Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Чтобы удерживать уровни банковских рисков в допустимых пределах, необходимо осуществлять выявление их компонентов, анализировать причины их возникновения — источники указанных компонентов, определять меры воздействия на эти источники (осуществлять собственно УБР) и контролировать результаты такого воздействия. В свою очередь для эффективной организации и реализации перечисленных процедур в составе процесса УБР целесообразно учитывать уже разработанные и апробированные подходы к его формированию, кратко рассматриваемые ниже.
В одном из основных материалов БКБН, посвященных проблематике УБР в новых условиях [35] , отмечается: «При выборе технологии электронного банкинга руководству кредитной организации следует анализировать сопутствующие ей факторы и источники рисков, а также оценивать возможности управления данной технологией
35
Risk Management Principles for Electronic Banking.
В число основных характеристик современных условий осуществления банковской деятельности (которые целесообразно учитывать при стратегическом планировании использования электронного банкинга) входят:
— активная разработка и внедрение новых вариантов банковского обслуживания и сопутствующих им новых банковских технологий;
— внесение изменений в законодательство, ориентированных на повышение надежности и транспарентности банковской деятельности [36] ;
36
В качестве примера можно привести принятый еще в 1962 г. Федеральный закон США «О компаниях, обслуживающих банки», в котором речь идет о контроле над провайдерами кредитных организаций.
— дефицит специалистов в области технологий электронного банкинга на фоне их быстрого развития и распространения;
— многообразные зависимости эффективности банковской деятельности от сторонних организаций (разного рода аутсорсинга);
— усложнение контроля над процессами, протекающими в виртуальном пространстве банковской деятельности («киберпространстве»).
При этом наблюдается принципиальное противоречие между темпами развития банковских информационных технологий и законодательной базы осуществления банковской деятельности и ее обеспечения. Эти условия никак не зависят от кредитных организаций, поэтому учитывать их целесообразно как факторы возникновения потенциальных проблем, с которыми вполне вероятно им придется столкнуться при внедрении ТЭБ. Здесь уместно сделать краткое отступление, чтобы отметить некоторые особенности проявления таких факторов, о которых целесообразно подумать еще до начала этого внедрения при принятии решения относительно выбора конкретной технологии.
Прежде всего руководству кредитной организации уместно оценить, насколько хорошо известна, распространена и апробирована предлагаемая ТЭБ, поскольку история развития банковского дела знает немало примеров использования недостаточно хорошо освоенных технологий и систем такого рода, что всегда приводило к реализации компонентов всех имеющих отношение к делу типичных банковских рисков. «Пробелы» в законодательстве обычно приводят к несовпадениям в интерпретации правил и условий использования ДБО разными сторонами, оказывающимися в спорных ситуациях, связанных с недостатками в организации условий применения конкретной ТЭБ (в самом широком смысле), равно как в содержании обязанностей и ответственности лиц, от которых оно зависит, и определении степени ответственности сторон — участников конфликта. Здесь следует отметить и то, что российским кредитным организациям до настоящего времени приходится самим парировать недостатки отечественного финансового, и в частности банковского законодательства, что относится в значительной мере к содержанию текстов договоров с клиентами ДБО и контрактов с провайдерами, действующими в соответствующем ИКБД: положения этих документов подвергаются наиболее тщательному анализу в арбитражных судах.
В более узком смысле для того чтобы руководству кредитной организации определить состав факторов риска, способных негативно повлиять на процесс и результаты банковской деятельности, удобно разбить ИКБД на так называемые «зоны концентрации источников риска» (как минимум — известные специалистам кредитной организации и предполагаемые ими) и проанализировать особенности каждой из них. Первой такой зоной является клиент ДБО, последней — компоненты локальной вычислительной сети (ЛВС) этой организации, между которыми располагаются зоны, относящиеся к ее провайдерам, телекоммуникационным системам и пр., включая зональные вычислительные сети (ЗВС) в распределенных или многофилиальных структурах крупных кредитных организаций. Затем, при необходимости, отдельные факторы или источники рисков можно сгруппировать по признакам их возможного проявления в тех или иных типичных банковских рисках. Это может оказаться полезным, например, при организации управления банковскими рисками по их типам: операционный, правовой, репутационный и др. Как бы то ни было, указанные зоны подлежат описанию во внутренних документах кредитной организации, относящихся к управлению банковскими рисками, вместе с общими мерами по парированию их потенциального влияния.
В связи с этим можно определить основные подлежащие оперативному решению проблемы, связанные с новыми факторами, повышающими уровни банковских рисков при использовании технологий электронного банкинга, с чем сталкиваются соответствующие кредитные организации при создании пруденциальных условий банковской деятельности (с учетом всех зон ответственности и концентрации источников компонентов банковских рисков):
для кредитных организаций:
а) возможно снижение надежности (а вслед за этим и устойчивости) банковской деятельности из-за неадекватного учета новых факторов и источников банковских рисков, обусловленных спецификой новой ТЭБ и сложностью контроля реализующих их внутрибанковских и системных процессов;
б) из-за различий в практической реализации кредитными организациями технологии электронного банкинга возникает необходимость в точном учете конкретного состава реально действующих факторов риска в каждом отдельном случае (варианте архитектуры БАС и систем электронного банкинга);
для клиентов кредитных организаций:
а) возможен ущерб их интересам из-за реализации неизвестных или малоизвестных им факторов и источников банковских рисков при отсутствии у них достаточной квалификации в части ТЭБ (включая понимание функционирования конкретного ИКБД в выбранном ими варианте ДБО);
б) освоение выбранной СЭБ может оказаться серьезно затруднено из-за несоответствия характеристик собственной личности (возраст, социальное положение, образование, сфера деятельности и т. п.), следствием чего станет повышение уровней принимаемых на себя «клиентских» рисков.
Поэтому, в частности, в ряде своих материалов БКБН отмечает необходимость разработки кредитными организациями «эффективной внутрибанковской политики и практики управления проектами, жизненным циклом систем, контроля над изменениями и гарантией обеспечения требуемого качества банковской деятельности и обслуживания клиентов» [37] . Одновременно подчеркивается, что план внесения адаптационных изменений в перечисленные компоненты банковской деятельности (и внутрибанковские процессы) высшему руководству кредитных организаций целесообразно составлять еще до перехода к практической эксплуатации систем ДБО. Причем план этот должен «эффективно доводиться» до всех менеджеров структурных подразделений кредитной организации, которые будут иметь отношение к использованию новой банковской технологии.
37
Risk Management Principles for Electronic Banking.
Наиболее значимой особенностью организации процесса УБР в условиях электронного банкинга является вариативность ИКБД, компоненты которого и их потенциальное негативное влияние необходимо учитывать. При этом приходится помнить о том, что каждая ТЭБ и реализующая ее СЭБ создают свой собственный контур такого рода, и эти информационные контуры могут не только не совпадать (даже при использовании однородных технологий электронного банкинга), но и существенно различаться подмножествами источников компонентов риска, концентрирующихся в тех или иных зонах. Сами эти зоны также могут оказаться неявно выраженными, скажем, в случаях использования кредитной организацией так называемых «виртуальных частных сетей» [38] , формирующих в общедоступных сетях передачи данных защищенные «туннели» передачи информации, сетевых экранов (брандмауэров) и прокси-серверов, требующих весьма тщательной настройки своего программно-информационного обеспечения, с помощью которого организуется сетевая защита. Недостатки в организации применения информационных технологий такого рода, которые известны, как правило, только узким специалистам, могут оказаться теми «виртуальными воротами» к информационно-процессинговым ресурсам бэк-офиса кредитной организации, на которые обычно нацелены хакерские, вирусные и прочие сетевые атаки.
38
Virtual Private Network — VPN.