"Расчеты и операционная работа в коммерческом банке", 2006, N 6

АНАЛИЗ ФАКТОРОВ РИСКА, СВЯЗАННЫХ С ИНТЕРНЕТ-БАНКИНГОМ <1>

     
   ————————————————————————————————
   

<1> Настоящая статья выражает исключительно мнение автора и не отражает позицию Банка России.

При осуществлении кредитными организациями банковского обслуживания через Интернет условия осуществления операционной банковской деятельности, как и способ предоставления банковских услуг, существенно изменяются, хотя содержание данной деятельности, естественно, остается прежним. В изменение этих условий вносят свою лепту компоненты информационного контура банковской деятельности (ИКБД), которые обеспечивают саму возможность применения интернет-банкинга как такового, то есть компании, предоставляющие кредитным организациям и их клиентам доступ к информационно-процессинговым ресурсам так называемой Мировой паутины, а через них - к аналогичным ресурсам финансовых учреждений.

Продолжая изучение зон концентрации факторов банковских рисков <2>, сопутствующих интернет-банкингу (ИБ), логично перейти ко второй такой зоне, расположенной между клиентом и его кредитной организацией и образуемой интернет-провайдерами или, точнее, их аппаратно-программным обеспечением, системами (средствами) телекоммуникаций и другими техническими ресурсами. По мнению автора, роль и место в современной банковской деятельности даже таких провайдеров (не говоря уже о явлении аутсорсинга в целом) изучены недостаточно, о чем, кстати, свидетельствует в первую очередь содержание договоров кредитных организаций с ними и со своими клиентами, которые пользуются банковским обслуживанием через Интернет. Другим доказательством новизны и слабой изученности роли и места провайдеров в банковской деятельности (в широком смысле) являются многочисленные недостатки в организации и реализации управления банковскими рисками, связанными с аутсорсингом, то есть в построении кредитными организациями систем выявления, анализа, мониторинга этих рисков и воздействия на их источники (управления рисками).

     
   ————————————————————————————————
   

<2> См.: 5/2006, с. 52 - 63.

Необходимость учета возможных зависимостей операционной деятельности кредитных организаций от провайдеров и "потенциального" их влияния (или связанных с ними факторов) на нее при планировании ДБО через Интернет интуитивно понятно. Выход из строя оборудования провайдера из-за аварий или отказов, а также при переходе в нештатный режим работы из-за сбоев в работе их аппаратно-программного обеспечения (АПО) в большинстве случаев приведет к нарушению обслуживания клиентов или работы самой кредитной организации. Во всяком случае, ее обязательства перед ними окажутся невыполненными. Вследствие этого возможна реализация компонентов операционного, правового, репутационного рисков, а в отдельных случаях - риска ликвидности и стратегического риска (в форме последствий отказов от использования систем ДБО). Очевидно, что наибольшая часть клиентов кредитных организаций не имеет полного представления о функционировании систем ДБО и тех "промежуточных инстанциях", через которые проходят потоки ордеров клиентов, финансовых и других данных. То есть претензии клиент всегда будет предъявлять не провайдеру, а кредитной организации.

Безусловно, и сама среда Интернета как глобального системного "образования" изменяет условия осуществления банковской деятельности, но эта ее роль будет рассмотрена нами отдельно.

Необходимо отметить, что понятие "провайдер" в случае применения технологий ДБО лучше трактовать в широком смысле, учитывая те разнообразные роли, которые такие "обслуживающие" организации играют в современном мире. Для многих организаций провайдерами могут являться разработчики web-сайтов (или web-порталов) или интернет-провайдеры, на компьютерном оборудовании которых размещаются web-сайты, используемые кредитными организациями, процессинговыми компаниями (вычислительными центрами), в том числе принадлежащие холдингам или банковским группам, или центрами обработки и хранения данных, а также организациями, предоставляющими услуги связи и соответствующие линии (каналы) и т.д. Многие малые и средние кредитные организации нередко прибегают к поддержке провайдеров в тех случаях, когда не имеют возможностей создать и поддерживать собственный вычислительный центр или департамент (управление) информатизации либо применяют "готовые" технологии, уже реализованные сторонней небанковской организацией, специализирующейся на обеспечении ДБО.

Каждый такой вариант характеризуется индивидуальным (хотя нередко схожим) составом источников банковских рисков. Это обусловлено и типом информационного взаимодействия кредитных организаций со своими клиентами, и архитектурой банковских автоматизированных систем, и способами доступа клиентов к информационно-процессинговым ресурсам кредитных организаций (или их провайдеров), и прикладными программно-техническими решениями в кредитных организациях, составляющими так называемые информационные сечения между внутрибанковскими системами и внешним миром. Вследствие этого кредитным организациям в общем случае целесообразно было бы адаптировать внутренние процедуры выявления, анализа и мониторинга банковских рисков к конкретному составу ИКБД, тем более в тех случаях, когда они одновременно используют несколько разновидностей технологий ДБО, включая работу через разные web-сайты. Аналогичным образом целесообразно адаптировать и содержание (алгоритмы) управления банковскими рисками, содержащими компоненты технологического и технического характера. Таким образом, в совокупности анализ влияния компонентов ИКБД на операционную деятельность кредитной организации (и ее результаты) в целом может оказаться сложным. Но тем, кто строит свои стратегические планы с расчетом на будущее электронного банкинга (e-Banking), без этого не обойтись.

При применении технологий ДБО, относящихся к рассматриваемой области, то есть к использованию клиентами кредитных организаций средств компьютерной связи в глобальном масштабе, их руководству целесообразно учитывать как минимум уже выработанные рекомендации зарубежных органов банковского надзора. В наиболее общем случае органам управления кредитной организации рекомендуется внедрять полноценные и непрерывные процессы наблюдения за выполнением взятых на себя обязательств и контроля самих процессов (и их результатов), которые, во-первых, критично важны с точки зрения потребностей клиентов кредитной организации и ее самой и, во-вторых, могут прямо зависеть от выполнения своих обязательств провайдером, с помощью которого эти процессы поддерживаются. К сожалению, как показывает практика, кредитные организации нередко берут на себя обязательства без учета зависимости от провайдеров, без которых эти обязательства реально не выполнимы. Поэтому и оказывается необходимым процесс, специально организованный для управления отношениями банка с провайдерами услуг и другими сторонними организациями, обеспечивающими поддержку выполнения операций электронного банкинга, на что делает акцент, например, Базельский комитет по банковскому надзору (БКБН) <3>. Это достаточно распространенный за рубежом подход, в российских банках автору с таким подходом сталкиваться практически не приходилось. Возможно, впрочем, из-за нехватки опыта...

     
   ————————————————————————————————
   

<3> См., напр.: Risk Management Principles for Electronic Banking. - BCBS, Basel, May 2003.

Кстати, упомянутый комитет подчеркивает, что для минимизации правового и репутационного рисков, связанных с операциями электронного банкинга, осуществляемыми как локально, так и за рубеж, "банки должны обеспечивать адекватное представление информации на своих web-сайтах и принимать необходимые меры, гарантирующие соответствие требованиям конфиденциальности со стороны клиентов в рамках той юрисдикции, которой подчиняются банки, предоставляя услуги в рамках электронного банкинга". Вообще тематика трансграничного банковского обслуживания, особенно посредством интернет-банкинга, сама по себе является объектом интенсивных исследований БКБН. Однако по состоянию на сегодняшний день можно сказать: только определена предметная область и получены некоторые предварительные результаты, поэтому пока еще преждевременно говорить о каких-либо конкретных рекомендациях, за исключением соблюдения двух принципов <4>.

     
   ————————————————————————————————
   

<4> Management and Supervision of Cross-Border Electronic Banking Activities. - BCBS, Basel, July 2003.

Принцип 1: до того как начать деятельность в рамках трансграничного электронного банкинга, кредитной организации следует провести должное оценивание риска и принимаемых на себя обязательств, в результате которого в ней будет внедрена эффективная программа управления рисками данной деятельности.

Принцип 2: кредитной организации, собирающейся приступить к обслуживанию в рамках трансграничного электронного банкинга, следует разместить на своем web-сайте информацию, достаточную для того, чтобы ее потенциальные клиенты могли получить достоверные сведения об этой организации как юридическом лице, включая страну дислокации и лицензионные данные.

В основном в материалах такого рода обсуждаются вопросы несоответствия законов о банковской деятельности разных государств, проблемы расследования подозрительной банковской деятельности, в которой участвуют коммерческие банки разных стран, и вопросы международного взаимодействия органов банковского надзора.

Повышенная зависимость от партнеров и различных провайдеров услуг при осуществлении критически важных функций для кредитной организации в рамках электронного банкинга вполне может приводить к уменьшению возможностей непосредственного контроля над ними со стороны ее руководства. Соответственно, органы управления кредитной организацией стоят перед необходимостью организации особого процесса управления банковскими рисками, ассоциируемыми с заказной обработкой банковских данных и возможной зависимостью от других сторонних организаций. Этот процесс охватывал бы всю деятельность провайдеров (включая субконтракты на заказную обработку данных или поддержку оборудования), которая может привести к реализации компонентов рисков, принимаемых кредитной организацией. Поскольку речь идет о получении, промежуточной передаче, преобразовании и хранении данных, то есть процессах, на которые кредитная организация непосредственно влиять не может, органам управления кредитной организации целесообразно проводить комплексный анализ компонентов (которые можно назвать "элементарными рисками") как минимум операционного, правового, репутационного рисков (ведь все они связаны с возможными выходами компьютеризованных систем из штатных режимов работы), а в ряде специальных случаев - также риска ликвидности (кстати, точнее было бы сказать "риска неплатежеспособности"). Последний проявляется тогда, когда возникшие у провайдера проблемы препятствуют получению клиентами кредитной организации своих финансовых средств через ту или иную систему ДБО. Иногда имеет место и реализация стратегического риска, например при необходимости отказа от услуг провайдера или его замены. В наихудшем варианте этот риск реализуется для кредитной организации в виде совокупных затрат (потерь) на возврат к самостоятельному выполнению всех переданных на аутсорсинг функций, необходимых для эффективной банковской деятельности.

Следует отметить, что в оптимальном варианте организации аутсорсинга кредитной организации целесообразно располагать планом мероприятий на такой случай, иметь официально назначенных ответственных за выполнение этих мероприятий, а также официально назначенных лиц, отвечающих за проверку выполнения данного плана (с доведением и подтверждением доведения до этих лиц их обязанностей), равно как и гарантировать наличие и "боевую готовность" тех аппаратно-программных средств кредитной организации, которые "подхватят" операционную деятельность, если с провайдером что случится (не дай Бог!). Это, в свою очередь, требует организации регулярного анализа зависимости кредитной организации от своих провайдеров не только в функциональном плане, но и с позиций своих клиентов, причем с каждым технологическим нововведением.

Изучение опыта работы ряда зарубежных коммерческих банков свидетельствует о том, что подобные мероприятия непременно включаются в план действий на случай чрезвычайных обстоятельств, причем проводятся и их "полевые испытания" в интересах все той же операционной деятельности. Безусловно, речь не идет о полномасштабной имитации, скажем, пожара или падения самолета на здание банка, но, к примеру, один из основных американских органов банковского регулирования и надзора - Управление контролера денежного обращения - после трагедии 11 сентября 2001 г. выпустил меморандум, в котором, помимо прочего, поднадзорным банкам рекомендовалось создавать резервные полнофункциональные офисы на расстоянии не менее 25 (а лучше 50) миль от головного офиса. Это может показаться несколько преувеличенным - "мы не в Америке живем", но основная идея понятна и уже реализуется во многих зарубежных странах: устраиваются учения персонала коммерческих банков, которому при этом дается не более 1 часа (а то и меньше) на возобновление прерванных из-за какой-либо форс-мажорной ситуации операций. Опять, как видно, речь идет не о видах и содержании операционной банковской деятельности, а об организации и условиях этой деятельности. По мнению автора, руководству и специалистам кредитных организаций целесообразно было бы учитывать особенности ДБО и в этой части - факторы, вносимые форс-мажором. К сожалению, практика свидетельствует о том, что, несмотря на обязательное (а скорее, - традиционное) наличие в договорах с клиентами и провайдерами раздела о форс-мажорных обстоятельствах, вопросы о планах действий в таких обстоятельствах остаются по существу открытыми. Даже при наличии таких планов не создается уверенности в их действенности, поскольку зачастую в них написано только о том, кто и кому должен сообщить о возникших проблемах. Кстати, и необходимость корректировки (адаптации) таких планов вместе с внедрением каждой новой технологии ДБО осознается далеко не всегда. А ведь на самом-то деле это изменение бизнес-модели, а вместе с этим и той самой "операционной деятельности", за счет которой существует кредитная организация, а зачастую и ее клиенты.

Проблемы с адекватным пониманием или, как принято говорить в последнее время, "осознанием" изменения характера банковской деятельности во многом связаны с консервативностью человеческого мышления как такового. Исследование психологических основ данного явления не входит в содержание статьи, но некоторые замечания по этому поводу сделать уместно. Исторически заказная обработка ограничивалась, как правило, единственным провайдером, осуществлявшим обслуживание в рамках заданного набора операций. Однако в последние годы масштаб и сложность внешних связей кредитных организаций в части заказной обработки данных значительно возросли, что явилось прямым результатом успехов в банковских информационных технологиях и весьма высоких темпов внедрения ДБО (или, иначе, технологий электронного банкинга). В дополнение к указанной сложности следует учитывать тот факт, что внешне обслуживание операций электронного банкинга вполне может передаваться по субконтрактам дополнительным провайдерам услуг и (или) вообще осуществляться в другой стране (ситуация так называемого "офшоринга") <5>. Кроме того, по мере технологического развития и роста стратегической важности программного обеспечения и видов обслуживания в рамках электронного банкинга определенные функциональные участки (ранее находившиеся в самой кредитной организации) могут оказаться в зависимости от небольшого числа специализированных сторонних поставщиков ("вендоров") и провайдеров услуг <6>. Эти разработки могут привести к повышенной концентрации рисков, которая оправдывает внимание как со стороны кредитных организаций, так и с системной (в данном случае надзорной) точки зрения в отношении банковского сектора в целом.

     
   ————————————————————————————————
   

<5> Это типично если не для многих российских кредитных организаций, то для дочерних от зарубежных коммерческих банков, и наличие центров обработки и хранения банковских данных где-то в Индии, Венгрии, Швеции или Германии уже не удивляет. Но озадачивает, если говорить о проверках кредитных организаций. Впрочем, это отдельная и очень сложная тема.

<6> В зарубежной литературе, посвященной вопросам банковского регулирования и надзора в сфере электронного банкинга, фактически устоялось разделение на вендоров и провайдеров: под первыми понимаются компании, продающие АПО или какое-либо оборудование, под вторыми - компании, предоставляющие различные услуги.

Впрочем, сказанное не исчерпывает всех возможных проблемных ситуаций, связанных с различными видами электронного банкинга. Например, в случае акцентируемой в настоящей статье технологии интернет-банкинга (как отмечалось и в первой части статьи) внутрибанковские автоматизированные системы часто оказываются объектами хакерских атак, что в современном мире стало уже привычным. Но отдельные попытки несанкционированного доступа к банковским или клиентским данным, хранящимся и циркулирующим в таких системах, в большинстве случаев (хочется верить) парируются или предотвращаются. Ситуация ухудшается, когда вокруг одного провайдера концентрируются группы кредитных организаций (особенно в регионах), а его компьютерные системы неожиданно, скажем, блокируются в результате "успешной" хакерской атаки, из-за чего обслуживание клиентов зависимых от него кредитных организаций прекращается. Еще хуже, когда речь приходится вести о массированных атаках на автоматизированные системы финансовых учреждений, в которых оказываются задействованы и компьютерные системы провайдеров (как правило, не имеющих представления о таких вариантах нанесения ущерба). Очевидно, что вследствие этого рассматриваемая зона концентрации источников рисков заметно расширяется.

При анализе факторов риска, связанных с работой через конкретную организацию-провайдера, специалистам кредитной организации целесообразно работать в тесном контакте с ее специалистами, выясняя, какие меры принимаются ими для исключения влияния тех или иных факторов риска. Очевидно, что квалификация персонала кредитной организации должна быть как минимум "необходимой и достаточной" для такого взаимодействия. В процессе анализа целесообразно учитывать, что довольно распространенным явлением стало использование хакерами различных сетевых (или распределенных) компьютерных систем в качестве промежуточных "усилителей" атак. Суть процесса состоит в том, что хакер атакует со своего компьютера компьютерные сети каких-либо провайдеров, "заражая" их вредоносной программой, которая инициирует генерацию запросов на конечный объект атаки с компьютеров, входящих в состав сетей ничего не подозревающих провайдеров. Поскольку таких компьютеров могут быть сотни, серверы связанных с провайдером организаций иногда "завалены" своего рода "вторичными" запросами, лавину которых невозможно обработать с помощью имеющихся вычислительных ресурсов, и операционная деятельность этих организаций прекращается, что, естественно, сразу сказывается на их клиентуре. Мало того, такие атаки могут быть организованы не только индивидуальными злоумышленниками, но и по сговору - как разновидность недобросовестной конкуренции. Следствием фактического вывода компьютерной сети кредитной организации из строя является реализация компонентов всех перечислявшихся выше банковских рисков.

На описанное явление и подобные ему в последние годы обращают все больше внимания зарубежные органы банковского регулирования и надзора. В качестве примера можно привести подход упоминавшегося выше Управления контролера денежного обращения США (в аббревиатуре - OCC), которое периодически обобщает информацию об угрозах для коммерческих банков, осуществляющих ДБО, и издает так называемые "предупреждения" (alerts). Ниже приведены выдержки из одного предупреждения такого рода (Alert 2000-1):

Тема: Безопасность интернет-технологий.

Кому: Руководителям высшего уровня и ответственным за информационные технологии национальных банков, филиалам, провайдерам услуг и поставщикам программного обеспечения, начальникам департаментов и управлений, инспекторам.

"За последнее время большое число web-сайтов, используемых для электронной коммерции, подверглось атакам, прерывающим доступ клиентов к ним за счет наводнения этих сайтов большими объемами информации, превышающими возможности компьютеров по ее обработке. Этот вид атак известен как "распределенный отказ в обслуживании" (Distributed Denial of Service - DDoS). Они опасны для используемых банками web-сайтов и требуют пристального внимания их руководства <...>

Чтобы убедиться, что ваше учреждение не является невольным участником таких атак, вам следует проверить свои компьютерные системы. Дополнительную информацию по таким атакам можно получить на сайте Carnegie Melon University CERT/CC по адресу: http://www/cert.org/reports/dsit_workshop.pdf <...> Финансовым учреждениям следует обновлять оценки производительности своих систем с точки зрения парирования таких атак и других угроз информационной безопасности, а также периодически тестировать безопасность вычислительных сетей, совершенствовать методы выявления рисков, средства снижения рисков, соответствующие политику и процедуры (как это описано в руководствах Управления и Федерального совета по проверкам финансовых учреждений) <...> Также следует обеспечивать актуальность планов на случай непредвиденных обстоятельств. В ходе планирования действий финансовых учреждений на случай непредвиденных обстоятельств должны предусматриваться объяснения клиентам того, что временная неработоспособность используемых банком web-сайтов не угрожает средствам клиентов, а банк способен полностью удовлетворить их потребности в банковском обслуживании через другие каналы доведения банковских услуг <...> В случае если учреждение становится жертвой атаки DDoS или у него возникают проблемы из-за такой атаки, об этом следует сообщить органам власти через "Отчет о подозрительной деятельности" <7> и уведомить своего инспектора OCC".

     
   ————————————————————————————————
   

<7> Специализированная форма отчетности, которая направляется коммерческими банками в органы банковского надзора США и содержит разнообразную информацию, начиная от сообщений о подозрительных финансовых операциях и мошенничествах и кончая сведениями об атаках хакеров и случаях проникновения во внутрибанковские компьютерные системы.

В совокупности все рассмотренные выше факторы и источники банковских рисков подчеркивают необходимость во всеобъемлющем и постоянном оценивании связей в рамках любой заказной обработки, к которой прибегает КО, и других видов внешней зависимости, включая ассоциируемые с ними влияния на профиль риска конкретного банка и возможности надзора за управлением рисками. При таком оценивании влияния аутсорсинга следует также учитывать степень контроля, реализуемого в отношении сторонних организаций.

Как отмечается в руководствах OCC, основной акционер в совместном предприятии во многих случаях может обладать большим контролем, чем в случае контрактных отношений с провайдером услуг. Однако "из таких различий не следует, что акционерный контроль над совместным предприятием или товариществом будет в любом случае эффективным, особенно если технологии и обслуживание, необходимые для работы такой ассоциации, предоставляются акционером с малым числом акций. Такие различия бывают полезны в основном для того, чтобы обосновать проведение оценивания от случая к случаю. Наблюдение со стороны совета и высшего руководства банка за связями в части заказной обработки и зависимости от сторонних организаций следует особенно фокусировать на том, чтобы обеспечивались:

- полное понимание банком тех рисков, которые связаны с вовлечением в заказную обработку или партнерские отношения для работы его банковских систем или прикладных программ;

- должная своевременная проверка компетентности и финансовой устойчивости любых сторонних провайдеров услуг или партнеров, проводимая до заключения каких-либо контрактов на обслуживание в рамках электронного банкинга;

- точное определение контрактной подотчетности всех участников заказной обработки или партнерских отношений <8> (к примеру, должны быть четко определены обязанности по предоставлению информации провайдеру услуг и получению информации от него);

- учет всех операций и систем электронного банкинга, связанных с заказной обработкой, в концепциях управления рисками, обеспечения безопасности и соблюдения конфиденциальности, которые удовлетворяют стандартам, принятым в данном банке;

- проведение периодического независимого внутреннего и (или) внешнего аудита заказных операций по меньшей мере в том же объеме, который требовался бы, если бы такие операции проводились в самом банке;

- наличие должных планов на случай непредвиденных обстоятельств для деятельности в рамках электронного банкинга, осуществляемой в заказном порядке".

     
   ————————————————————————————————
   

<8> В их число включаются также субконтракторы.

Сказанное особенно справедливо в тех случаях, когда кредитная организация пользуется компьютерными системами сторонних организаций для поддержки своей операционной деятельности и тем более когда передает на аутсорсинг всю эту деятельность. В последнем варианте в самой кредитной организации (и, предположим, ее филиалах, отделениях либо дочерних организациях) остается только "кирпичный интерфейс" пользователя, а сам банк фактически перемещается в "виртуальное пространство" банковских и других автоматизированных систем и, по-видимому, вообще дислоцируется на территории провайдеров. Понятно, что для клиентов такой кредитной организации данная метаморфоза остается неизвестной (да они и не имеют об этом представления), поэтому, как отмечалось в первой части настоящей статьи, и оказывается весьма желательным риск-ориентированный подход органов управления кредитных организаций, полагающихся на аутсорсинг, к рассмотрению проблематики ИБ и других видов ДБО с "клиент-ориентированных" позиций. По существу, кредитная организация в этой ситуации принимает на себя полную ответственность за деятельность своего провайдера, равно как и за условия этой деятельности. Сказанное здесь не всегда имеет прямое отношение к ИБ, представляющему собой основную тему настоящей статьи, но в современном мире, где банковская деятельность приобрела благодаря колоссальным телекоммуникационным формированиям глобальный виртуальный характер, целесообразно задумываться о том, что стоит за такой глобализацией.

В реальности, на самом деле основанной на виртуальности, кредитные организации оказываются не менее зависимыми друг от друга и от своих банковских автоматизированных систем, чем их клиенты от надежности таких систем, принадлежащих указанным организациям. В известном смысле эти организации сами становятся провайдерами "друг для друга", если говорить о взаимосвязях, формирующихся и в отдельных странах, и по всему миру из-за так называемого электронного трансфера финансовых средств. Ведь неожиданный выход из строя или возникновение сбоев в работе каких-либо компонентов АПО кредитных организаций, препятствующие выполнению ими обязательств перед своими контрагентами, могут обернуться "цепным" кризисом неплатежей (чему уже бывали примеры в истории современного банковского дела). Впрочем, данная важная тема выходит за рамки статьи.

В завершение данной части статьи необходимо кратко рассмотреть третью зону концентрации факторов банковских рисков, которую образуют локальные (или зональные) вычислительные сети самих кредитных организаций. Их сложность всегда различна, а состав и архитектура, как правило, уникальны. Вместе с тем при организации управления рисками в кредитной организации целесообразно учитывать, что любые схемы выявления, оценки, анализа риска хороши лишь настолько, насколько верна, надежна и устойчива заложенная в их основе методология выявления, оценивания и анализа рисков. По мнению автора, это очевидно, так как разным архитектурам и АПО внутрибанковских систем свойственны различные подмножества факторов риска в зависимости от организационно-технических решений, принятых при построении этих систем. Следствием этого становится то, что и наборы источников рисков в ИКБД оказываются индивидуальными для каждой кредитной организации. Следствием же этого следствия становится то, что кредитным организациям, использующим в своей деятельности распределенные компьютерные технологии в открытых системах (такие, как интернет-банкинг), придется, по-видимому, разрабатывать собственную и также индивидуальную технологию выявления, анализа, мониторинга рисков и управления ими.

Как уже отмечалось ранее, новые технологии могут привести к кардинальным изменениям в бизнес-моделях и функциональных процессах кредитной организации. В то же время органам управления кредитной организации было бы логично исходить из того, что технологические нововведения не должны оказывать негативного влияния не только на выполнение кредитными организациями банковских операций, но и вообще всех обязательств перед своими клиентами.

К этим обязательствам относятся прежде всего:

- доступность ДБО, причем в случае ИБ это относится как к внутрибанковским системам, так и к системам провайдеров, используемым кредитной организацией (компоненты операционного, правового и репутационного рисков);

- своевременность и адекватность выполнения ордеров клиентов кредитной организации (компоненты всех рисков, учитываемых в риск-фокусированном анализе при использовании ИБ);

- полнофункциональность ДБО, предполагавшаяся кредитной организацией при проектировании и внедрении соответствующих систем (компоненты операционного, репутационного и стратегического рисков);

- контролируемость функционирования внутрибанковских и внешних по отношению к кредитной организации систем (в разумных пределах), включая вопросы обеспечения целостности данных и безопасности банковской деятельности (компоненты операционного, правового и стратегического рисков).

Для этого кредитной организации, переходящей к ДБО через Интернет, придется заботиться о полноте и адекватности содержания таких ключевых внутрибанковских процессов, как:

- интеграция приложений электронного банкинга (в данном случае ИБ) с уже действующими банковскими автоматизированными системами;

- обеспечение точности и целостности принимаемых, обрабатываемых, передаваемых и хранимых клиентских и банковских данных;

- внедрение процедур усовершенствованного контроля над рисками, внутреннего контроля, а также процессов аудита (на новом уровне).

Во всех этих процессах, как нетрудно понять, присутствуют рисковые компоненты. По существу, в новых условиях банковской деятельности (применения ДБО в форме ИБ) требуется разработка новой эффективной политики и практики управления проектами, жизненным циклом систем, контроля над изменениями, технологии мониторинга банковских рисков и гарантии качества, причем в комплексе. К этому следует добавить фактически уникальную в каждом отдельном случае организацию автоматизированного выполнения банковских операций и формирования управленческой и контрольной информации в каждой кредитной организации. Имеется в виду обоснованное формирование управленческих решений с учетом сведений о рисках.

Последнее имеет принципиальное значение в условиях применения новых банковских информационных и операционных технологий ввиду того, что изначально, при их внедрении, отсутствуют сколько-нибудь полные и адекватные модели зон концентрации факторов риска. В то же время для принятия эффективных решений в отношении мониторинга рисков и управления ими необходимы именно такие модели. На практике подавляющее большинство решений такого рода принимается на уровне менеджеров среднего звена, а то и непосредственных исполнителей, особенно в малых и средних кредитных организациях. Однако тот факт, что до органов управления кредитной организации далеко не всегда доводится информация о недостатках, выявленных в процессе функционирования банковских информационных систем и систем ДБО, а проблемы "решаются на местах", свидетельствует о наличии опасности повторений ситуаций с реализацией факторов риска. Это особенно опасно для кредитной организации и ее клиентов в тех случаях, когда речь идет о недопустимости упоминавшихся ранее "инцидентов информационной безопасности", причем в отношении совершенно конкретных (т.е. определенных и документально зафиксированных) банковских и клиентских операций и данных.

Целесообразно учитывать, что идеальных способов и средств обеспечения информационной безопасности в сетевых структурах до настоящего времени не существует, вследствие чего не может быть и идеально защищенных компьютерных систем. Каждое из возможных средств защиты характеризуется индивидуальными специфическими недостатками. Об этих недостатках соответствующие ответственные лица в кредитных организациях должны быть полностью осведомлены, причем полные и адекватные знания требуются как минимум о средствах защиты так называемого сетевого периметра кредитной организации, основными из которых являются брандмауэры. Как правило, значительная часть угроз типа вторжений в корпоративные вычислительные сети связана с влиянием источников рисков, скрытых в ошибках настройки брандмауэров, которые, в свою очередь, обусловлены отсутствием или неполнотой корпоративной политики такой настройки или, иначе, "защиты периметра".

Однозначные рекомендации относительно того, каким службам в кредитной организации целесообразно вменять в обязанность выявление и анализ источников и факторов риска в компьютеризованной среде, дать трудно прежде всего из-за значительных различий в размере, видах, масштабах деятельности этих организаций, да и в архитектурах внутрибанковских систем. Во всяком случае, этот процесс не должен оказаться прерогативой исключительно подразделения информационных технологий (информатизации), как чаще всего и бывает. Наиболее подходящим местом концентрации таких специалистов могут считаться службы информационной безопасности и внутреннего контроля в кредитной организации. Правда, при этом требуется заметное расширение их функций за счет необходимости определения и описания новых источников риска и, соответственно, состава служб за счет специалистов, имеющих достаточно высокую квалификацию, для того чтобы создавать и анализировать модели так называемого распространения риска в ИКБД, используемом кредитной организацией. Практика показывает, что такие модели безусловно полезны при оценке возможного влияния источников риска и, соответственно, уровней рисков, принимаемых на себя кредитной организацией. В качестве примера достаточно сказать, что возможные нарушения целостности данных в информационных базах кредитной организации (по разным причинам), в одном случае приводящие, допустим, к неправильной выписке по счетам клиента, а в другом - к недостоверности банковской отчетности, будут иметь заведомо разные последствия такой реализации операционного риска.

С позиций риск-фокусированного надзора и внутреннему контролю в кредитных организациях (в силу известной схожести функций) целесообразно было бы придавать риск-ориентированный на операционную деятельность характер. Можно сформулировать некое обобщающее положение относительно роли и места внутреннего контроля как такового в современных полностью компьютеризованных кредитных организациях, а именно минимизация риска, принимаемого на себя кредитной организацией, за счет исключения или снижения влияния источников рисков, обусловленных способами и средствами осуществления банковской деятельности, и доведения информации об этих источниках, уровнях и возможном влиянии риска до руководства кредитной организации. Из этого положения следует логичный вывод о том, что недостатки в организации и осуществлении внутреннего контроля могут оказаться наиболее серьезным источником рисков для кредитной организации. Поскольку же в случае ИБ речь идет о банковской деятельности в условиях открытых информационных систем, требования к квалификации специалистов данной службы и пониманию ими специфики образования и проявления источников рисков существенно возрастают, что также желательно учитывать при организации ее работы.

* * *

Этим достаточно кратким изложением на данном этапе можно ограничиться, поскольку подробное рассмотрение внутрибанковского информационного контура и связанных с ним угроз осуществлению эффективной банковской деятельности, которые оказываются обусловлены применением технологии ИБ, удобнее осуществлять совместно с описанием тех практических мероприятий, которые кредитным организациям целесообразно проводить в целях предотвращения реализации банковских рисков. Наибольший опыт в этом плане накоплен в США и Западной Европе, поэтому в дальнейшем изложении нами будут использоваться в том числе и материалы соответствующих органов банковского регулирования и надзора. О таких мероприятиях, а также о том, что все описанные проблемы оказываются вовсе не так страшны, как их можно представить, и о возможных действиях органов управления КО и ее персонала, занятого предотвращением или парированием влияния источников (факторов) банковских рисков, пойдет речь в заключительной части статьи.

(Окончание см. "Расчеты и операционная работа в коммерческом банке", 2006, N 7-8)

Л.В.Лямин

Начальник отдела интернет-банкинга

Управления методологии рисков

внутрибанковских систем

Департамента банковского

регулирования и надзора

Банка России

Подписано в печать

06.07.2006

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——