ методологии, которую вряд ли когда-нибудь можно будет считать законченной.

Не лучше, чем в этом общеевропейском методическом органе банковского регулирования и надзора, обстоят дела с теоретическими исследованиями в области банковских рисков в условиях электронного банкинга и в отдельных странах. Чтобы не перегружать изложение, уместно ограничиться только двумя примерами попыток преодоления ограничений, свойственных традиционному подходу к описанию банковских рисков при переходе к анализу их специфики, обусловленной эффектами виртуального пространства, в котором осуществляется современная банковская деятельность. В частности, Банк Нидерландов в рассматриваемом отношении выделяет следующие «нетрадиционные» риски [4]:

—— риск управляемости (обусловленный недостаточной гибкостью и обеспечением банковских информационных технологий);
—— риск эксклюзивности (обусловленный недостаточной защитой против несанкционированного доступа к банковским автоматизированным системам и отдельным средствам в их составе);
—— риск целостности (обусловленный неточностью, неполнотой банковской информации или несвоевременностью ее поступления);
—— риск контролируемости (обусловленный недостаточными функциональными характеристиками средств контроля);
—— риск непрерывности (обусловленный возможной недостаточной доступностью для работы самих информационных технологий);
—— риск пользователя (обусловленный возможным неправильным использованием информационных технологий).

Легко заметить некорректность приведенных формулировок, которые семантически должны были бы строиться совершенно иначе, учитывая, что при рассмотрении рисков речь всегда идет о возможности наступления событий, характеризуемых неким негативным влиянием на результаты той или иной деятельности. Эти же формулировки должны были бы строиться, например, таким образом:

– риск неуправляемости (или потери управляемости);
– риск потери конфиденциальности (или несанкционированного доступа);
– риск нарушения целостности (или искажения данных);
– риск неконтролируемости (или потери контроля);
– риск недоступности (или прерывания функционирования) и т.п.

Важно подчеркнуть, что подобные отмеченные семантические смещения во внутрибанковских документах, относящихся к организации и содержанию управления банковскими рисками, и проистекающие из общепринятого подхода, выражаемого словами «все всё понимают», недопустимы, так как «затуманивают» существо негативного явления.

Следствием этого, как правило, становятся просчеты в содержании составляющих данный процесс процедур, а также пробелы в их понимании, организации и выполнении.

Наконец, в материалах одного из основных органов банковского регулирования и надзора США и старейшего из них, созданного еще в середине XIX в. — Управления контролера денежного обращения [5], — такие банковские риски определяются как «ключевые риски, связанные с электронными банковскими операциями», а именно это:

—— риски, связанные с зависимостью от поставщиков и провайдеров;
—— риски, связанные с обеспечением безопасности, целостности и конфиденциальности банковских данных;
—— риски, связанные с авторизацией, аутентификацией и подтверждением достоверности и прав пользователя;
—— риски, связанные со стратегией ведения бизнеса и деловыми операциями;
—— риски, связанные с планированием непрерывности деловых операций;
—— риски, связанные с допустимостью проведения тех или иных операций и правовыми вопросами;
—— риски, связанные с компьютерными преступлениями и отмыванием денег.

При этом в более ранних и также считающихся базовыми материалах ОСС, посвященных организации банковского регулирования и надзора на основе рисков [6], перечисляются 9 банковских рисков (совпадающих с формулировками БКБН за исключением странового и фондового) [7], к которым только что перечисленные риски как будто никакого отношения не имеют.

Очевидны как сходство, так и различия в интерпретации аналогичных угроз надежности банковской деятельности, осуществляемой с использованием кредитными организациями новых компьютерных информационных технологий. Кстати, можно заметить, что при анализе рисков электронного банкинга зарубежные специалисты исключают из ИКБД собственно банковские автоматизированные системы (причем это свойственно специалистам и США, и некоторых стран Западной Европы) [8]. В трактовке систем электронного банкинга как виртуальных «ворот», открывающих доступ к информационно-процессинговым ресурсам кредитной организации, такой подход представляется в значительной мере упрощенным, поскольку все подверженные влиянию источников риска ресурсы такого рода сконцентрированы в так называемом «бэк-офисе» кредитной организации. Вследствие этого и анализ содержания компонентов банковских рисков логично осуществлять на всем протяжении ИКБД, который замыкается в хранилище банковских и клиентских данных, используемых для операционной и информационной деятельности кредитной организации, включающей также предоставление информации ее клиентам по счетам и операциям, равно как и подготовку регламентной банковской отчетности для контролирующих органов.

В российской литературе, посвященной рискам банковской деятельности, также часто встречаются «новые» банковские риски, упоминаемые в связи с разными сторонами информатизации этой деятельности. Наиболее «популярными» из них стали «информационные», «технологические», «технические» риски (или их комбинации) и некоторые другие. Дело не в новых названиях как таковых, а в том, что предметная область банковских рисков как бы становится шире вместе с каждой новой банковской информационной технологией, а значит, размывается и становится безграничной и соответствующая методология (как область знаний); вместе с тем она постоянно устаревает, вследствие чего использовать ее на практике почти невозможно. На самом деле новые технологические и технические решения сами собой не приводят к возникновению новых видов банковских рисков, которые необходимо учитывать в процессе управления ими (кстати, традиционно считается, что в него входят также процедуры выявления, анализа, мониторинга и оценки уровней этих рисков) и в «изобретении» этих видов рисков необходимости нет. Противоречия, подобные приведенному, свидетельствуют, по мнению автора, о неперспективности такого «экстенсивного» подхода к описанию и анализу банковских рисков. Понимая, что увеличение «множественности видов» банковских рисков препятствует поддержанию целостности и обеспечению преемственности методологии анализа банковских рисков с течением времени и технического прогресса, логичнее было бы более детально изучать и анализировать их структуру. Следовательно, имея в виду возможное развитие их с течением времени, все перечисленные выше новые риски целесообразно интерпретировать как компоненты типичных банковских рисков, уделяя им внимание при внедрении каждой новой ТЭБ.

С одной стороны, наличие некоторого хаоса в рассматриваемой области неудивительно, поскольку осознание рассматриваемых рисков оказалось непосредственно и почти исключительно связано с долгим эмпирическим путем развития и освоения банковского дела как такового. С другой стороны, быстрое внедрение и распространение банковских информационных технологий привело к таким системным изменениям в банковской сфере, которые создали условия для неожиданных и крупных трансформаций профилей рисков, обусловленных варьирующимися факторами риска как для отдельных кредитных организаций, независимо от их размеров, так и для финансовых систем в разных странах (в силу эффекта лавинного распространения рисков). Поэтому понятие риска как вероятности каких-либо потерь (включая упущенную выгоду) повсеместно становится предметом изучения и с эвристических, и с математических позиций [9], а для высокотехнологичных кредитных организаций отсутствие единой теории банковских рисков создает дополнительные проблемы с учетом их специфических компонентов, вносимых ДБО, в процессе управления банковскими рисками (УБР).

Анализ причин возникновения технологических и технических компонентов типичных банковских рисков приводит к выводу, что основным фактором для этого (опять-таки системного характера) является превращение банковской деятельности в своего рода «информационную дисциплину», которая в современном мире естественным образом оказалась «замкнута» на компьютерные технологии и вычислительные сети. Это означает, что все угрозы надежности банковской деятельности, порождающие источники указанных компонентов, можно свести в два небольших перечня:

1) данные (банковские и клиентские), передаваемые, обрабатываемые и хранимые в ИКБД, могут быть:
—— похищены,
—— изменены,
—— уничтожены,

2) операции, совершаемые с этими данными, могут быть:
—— имитированы,
—— искажены,
—— блокированы.

Поэтому становится необходимым постоянное обеспечение кредитной организацией авторизации, верификации и контроля получаемых, передаваемых и обрабатываемых финансовых и других (банковских, клиентских) данных, равно как и операций, осуществляемых с этими данными. Для этого в условиях применения электронного банкинга требуются дополнительные специальные процедуры, необходимости в которых при традиционной банковской деятельности не было в силу отсутствия такого явления, как ИКБД.

Эта проблематика до сих пор не считалась значимой и актуальной, по-видимому, из-за того, что автоматизация деятельности кредитных организаций, включая ДБО, не воспринималась как системный феномен, влияющий на эффективность и качество данной деятельности и превративший эти организации в аппаратно-программные комплексы информационных систем, состоящие из двух основных частей: БАС (в широком смысле) и хранилища банковских данных. Одновременно изменился и характер целого ряда типичных банковских рисков, в которых все более значимую роль стали играть их компоненты технологического и технического характера. Отсутствие такого восприятия объясняется, вероятно, несоответствием традиционного, устоявшегося понимания содержания банковской деятельности ее радикально изменившемуся характеру, обусловленному возникновению новых вариантов ДБО. Из-за этого в кредитных организациях возникли многочисленные недостатки в осуществлении УБР, негативное влияние которых на характеристики банковской деятельности и интересы клиентов этих организаций усугубляются опережающими темпами внедрения новых банковских информационных технологий и систем электронного банкинга по сравнению с совершенствованием процесса УБР.

Чтобы не «нагромождать» все новые и новые риски в ситуациях применения кредитными организациями разнородных технологий электронного банкинга, предлагается простая модификация традиционного подхода, ориентированная на анализ состава компонентов типичных банковских рисков, который неизбежно усложняется за счет возникновения их дополнительных источников, обусловленных в свою очередь действием рассмотренных выше новых факторов риска в ИКБД. Таким образом, в предлагаемой методологии риск-ориентированного подхода постулируется, что внедрение кредитными организациями новых информационных технологий, в том числе технологий электронного банкинга, не приводит к возникновению новых видов банковских рисков, но расширяет состав факторов и порождаемых ими источников компонентов типичных банковских рисков и вызывает смещения профилей рисков, сопутствующих банковской деятельности.

Здесь уместно также подчеркнуть различие между традиционными системами «Банк — Клиент» так называемого «закрытого» типа, которые предлагались только для юридических лиц и оказывались удобны лишь в тех случаях, когда «точка входа» в такую систему оставалась стационарной (в виде АРМ), и быстро распространяющимися системами ДБО с вариативным доступом к ним. Их разновидности продолжают появляться, что связано преимущественно с развитием мобильных средств связи и сопутствующих им компьютерных систем, а значит, возникают специфические для последних источники компонентов банковских рисков, которые существенно отличают их от систем со стационарными автоматизированными рабочими местами для ДБО. В свою очередь общность рассмотрения данной предметной и проблемной области предполагает ее инвариантность к особенностям среды информационного взаимодействия, в которой действуют элементы ИКБД.

В число основных факторов системного уровня, которые принципиально повышают уровни ряда типичных банковских рисков при использовании технологий электронного банкинга, входят также следующие:

—— «виртуальный» характер дистанционных банковских операций;
—— доступность «открытых» телекоммуникационных систем;
—— чрезвычайно высокая скорость выполнения транзакций в виртуальном пространстве;
—— глобальный характер межсетевого операционного взаимодействия;
—— участие компаний-провайдеров в реализации банковского обслуживания;
—— возможности использования систем электронного банкинга для противоправной деятельности.

Недостатки в учете этих факторов при внедрении технологий электронного банкинга приводят к росту вероятностей реализации компонентов банковских рисков как для кредитных организаций, так и для их клиентов. В свою очередь необходимость учета этих факторов в УБР приводит к требованию уточнения понятия и содержания собственно «банковской деятельности».

Это понятие стало существенно шире за последние годы, охватывая процесс применения банковских информационных технологий, а также новые способы и средства информационного взаимодействия кредитных организаций со своими клиентами и контрагентами. Соответственно в процессе УБР необходимо учитывать это расширение, поскольку результаты банковской деятельности стали в значительной мере, если не полностью, зависеть от того, могут ли считаться условия применения таких технологий пруденциальными и каким образом обеспечивается и гарантируется технологическая и техническая надежность кредитных организаций, равно как и эффективность процессов управления и контроля в них.

Продолжение статьи читайте здесь >>

Сноски:
[1] Guiding Principles in Risk Management for U.S. Commercial Banks. The Financial Services Roundtable, A Report of the Subcommittee and Working Group on Risk Management Principles; Washington, DC, USA, June 1999.
[2] Автор располагает материалами таких учреждений только из США, Канады, Западной Европы и Великобритании, а также Сингапура и Южной Кореи, однако это не умаляет общности рассмотрения.
[3] Например, Risk Management Principles for Electronic Banking.
[4] Цитируются материалы семинара, проводившегося для специалистов Банка России в 2004 г.
[5] Office of the Comptroller of the Currency — OCC, в составе которого служба банковского инспектирования была создана еще в 1863 г., а в 1874 г. — банковский надзор, этой истории посвящена книга Robertson R.M. The Comptroller and Bank Supervision. OCC, Washington, DC, USA, 1995.
[6] В терминологии документов ОСС.
[7] Large Bank Supervision. Comptroller’s Handbook. EP-LB. Office of the Comptroller of the Currency, Washington, DC, USA, May 2001.
[8] По информации, полученной автором на ряде международных семинаров по вопросам обеспечения надежности банковской деятельности, проводившихся под эгидой органов банковского регулирования и надзора.
[9] Guiding Principles in Risk Management for U.S. Commercial Banks. June 1999.

Статья является выдержкой из книги Лямина Л.В. "Применение технологий электронного банкинга. Рискориентированный подход"

Справка:

Применение технологий электронного банкинга. Рискориентированный подход "Применение технологий электронного банкинга. Рискориентированный подход" Автор: Л.В. Лямин

Издано при участии: Центра Исследований Платежных Систем и Расчетов

Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга. В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге рискориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора.

Лямин Леонид Витальевич, более 16 лет работает в надзорном блоке Банка России, начиная с Главного управления инспектирования коммерческих банков, в настоящее время является начальником Отдела электронных банковских технологий Департамента банковского регулирования и надзора. За время работы в Банке России опубликовал несколько десятков статей вопросам содержания надзорноинспекционной деятельности, а также по тематике анализа банковских рисков, применения банковских автоматизированных систем, внутреннему контролю, обеспечению информационной безопасности, корпоративному управлению в кредитных организациях в условиях автоматизации банковской деятельности и т.п. Данная книга первая, написанная за время работы в Банке России на основе анализа организации применения информационных технологий в указанной деятельности, а также большого числа материалов зарубежных органов банковского регулирования и надзора.

Купить книгу можно в магазине Озон >>

Прыг: 01 02 03 04 05 06 07 08 09 10
Скок: 10