Применение технологий электронного банкинга: риск-ориентированный подход
Шрифт:
Базельский комитет по банковскому надзору уделяет в ряде своих публикаций серьезное внимание вопросам управления рисками в условиях применения технологий электронного банкинга и корпоративному управлению в кредитных организациях. Следование его рекомендациям позволяет повысить надежность банковской деятельности в целом за счет снижения уровней рисков, которым подвергаются кредитные организации и их клиенты, а значит, обеспечить лучшую защиту их интересов.
Глава 1
Понятие и специфика технологий электронного банкинга
Любая достаточно развитая технология неотличима от магии.
Независимо от того, какого рода система дистанционного банковского обслуживания (ДБО) внедряется кредитной организацией, такая система фактически становится для нее своеобразными «виртуальными воротами», которые открывают доступ из «киберпространства» локального, зонального или глобального сетевого взаимодействия к информационно-процессинговым ресурсам и информационным
До настоящего времени в российском банковском секторе внедрение и применение банковских информационных технологий в целом не считается чем-то значимым с точки зрения изменения характера банковской деятельности. В подавляющем большинстве кредитных организаций этот процесс не предваряется и не сопровождается адекватным анализом состава сопутствующих таким технологиям компонентов банковских рисков. Из-за этого как сами кредитные организации, так и их клиенты оказываются подвержены новым специфическим угрозам надежности банковской деятельности. С этими угрозами кредитные организации далеко не всегда справляются, о чем свидетельствует, к сожалению, уже достаточно обширная статистика финансовых потерь этих организаций и их клиентов. При этом собственно технологический аспект оказывается в значительной степени «вторичным»: к примеру, не столь важно, каким именно путем похищаются финансовые средства — с помощью банкоматного мошенничества, через систему интернет-банкинга, за счет применения какого-то варианта фишинга, фарминга или вишинга и т. п., — важно то, что деньги исчезают именно в информационном контуре ДБО по причинам недостаточно полного учета новых факторов источников типичных банковских рисков и управления ими в кредитной организации.
Вследствие этого рассматриваемая ниже классификация технологий или вариантов ДБО может варьироваться без ущерба для общности рассмотрения этой предметной области. Она введена в основном для того, чтобы можно было выделить те особенности каналов и сред информационного взаимодействия между кредитными организациями и их клиентами, которые желательно учитывать в случаях комплексного внедрения соответствующих систем ДБО. В настоящее время компании, разрабатывающие системы такого рода, или кредитные организации, осуществляющие их самостоятельные разработки, все больше стремятся к многоканальности предоставления банковских услуг, объединяющей его варианты. Вместе с тем это, как правило, не приводит к организации комплексного анализа всей совокупности источников банковских рисков, сопутствующих каждому из каналов ДБО, а следовательно, новые источники рисков остаются «скрытыми» для кредитной организации, так что воздействие на них (т. е. собственно управление рисками) начинается нередко лишь тогда, когда они реализуются в виде финансового ущерба.
1.1. Классификация технологий электронного банкинга
На сегодняшний день единой, устоявшейся классификации технологий электронного банкинга еще не существует. Поскольку любые технологии такого рода используются для обеспечения удаленного информационного взаимодействия между кредитными организациями и их клиентами, с наиболее общей точки зрения можно полагать, что все они в совокупности охватываются одним общим понятием систем типа (или класса) «Банк — Клиент». В тоже время исторически сложившиеся этапы развития способов и средств этого взаимодействия привели к тому, что под системами «Банк — Клиент» до настоящего времени понимаются преимущественно такие программно-технические комплексы, для функционирования которых на стороне клиента необходимо создание специализированного автоматизированного рабочего места (АРМ) на базе персонального компьютера, установка на нем специализированного программно-информационного обеспечения ДБО, задействование тех или иных выделенных каналов связи (на основе кабельных или релейных линий), а также введение на стороне кредитной организации шлюзов для передачи потоков данных (модемных пулов, маршрутизаторов, коммутаторов и т. п.).
Такие достаточно «тяжеловесные» и дорогостоящие системы получили условное название систем «с толстым клиентом» [8] . Эти системы характеризуются достаточно обширными функциональными возможностями в части ограничения прав доступа к информационно-процессинговым ресурсам клиента и кредитной организации, использования служебных баз данных и баз нормативно-справочной информации, криптозащиты сетевого трафика, а также сохранения так называемой «сеансовой информации», сопровождающей двусторонний информационный обмен (что принципиально важно для обеспечения юридической силы так называемых «электронных документов», парирования случаев «отказа от операций», разрешения спорных ситуаций и т. п.). За все эти возможности приходится, естественно, немало платить, что могут себе позволить в основном юридические лица.
8
Системы электронного банкинга такого рода в зависимости от их сложности, архитектуры, многоканальное™ и т. п. характеристик могут стоить от тысяч до миллионов условных единиц. Учет этого фактора с позиций риск-ориентированного подхода важен с точки зрения оценки потенциального стратегического риска.
В отличие от этих систем для обслуживания физических лиц гораздо удобнее и дешевле системы с так называемым «тонким клиентом», использование которых не связано с необходимостью установки на АРМ клиента специального программно-информационного обеспечения, да и само стационарное АРМ на его стороне зачастую не требуется. В наиболее «тонком» случае могут использоваться обычный браузер или система меню, что типично для технологий мобильного и интернет — банкинга. Однако в этих случаях осложняется решение всех перечисленных выше вопросов с точки зрения функциональных возможностей той или иной технологии электронного банкинга (ТЭБ) и реализующей эту технологию СЭБ. Эта книга преимущественно посвящена тому чем приходится «платить» кредитным организациям и их клиентам за удобства оперативного доступа к информационно-процессинговым ресурсам, обеспечивающим банковскую деятельность.
Вместе с тем каждый из способов ДБО и каждая используемая для его реализации банковская автоматизированная система (БАС) могут иметь ряд принципиальных отличий (прежде всего в части каналов связи и среды взаимодействия), равно как и множество особенностей, из-за чего объединение их в один класс существенно затрудняет анализ состава компонентов банковских рисков, угроз банковской деятельности, лежащих в их основе, и причин возникновения этих угроз. Для такого анализа наиболее удобна простая классификационная схема, используемая специалистами Департамента банковского надзора Банка Германии (рис. 1.1) [9] :
9
По материалам семинара по надзору в области электронного банкинга, проведенного «Дойчебундесбанком» для специалистов Банка России в 2002 г. Приведенная схема используется в надзорных целях до настоящего времени.
На этой схеме отсутствует деление отдельных «ветвей», учитывающее специфические детали, свойственные различным технологиям электронного банкинга, поскольку для последующего изложения это не принципиально, к тому же такие варианты ДБО, как использование, скажем, систем Wi-Fi, в отечественной банковской практике еще не стали распространенными. Кроме того, не имеет принципиального значения и конкретный вариант ДБО, выбираемый кредитной организацией: важно лишь то, что «если компания не следует тенденциям изменяющихся рыночных, финансовых и технологических условий, то она недолго останется в бизнесе» [10] . В современном банковском бизнесе кредитные организации, если они не хотят потерять конкурентные преимущества, по существу, «вынуждены» переходить к дистанционному предоставлению банковских услуг, а следовательно, «радикально перестраивать» организацию своей банковской деятельности. В этой ситуации принципиально важным становится то, что речь идет именно о деятельности кредитной организации в целом, а не только о выполнении «банковских операций» и «других сделок».
10
Coderre D. Internal Audit. Efficiency through automation. John Wiley & Sons Inc., Hoboken, NJ, USA, 2009.
Необходимо отметить также, что адекватного понимания содержания электронного банкинга до настоящего времени тоже еще не сложилось. Об этом свидетельствуют многие документы, разработанные зарубежными органами банковского регулирования и надзора, в которых приводятся определения содержания этого явления и формируется рабочий понятийный аппарат. Если попробовать сформулировать своего рода «базовое» определение электронного банкинга по таким материалам [11] , то оно будет выглядеть следующим образом: «обеспечение возможностей для клиентов кредитных организаций получать удаленный доступ к своим банковским счетам через информационно-телекоммуникационные системы и, как минимум, осуществлять переводы финансовых средств между ними».
11
См., например. Risk Management Principles for Electronic Banking. Basel Committee on Banking Supervision, Bank for International Settlements, Basel, July 2003; Internet-Banking. Comptroller’s Handbook. I–IB. Office of the Comptroller of the Currency, Washington, DC, USA, October 1999; E-Banking. Federal Financial Institutions Examination Council, Washington, DC, USA, August 2003.